Guía del producto. McAfee Endpoint Security 10.1

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Guía del producto. McAfee Endpoint Security 10.1"

Transcripción

1 Guía del producto McAfee Endpoint Security 10.1

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Endpoint Security 10.1 Guía del producto

3 Contenido McAfee Endpoint Security 5 1 Introducción 7 Módulos de Endpoint Security Cómo Endpoint Security protege su equipo Cómo se mantiene actualizada su protección Interacción con Endpoint Security Acerca del icono de la bandeja del sistema McAfee Acerca de los mensajes de notificación Acerca de Cliente de Endpoint Security Mediante Cliente de Endpoint Security 17 Abra Cliente de Endpoint Security Obtener ayuda Responder a avisos Responder a un aviso de detección de amenaza Responder a aviso de análisis Respuesta a un aviso de reputación de archivos Introduzca información sobre su protección Tipos de administración Actualización manual de protección y software Qué se actualiza Ver el Registro de eventos Acerca de los archivos de registro Administrar Endpoint Security Iniciar sesión como administrador Desbloquear la interfaz de cliente Desactivar y activar funciones Cambiar versión de AMCore content Utilice archivos Extra.DAT Configurar parámetros comunes Configurar el comportamiento de las actualizaciones Mediante Prevención de amenazas 41 Analizar el equipo en busca de malware Tipos de análisis Ejecutar un Análisis completo o Análisis rápido Analizar un archivo o carpeta Administrar detecciones de amenazas Administrar elementos en cuarentena Nombres de detecciones Volver a analizar elementos en cuarentena Administrar Prevención de amenazas Configurar exclusiones Protección de los puntos de acceso del sistema McAfee Endpoint Security 10.1 Guía del producto 3

4 Contenido Bloqueo de vulnerabilidades de desbordamiento del búfer Detección de programas potencialmente no deseados Configurar parámetros de análisis de ajustes generales Configure Análisis en tiempo real Configurar Análisis bajo demanda Configure, planifique y ejecute tareas de análisis Uso de Firewall 77 Cómo funciona Firewall Activar o ver grupos temporizados de Firewall Administrar Firewall Modificar opciones de Firewall Administración de directivas y grupos de Firewall Uso de Control web 91 Acerca de las funciones de Control web Cómo Control web bloquea o advierte de un sitio web o descarga El botón de Control web identifica las amenazas durante la navegación Los iconos de seguridad identifican las amenazas durante la búsqueda Los informes de sitio web proporcionan detalles Modo de compilación de las clasificaciones de seguridad Acceso a las funciones de Control web Activar el complemento Control web en el navegador Ver información acerca de un sitio al navegar Ver informe de sitio web durante la búsqueda Administrar Control web Configuración de las opciones de Control web Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web Uso de Inteligencia de amenazas 103 Cómo funciona Inteligencia de amenazas Administrar Inteligencia de amenazas Acerca de Inteligencia de amenazas Configuración de las opciones de Inteligencia de amenazas Índice McAfee Endpoint Security 10.1 Guía del producto

5 McAfee Endpoint Security McAfee Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explica cómo utilizar las funciones de seguridad básicas y solucionar problemas. Introducción Módulos de Endpoint Security en la página 7 Cómo Endpoint Security protege su equipo en la página 8 Interacción con Endpoint Security en la página 9 Tareas frecuentes Abra Cliente de Endpoint Security en la página 17 Actualización manual de protección y software en la página 21 Analizar el equipo en busca de malware en la página 41 Desbloquear la interfaz de cliente en la página 26 Información adicional Para acceder a información adicional sobre este producto, consulte: Guía de instalación de McAfee Endpoint Security Guía de migración de McAfee Endpoint Security Notas de la versión de McAfee Endpoint Security Ayuda de Prevención de amenazas de Endpoint Security Ayuda de Firewall de Endpoint Security Ayuda de Control web de Endpoint Security Ayuda de Inteligencia de amenazas de Endpoint Security Soporte de McAfee McAfee Endpoint Security 10.1 Guía del producto 5

6 McAfee Endpoint Security 6 McAfee Endpoint Security 10.1 Guía del producto

7 1 Introducción 1 Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explica cómo utilizar las funciones de seguridad básicas y solucionar problemas. Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno de estos servidores de administración: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Si su equipo está autogestionado, usted (o su administrador) deberán configurar el software mediante el Cliente de Endpoint Security. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. Contenido Módulos de Endpoint Security Cómo Endpoint Security protege su equipo Interacción con Endpoint Security Módulos de Endpoint Security El administrador configura e instala uno o más módulos de Endpoint Security en los equipos cliente. Prevención de amenazas : comprueba la existencia de virus, spyware, programas no deseados y otras amenazas mediante el análisis de los elementos, bien automáticamente cuando los usuarios acceden a ellos, bien bajo demanda en cualquier momento. Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o Internet. Intercepta las comunicaciones sospechosas. Control web : muestra calificaciones de seguridad e informes sobre sitios web durante la navegación y la búsqueda online. Control web permite al administrador de sitios web bloquear el acceso a los sitios web basándose en su calificación de seguridad o contenido. Inteligencia de amenazas : proporciona seguridad adaptable al contexto para su entorno de red. Inteligencia de amenazas analiza contenido de su empresa y toma decisiones basándose en la reputación de un archivo y en los criterios de su administrador. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. Adicionalmente, el módulo Ajustes generales proporciona la configuración para las funciones comunes, tales como la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instala cualquier otro módulo. McAfee Endpoint Security 10.1 Guía del producto 7

8 1 Introducción Cómo Endpoint Security protege su equipo Cómo Endpoint Security protege su equipo Normalmente, un administrador configura Endpoint Security, instala el software en los equipos cliente, supervisa el estado de seguridad y establece las reglas de seguridad, llamadas directivas. Como usuario de un equipo cliente, usted interactúa con Endpoint Security a través del software cliente instalado en su equipo. Las directivas configuradas por el administrador determinan cómo actúan los módulos y las funciones en el equipo y si usted puede modificarlos o no. Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y las funciones. Para determinar el tipo de administración, consulte la página Acerca de. Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin de actualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que haya encontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informes para el administrador sobre las detecciones y los problemas de seguridad del equipo. Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. No obstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posible que desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca de malware. Dependiendo de las directivas configuradas por el administrador, es posible que usted pueda personalizar la configuración de seguridad. Si actúa como administrador, podrá administrar y configurar de manera centralizada el software cliente mediante McAfee epo o McAfee epo Cloud. Véase también Introduzca información sobre su protección en la página 20 Cómo se mantiene actualizada su protección Las actualizaciones regulares de Endpoint Security le aseguran que su equipo siempre está protegido contra las últimas amenazas. Para realizar actualizaciones, el software cliente se conecta a McAfee epo local o remotamente, o directamente a un sitio web en Internet. Endpoint Security realiza las siguientes comprobaciones: Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos de contenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones se actualizan a medida que se descubren nuevas amenazas. Ampliaciones de los componentes de software, como parches y hotfixes. Para simplificar la terminología, esta Ayuda denomina actualizaciones tanto a actualizaciones como a ampliaciones. Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar si hay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su protección desde Cliente de Endpoint Security haciendo clic en. Véase también Actualización manual de protección y software en la página 21 8 McAfee Endpoint Security 10.1 Guía del producto

9 Introducción Interacción con Endpoint Security 1 Cómo funcionan los archivos de contenido Cuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esos archivos con información sobre amenazas conocidas almacenada en los archivos de AMCore content. Prevención de exploit utiliza sus propios archivos de contenido para protegerse contra exploits. AMCore Content McAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos de contenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza y reparación del daño que el virus detectado pueda causar. Si la firma de un virus no está en ninguno de los archivos de contenido instalados, el motor de análisis no puede detectar y limpiar ese virus. Periódicamente aparecen nuevas amenazas. McAfee Labs publica actualizaciones de motor y nuevos archivos de contenido que incorporan los resultados de investigaciones sobre amenazas en curso, cada día sobre las 18:00 horas. (GMT). Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar una versión anterior. Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección fuera de la planificación de actualizaciones de archivos de contenido, McAfee Labs facilita un archivo Extra.DAT. Contenido de prevención de exploits El contenido de prevención de exploit incluye: Firmas de protección de la memoria: protección contra desbordamiento del búfer genérica (GBOP) y supervisión de API dirigida. Lista de protección de aplicaciones: procesos protegidos por la prevención de exploit. McAfee publica archivos de contenido nuevos de prevención de exploit una vez al mes. Interacción con Endpoint Security Endpoint Security proporciona componentes visuales para la interacción con el Cliente de Endpoint Security. El icono de McAfee en la bandeja del sistema de Windows: le permite iniciar el Cliente de Endpoint Security y ver el estado de seguridad. Mensajes de notificación: le alertan de las detección de intrusiones de análisis y firewall, y de archivos con reputaciones desconocidas, y le solicitarán datos. Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo real detecta una amenaza. Cliente de Endpoint Security: muestra el estado actual de la protección y proporciona acceso a las funciones. Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar qué componentes aparecen. McAfee Endpoint Security 10.1 Guía del producto 9

10 1 Introducción Interacción con Endpoint Security Véase también Acerca del icono de la bandeja del sistema McAfee en la página 10 Acerca de los mensajes de notificación en la página 11 Administrar detecciones de amenazas en la página 45 Acerca de Cliente de Endpoint Security en la página 12 Acerca del icono de la bandeja del sistema McAfee El icono de McAfee en la bandeja del sistema de Windows proporciona acceso a Cliente de Endpoint Security y a algunas tareas básicas. El icono de McAfee podría no estar disponible, dependiendo de cómo se haya ajustado la configuración. Use el icono de McAfee en la bandeja del sistema para: Comprobar el estado de seguridad. Abrir Cliente de Endpoint Security. Actualizar la protección y el software manualmente. Activar o ver grupos temporizados de Firewall. Haga clic con el botón derecho en el icono y seleccione Ver estado de seguridad para acceder a la página Estado de seguridad de McAfee. Haga clic con el botón derecho en el icono y seleccione McAfee Endpoint Security. Haga clic con el botón derecho en el icono y seleccione Actualizar seguridad. Consulte Qué se actualiza en la página 22. Haga clic con el botón derecho en el icono y seleccione una opción del menú Configuración rápida: Activar grupos temporizados de firewall: permite a los grupos temporizados el acceso no de red a Internet durante un tiempo determinado, antes de que se apliquen las reglas que restringen el acceso. Cada vez que selecciona esta opción, se restablece el tiempo de los grupos. Ver grupos temporizados de firewall: muestra los nombres de los grupos temporizados y el tiempo restante de activación de cada grupo. Estas opciones podrían no estar disponibles, dependiendo de cómo se haya ajustado la configuración. Modo en que el icono indica el estado de Endpoint Security El aspecto del icono cambia para indicar el estado de Endpoint Security. Coloque el cursor del ratón sobre el icono para ver un mensaje que describe el estado. 10 McAfee Endpoint Security 10.1 Guía del producto

11 Introducción Interacción con Endpoint Security 1 Icono Indica... Endpoint Security está protegiendo su sistema y no hay problemas. Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnología desactivados. Firewall está desactivado. Prevención de amenazas: prevención de exploit, análisis en tiempo real o ScriptScan están desactivados. Endpoint Security informe de los problemas de forma distinta dependiendo del tipo de administración. Autogestionado: Una o más tecnologías están desactivadas. Una o más tecnologías no responden. Gestionado: Una o más tecnologías se han desactivado, no como resultado de la implementación de directivas desde el servidor de administración de Cliente de Endpoint Security. Una o más tecnologías no responden. Cuando se detecta un problema, la página Estado de seguridad de McAfee indica qué módulo o tecnología está desactivado. Véase también Qué se actualiza en la página 22 Acerca de los mensajes de notificación Endpoint Security usa dos tipos de mensajes para notificarle los problemas de su protección o para pedirle datos. Algunos mensajes podrían no aparecer, según se ajuste la configuración. El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre los mensajes de notificación. Endpoint Security envía dos tipos de notificaciones: Las alertas emergen del icono de McAfee durante cinco segundos y, después, desaparecen. Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión de Firewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ninguna acción. Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta que seleccione una opción. Por ejemplo: Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría pedirle que aplace el análisis. Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a la detección. Cuando Inteligencia de amenazas detecta un archivo con una reputación desconocida, Endpoint Security puede preguntarle si desea permitir o bloquear el archivo. Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio. McAfee Endpoint Security 10.1 Guía del producto 11

12 1 Introducción Interacción con Endpoint Security Véase también Responder a un aviso de detección de amenaza en la página 18 Responder a aviso de análisis en la página 19 Respuesta a un aviso de reputación de archivos en la página 19 Acerca de Cliente de Endpoint Security El Cliente de Endpoint Security le permite comprobar el estado de la protección y funciones de acceso en su equipo. Las opciones en el menú Acción proporcionan acceso a las funciones. Configuración Cargar Extra.DAT Revertir AMCore content Ayuda Asistencia técnica Inicio de sesión de administrador Acerca de Salir Ajustar la configuración de las funciones. Esta opción de menú está disponible si alguna de las siguientes es verdadera: El Modo de interfaz de cliente está establecido en Acceso total. Ha iniciado sesión como administrador. Le permite instalar un archivo descargado Extra.DAT. Revierte AMCore content a una versión anterior. Esta opción de menú está disponible si existe en el sistema una versión previa de AMCore content y alguna de las siguientes es verdadera: El Modo de interfaz de cliente está establecido en Acceso total. Ha iniciado sesión como administrador. Muestra Ayuda. Muestra una página con vínculos a páginas útiles, como el McAfee ServicePortal y Centro de conocimiento. Inicia sesión como administrador del sitio web. (Requiere credenciales de administrador.) La contraseña predeterminada es mcafee. Esta opción del menú está disponible si el Modo de interfaz de cliente no está establecido en Acceso total. Si ya ha iniciado sesión como administrador, esta opción es Cerrar sesión de administrador. Muestra información acerca de Endpoint Security. Sale de Cliente de Endpoint Security. Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareas habituales. Analiza en busca de malware con un Análisis completo o Análisis rápido del sistema. Este botón está disponible solo si el módulo Prevención de amenazas está instalado. Actualiza los archivos de contenidos y componentes de software en el equipo. Este botón podría no aparecer, según se ajuste la configuración. 12 McAfee Endpoint Security 10.1 Guía del producto

13 Introducción Interacción con Endpoint Security 1 Los botones en la parte izquierda de la página ofrecen información acerca de la protección. Estado Registro de eventos Poner en cuarentena Le devuelve a la página principal de Estado. Muestra el registro de todos los eventos de protección y de amenaza en este equipo. Abre Quarantine Manager. Este botón está disponible solo si el módulo Prevención de amenazas está instalado. El Resumen de amenazas le da información acerca de las amenazas que Endpoint Security haya detectado en su equipo en los últimos 30 días. Véase también Cargue un archivo Extra.DAT en la página 28 Iniciar sesión como administrador en la página 25 Analizar el equipo en busca de malware en la página 41 Actualización manual de protección y software en la página 21 Ver el Registro de eventos en la página 22 Administrar elementos en cuarentena en la página 46 Administrar Endpoint Security en la página 25 Acerca del Resumen de amenazas en la página 13 Acerca del Resumen de amenazas La página Cliente de Endpoint Security Estado le proporciona un resumen en tiempo real de cualquier amenaza detectada en su sistema en los últimos 30 días. A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la información en el área Resumen de amenazas en el panel inferior. El Resumen de amenazas incluye: Fecha de la última amenaza eliminada Los dos principales vectores de amenazas, por categoría: Web Dispositivo o soporte externo Red Sistema local Recurso compartido de archivos Correo electrónico Mensaje instantáneo Desconocido Amenazas procedentes de sitios web o descargas. Amenazas procedentes de dispositivos externos, tales como USB, 1394 firewire, esata, cintas, CD, DVD o discos. Amenazas procedentes de la red (no de recursos compartido de red). Amenazas procedentes de los archivos de arranque de la unidad local (normalmente C:) o unidades distintas de las clasificadas como Dispositivo o soporte externo. Amenazas procedentes de los recursos compartidos de red. Amenazas procedentes de correos electrónicos. Amenazas procedentes de mensajería instantánea. Amenazas para las cuales no se ha podido determinar el vector de ataque (debido a una condición de error u otro caso de error). Número de amenazas por vector de amenaza Si Cliente de Endpoint Security no puede llegar al Administrador de eventoscliente de Endpoint Security, muestra un mensaje de error. En ese caso, reinicie el sistema para ver Resumen de amenazas. McAfee Endpoint Security 10.1 Guía del producto 13

14 1 Introducción Interacción con Endpoint Security Cómo afecta la configuración al acceso al cliente La configuración del Modo de interfaz de cliente asignada a su equipo determina a qué módulos y funciones puede acceder. Cambie el Modo de interfaz de cliente en la configuración de Ajustes generales. En los sistemas gestionados, los cambios de directiva realizados en McAfee epo podrían sobrescribir los cambios de la página Configuración. Las opciones de Modo de interfaz de cliente son: Acceso total Permite el acceso a todas las funciones, incluidas: Activar o desactivar módulos y funciones individuales. Acceder a la página Configuración para ver o modificar la configuración de Cliente de Endpoint Security. Este modo es la configuración predeterminada para los sistemas autogestionados. Acceso estándar Muestra el estado de la protección y permite acceder a la mayoría de las funciones: Actualizar los archivos de contenido y componentes de software en el equipo (si el administrador lo ha activado). Realizar una comprobación exhaustiva de todas las áreas de su sistema, recomendado si sospecha que su equipo podría estar infectado. Ejecutar una comprobación rápida (2 minutos) de las áreas de su sistema que sean más susceptibles de infectarse. Acceder al Registro de eventos. Administrar los elementos en cuarentena. Este modo es la configuración predeterminada para los sistemas gestionados con McAfee epo o McAfee epo Cloud. Desde la interfaz de Acceso estándar, puede iniciar sesión como administrador para acceder a todas las funciones, incluidos todos los ajustes. Bloquear interfaz de cliente Requiere una contraseña para acceder al cliente. La contraseña predeterminada es mcafee. Una vez desbloquee la interfaz de cliente, podrá acceder a todas las funciones. Si no puede acceder a Cliente de Endpoint Security o a tareas y funciones específicas que necesita para hacer su trabajo, hable con su administrador. Véase también Configurar parámetros para seguridad de interfaz cliente en la página 31 Cómo afectan al cliente los módulos instalados Algunos aspectos del cliente podrían no estar disponibles, dependiendo de los módulos instalados en su equipo. Estas funciones solo están disponibles si Prevención de amenazas está instalado: Botón Botón Poner en cuarentena 14 McAfee Endpoint Security 10.1 Guía del producto

15 Introducción Interacción con Endpoint Security 1 Las funciones que aparecen dependen de las funciones instaladas en el sistema: En el menú desplegable Registro de eventos Filtrar por módulo. En la página Configuración. Ajustes generales Prevención de amenazas Firewall Control web Inteligencia de amenazas Aparece si hay algún módulo instalado. Aparece solo si Prevención de amenazas está instalado. Aparece solo si Firewall está instalado. Aparece solo si Control web está instalado. Aparece solo si Inteligencia de amenazas y Prevención de amenazas están instalados. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. Inteligencia de amenazas requiere que se haya instalado Prevención de amenazas. Dependiendo del Modo de interfaz de cliente y de como el administrador haya configurado el acceso, todas o algunas de estas funciones podrían no estar disponibles. Véase también Cómo afecta la configuración al acceso al cliente en la página 14 McAfee Endpoint Security 10.1 Guía del producto 15

16 1 Introducción Interacción con Endpoint Security 16 McAfee Endpoint Security 10.1 Guía del producto

17 2 Mediante 2 Cliente de Endpoint Security Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisis del sistema y administración de elemento en cuarentena. Contenido Abra Cliente de Endpoint Security Obtener ayuda Responder a avisos Introduzca información sobre su protección Actualización manual de protección y software Ver el Registro de eventos Administrar Endpoint Security Abra Cliente de Endpoint Security Abra Cliente de Endpoint Security para mostrar el estado de las funciones de protección instaladas en el equipo. Si el modo interfaz está configurado en Bloquear interfaz de cliente, debe introducir la contraseña de administrador para abrir el Cliente de Endpoint Security. Procedimiento 1 Use uno de estos métodos para mostrar Cliente de Endpoint Security: Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuación seleccione McAfee Endpoint Security. Seleccione Inicio Todos los programas McAfee McAfee Endpoint Security. En Windows 8 y 10, inicie la aplicación McAfee Endpoint Security. 1 Pulse la tecla Windows. 2 Introduzca McAfee Endpoint Security en el área de búsqueda y pulse o haga doble clic en la aplicaciónmcafee Endpoint Security. 2 Si se le pide, introduzca la contraseña de administrador en la página Inicio de sesión de administrador, y luego haga clic en Iniciar sesión. Cliente de Endpoint Security se abre en el modo interfaz que el administrador haya configurado. Véase también Desbloquear la interfaz de cliente en la página 26 McAfee Endpoint Security 10.1 Guía del producto 17

18 2 Mediante Cliente de Endpoint Security Obtener ayuda Obtener ayuda Los dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú, y el icono?. Procedimiento 1 Abra Cliente de Endpoint Security. 2 Dependiendo de la página en la que esté: Páginas Estado, Registro de eventos, y Cuarentena: desde el menú Acción, seleccione Ayuda. Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore content, y Cargar Extra.DAT: haga clic en? en la interfaz. Responder a avisos Dependiendo de su configuración, Endpoint Security podría pedirle que introduzca información cuando un análisis bajo demanda planificado esté a punto de empezar. Procedimientos Responder a un aviso de detección de amenaza en la página 18 Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entrada antes de continuar, dependiendo de cómo se haya realizado la configuración. Responder a aviso de análisis en la página 19 Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirle aplazar, pausar, resumir o cancelar el análisis. Respuesta a un aviso de reputación de archivos en la página 19 Cuando un archivo con un nivel de reputación determinado intenta ejecutarse en el sistema, Endpoint Security puede pedirle confirmación para continuar. La confirmación solo aparece si la Inteligencia de amenazas está configurada para que se confirme. Responder a un aviso de detección de amenaza Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entrada antes de continuar, dependiendo de cómo se haya realizado la configuración. Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. En la página Análisis en tiempo real, seleccione opciones para administrar las detecciones de amenazas. Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento. La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema. Véase también Administrar detecciones de amenazas en la página McAfee Endpoint Security 10.1 Guía del producto

19 Mediante Cliente de Endpoint Security Responder a avisos 2 Responder a aviso de análisis Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirle aplazar, pausar, resumir o cancelar el análisis. Si no selecciona una opción, el análisis empezará automáticamente. Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipo está inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si se configura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando está inactivo. Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. Cuando se le pida, seleccione una de estas opciones. Las opciones que aparecen dependen de cómo está configurado el analizador. Analizar ahora Ver análisis Pausar análisis Reanudar análisis Cancelar análisis Aplazar análisis Iniciar el análisis inmediatamente. Ver detecciones correspondientes a un análisis en curso. Pausa el análisis. Dependiendo de la configuración, si hace clic en Pausar análisis podría reconfigurar el análisis para ejecutarse solo cuando esté inactivo. Haga clic en Reanudar análisis para reanudar el análisis desde el punto en el que se detuvo. Reanudar un análisis pausado. Cancela el análisis. Aplaza el análisis durante el número de horas especificado. Las opciones de análisis planificado determinan cuántas veces puede aplazar el análisis durante una hora. Es posible que no pueda aplazar el análisis más de una vez. Cerrar Cierra la página de análisis. Si el analizador detecta una amenaza, Endpoint Security puede pedirle que introduzca información antes de continuar, dependiendo de cómo se haya realizado la configuración. Respuesta a un aviso de reputación de archivos Cuando un archivo con un nivel de reputación determinado intenta ejecutarse en el sistema, Endpoint Security puede pedirle confirmación para continuar. La confirmación solo aparece si la Inteligencia de amenazas está configurada para que se confirme. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. El administrador configura el umbral de reputación, momento en el que se muestra una confirmación. Por ejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación para todos los archivos con una reputación desconocida e inferior. McAfee Endpoint Security 10.1 Guía del producto 19

20 2 Mediante Cliente de Endpoint Security Introduzca información sobre su protección Si no selecciona una opción, la Inteligencia de amenazas toma la acción predeterminada configurada por el administrador. La confirmación, el tiempo de espera y la acción predeterminada dependen de cómo se configure la Inteligencia de amenazas. Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 (Opcional) Cuando se le solicite, introduzca un mensaje para enviar al administrador. Por ejemplo, utilice el mensaje para describir el archivo o para explicar su decisión de permitir o bloquear el archivo en el sistema. 2 Haga clic en Permitir o Bloquear. Permitir Bloquear Permitir el archivo. Bloquear el archivo en el sistema. Para indicar a la Inteligencia de amenazas que no vuelva a pedir confirmación para el archivo, seleccione Recordar esta decisión. La Inteligencia de amenazas actúa según su elección o la acción predeterminada y cierra la ventana de confirmación. Introduzca información sobre su protección Puede encontrar más información sobre su protección Endpoint Security, incluidos el tipo de gestión, módulos de protección, funciones, estado, número de versión y licencias. Procedimiento 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Acerca de. 3 Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acerca de dicho elemento. 4 Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de. Véase también Tipos de administración en la página 20 Abra Cliente de Endpoint Security en la página 17 Tipos de administración El tipo de administración indica cómo se administra Endpoint Security. En los sistemas gestionados, los cambios de directiva realizados en McAfee epo podrían sobrescribir los cambios de la página Configuración. 20 McAfee Endpoint Security 10.1 Guía del producto

21 Mediante Cliente de Endpoint Security Actualización manual de protección y software 2 Tipo de administración McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Autogestionado Descripción Un administrador gestiona Endpoint Security mediante McAfee epo (local). Un administrador gestiona Endpoint Security mediante McAfee epo Cloud. Endpoint Security se gestiona localmente mediante el Cliente de Endpoint Security. Este modo también se llama no gestionado o independiente. Actualización manual de protección y software En función de cómo se hayan configurado los parámetros, puede buscar y descargar actualizaciones de archivos de contenido y componentes de software de forma manual desde Cliente de Endpoint Security. Las actualizaciones manuales se denominan actualizaciones bajo demanda. También puede ejecutar actualizaciones manuales desde el icono de la bandeja del sistema de McAfee. Consulte Acerca del icono de la bandeja del sistema McAfee en la página 10 para obtener información. Endpoint Security no es compatible con la recuperación y copia de forma manual de los archivos de contenido actualizados en el sistema cliente. Si necesita ayuda para actualizar una versión de contenido específica, póngase en contacto con el Soporte de McAfee. Procedimiento 1 Abra Cliente de Endpoint Security. 2 Haga clic en. Si no aparece en el cliente, puede activarlo en la configuración. Consulte Configure el comportamiento predeterminado de las actualizaciones en la página 35 para obtener información. Cliente de Endpoint Security comprueba si hay actualizaciones. Haga clic en Cancelar para cancelar la actualización. Esta opción solo se encuentra disponible en sistemas autogestionados o gestionados por McAfee epo. Si el sistema está actualizado, la página muestra No hay actualizaciones disponibles, así como la fecha y hora de la actualización más reciente. Si la actualización finaliza correctamente, la página muestra la fecha y la hora actuales como la última actualización. Los mensajes o errores aparecen en el área de Mensajes. Consulte los registros PackageManager_Activity.log o PackageManager_Debug.log para obtener más información. 3 Haga clic en Cerrar para cerrar la página Actualizar. McAfee Endpoint Security 10.1 Guía del producto 21

22 2 Mediante Cliente de Endpoint Security Ver el Registro de eventos Véase también Cómo se mantiene actualizada su protección en la página 8 Acerca de los archivos de registro en la página 23 Qué se actualiza en la página 22 Abra Cliente de Endpoint Security en la página 17 Qué se actualiza Endpoint Security actualiza contenido de seguridad, software (hotfixes y parches) y configuraciones de directivas de forma diferente, según el tipo de administración. En sistemas autogestionados y gestionados por McAfee epo, es posible configurar la visibilidad y el comportamiento del botón análisis en la página 37 para obtener información.. Consulte Configure, planifique y actualice tareas de Tipo de administración McAfee epo McAfee epo Cloud Autogestionado Método de actualización Opción Actualizar seguridad en el menú del icono de la bandeja del sistema de McAfee Botón Endpoint Security en Cliente de Opción Actualizar seguridad en el menú del icono de la bandeja del sistema de McAfee Botón Endpoint Security en Cliente de Opción Actualizar seguridad en el menú del icono de la bandeja del sistema de McAfee Botón Endpoint Security en Cliente de Actualizaciones Solo contenido y software (no configuraciones de directivas). Contenido, software y configuraciones de directivas (si se han especificado). Contenido, software y configuraciones de directivas. Contenido, software y configuraciones de directivas (si se han especificado). Solo contenido y software. Contenido, software y configuraciones de directivas (si se han especificado). Ver el Registro de eventos Los registros de actividades y depuración almacenan datos de eventos que se producen en el sistema protegido por McAfee. Puede ver el Registro de eventos desde Cliente de Endpoint Security. Procedimiento Para obtener ayuda, en el menú Acción, seleccione Ayuda. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Registro de eventos en el lado izquierdo de la página. Esta página muestra todos los eventos que Endpoint Security ha registrado en el sistema en los últimos treinta días. Si Cliente de Endpoint Security no puede acceder a Administrador de eventos, muestra un mensaje de error de comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos. 22 McAfee Endpoint Security 10.1 Guía del producto

23 Mediante Cliente de Endpoint Security Ver el Registro de eventos 2 3 Seleccione un evento en el panel superior para ver los detalles en el panel inferior. Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y arrástrelo entre los paneles. 4 En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos. Las opciones que aparecen dependen de cómo está configurado el analizador. Para... Ordenar los eventos por fecha, funciones, acción realizada y gravedad. Buscar en el registro de eventos. Filtrar los eventos por gravedad o módulo. Actualizar el Registro de eventos con los eventos nuevos. Abrir la carpeta que contiene los archivos de registro. Pasos Haga clic en el encabezado de columna. Introduzca el texto de búsqueda en el campo Buscar y pulse Intro o haga clic en Buscar. En la búsqueda no se distingue entre mayúsculas y minúsculas, y el texto buscado se comprueba en todos los campos del registro de eventos. La lista de eventos incluye todos los elementos con texto coincidente. Para cancelar la búsqueda y mostrar todos los eventos, haga clic en x en el campo Buscar. En la lista desplegable de filtros, seleccione una opción. Para eliminar el filtro y mostrar todos los eventos, seleccione Mostrar todos los eventos de la lista desplegable. Haga clic en. Haga clic en Ver directorio de registros. 5 Navegar en el Registro de eventos. Para... Mostrar la página de eventos anterior. Mostrar la página de eventos siguiente. Pasos Haga clic en Página anterior. Haga clic en Página siguiente. Mostrar una página concreta del registro. Introduzca un número de página y pulse Intro o haga clic en Ir. De forma predeterminada, el Registro de eventos muestra 20 eventos por página. Para mostrar más eventos por página, seleccione una opción de la lista desplegable Eventos por página. Véase también Acerca de los archivos de registro en la página 23 Abra Cliente de Endpoint Security en la página 17 Acerca de los archivos de registro Los archivos de registro de actividades, errores y depuración almacenan los eventos que se producen en los sistemas con Endpoint Security activada. Configurar el registro en los parámetros de Ajustes generales. Los archivos de registro de actividades siempre aparecen en el idioma especificado en la configuración regional predeterminada del sistema. Todos los archivos de registro de actividades y depuración se almacenan en una de las ubicaciones predeterminadas siguientes, según el sistema operativo. McAfee Endpoint Security 10.1 Guía del producto 23

24 2 Mediante Cliente de Endpoint Security Ver el Registro de eventos Sistema operativo Microsoft Windows 10 Microsoft Windows 8 y 8.1 Microsoft Windows 7 Microsoft Vista Ubicación predeterminada %ProgramData%\McAfee\Endpoint Security\Logs C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs Cada módulo, función o tecnología almacena el registro de actividades o depuración en un archivo aparte. Los módulos almacenan los registros de errores en un solo archivo EndpointSecurityPlatform_Errors.log. La activación del registro de depuración para cualquier módulo también lo activa para las funciones del módulo Ajustes generales, como por ejemplo Autoprotección. Tabla 2-1 Archivos de registro Módulo Función o tecnología Nombre del archivo Ajustes generales Prevención de amenazas Autoprotección Actualizaciones Errores La activación del registro de depuración para cualquier tecnología de la Prevención de amenazas también lo activa para Cliente de Endpoint Security. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log AccessProtection_Activity.log AccessProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Firewall Protección de acceso Prevención de exploit Analizador en tiempo real Analizador bajo demanda Análisis rápido Análisis completo Análisis con el botón derecho del ratón Cliente de Endpoint Security AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log 24 McAfee Endpoint Security 10.1 Guía del producto

25 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Tabla 2-1 Archivos de registro (continuación) Módulo Función o tecnología Nombre del archivo FirewallEventMonitor.log Registros bloqueados y eventos de tráfico permitidos, si se ha configurado. Control web Inteligencia de amenazas La activación del registro de depuración para cualquier tecnología de Prevención de amenazas también lo activa para Inteligencia de amenazas. WebControl_Activity.log WebControl_Debug.log ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log De forma predeterminada, los archivos de registro de instalación se almacenan en estas ubicaciones: Autogestionado Gestionado %TEMP%\McAfeeLogs (carpeta TEMP de usuario de Windows) TEMP\McAfeeLogs (carpeta TEMP del sistema de Windows) Administrar Endpoint Security Como administrador, puede gestionar Endpoint Security desde Cliente de Endpoint Security, mediante tareas como activar y desactivar funciones, administrar archivos de contenido, especificar cómo se comporta la interfaz de cliente y ajustar la configuración común. En los sistemas gestionados, los cambios de directiva realizados en McAfee epo podrían sobrescribir los cambios de la página Configuración. Véase también Iniciar sesión como administrador en la página 25 Desbloquear la interfaz de cliente en la página 26 Desactivar y activar funciones en la página 26 Cambiar versión de AMCore content en la página 27 Utilice archivos Extra.DAT en la página 28 Configurar parámetros comunes en la página 29 Iniciar sesión como administrador Si el modo de interfaz del Cliente de Endpoint Security se establece en Acceso estándar, es posible iniciar sesión como administrador a fin de acceder a toda la configuración. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se debe establecer en Acceso estándar. McAfee Endpoint Security 10.1 Guía del producto 25

26 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security Procedimiento Para obtener ayuda, en el menú Acción, seleccione Ayuda. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Inicio de sesión de administrador. 3 En el campo Contraseña, introduzca la contraseña de administrador y haga clic en Iniciar sesión. Ahora podrá acceder a todas las funciones del Cliente de Endpoint Security. Para cerrar sesión, seleccione Acción Cerrar sesión de administrador. El cliente regresa al modo de interfaz Acceso estándar. Desbloquear la interfaz de cliente Si la interfaz para Cliente de Endpoint Security está bloqueada, desbloquéela con la contraseña de administrador para acceder a todas las opciones de configuración. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se debe establecer en Bloquear interfaz de cliente. Procedimiento 1 Abra Cliente de Endpoint Security. 2 En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campo Contraseña y, a continuación, haga clic en Iniciar sesión. Cliente de Endpoint Security se abre y se puede acceder a todas las funciones del cliente. Para cerrar sesión y cliente, en el menú Acción, seleccione Cerrar sesión de administrador. Desactivar y activar funciones Como administrador, puede desactivar y activar las funciones de Endpoint Security desde el Cliente de Endpoint Security. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. La página Estado muestra el estado activado del módulo de función, que puede no reflejar el estado real de la función. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si el parámetro Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: desactivado). 26 McAfee Endpoint Security 10.1 Guía del producto

27 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en el nombre de módulo (como Threat Prevention o Firewall) en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en el nombre de módulo en la página Configuración. 3 Seleccione o anule la selección de la opción Activar módulo o Función. Activar cualquiera de las funciones Prevención de amenazas activa también el módulo Prevención de amenazas. Véase también Iniciar sesión como administrador en la página 25 Cambiar versión de AMCore content Utilice Cliente de Endpoint Security para cambiar la versión de AMCore content en el sistema. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar una versión anterior. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Revertir AMCore content. 3 Seleccione la versión para cargar del elemento desplegable. 4 Haga clic en Aplicar. Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente. Véase también Cómo funcionan los archivos de contenido en la página 9 Iniciar sesión como administrador en la página 25 McAfee Endpoint Security 10.1 Guía del producto 27

28 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security Utilice archivos Extra.DAT Puede instalar un archivo Extra.DAT para proteger los su equipo contra un brote de malware importante hasta que se publique la próxima actualización de AMCore content. Procedimientos Descargar archivos Extra.DAT en la página 28 Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfee Labs. Cargue un archivo Extra.DAT en la página 28 Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security. Véase también Acerca de archivos Extra.DAT en la página 28 Acerca de archivos Extra.DAT Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfee Labs facilita un archivo Extra.DAT. Los archivos Extra.DAT contienen información que Prevención de amenazas utiliza para manejar el nuevo malware. Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud de Extra.DAT de McAfee Labs. Prevención de amenazas solo admite el uso de un archivo Extra.DAT. Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivo Extra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instalado en el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha de caducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. El Extra.DAT se elimina del sistema en la siguiente actualización. Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT. Endpoint Security almacena archivos Extra.DAT en la carpeta c:\program Files\Common Files\McAfee \Engine\content\avengine\extradat. Descargar archivos Extra.DAT Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfee Labs. Procedimiento 1 Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT y haga clic en Guardar. 2 Si es preciso, descomprima el archivo EXTRA.ZIP. 3 Cargue el archivo Extra.DAT con Cliente de Endpoint Security. Cargue un archivo Extra.DAT Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. 28 McAfee Endpoint Security 10.1 Guía del producto

29 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Cargar Extra.dat. 3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, a continuación, haga clic en Abrir. 4 Haga clic en Aplicar. Las nuevas detecciones en el Extra.DAT se aplican inmediatamente. Véase también Iniciar sesión como administrador en la página 25 Configurar parámetros comunes Configure parámetros aplicables a todos los módulos y las funciones de Endpoint Security en el módulo Ajustes generales. Estos parámetros incluyen seguridad de interfaz y configuración de idioma para Cliente de Endpoint Security, inicio de sesión, servidor proxy para McAfee GTI y configuración de la actualización. Procedimientos Proteger recursos de Endpoint Security en la página 29 Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el software de seguridad del sistema. Configure los parámetros de autoprotección de Endpoint Security enajustes generales para impedir que se detengan o modifiquen los servicios y archivos de Endpoint Security. Configurar parámetros de registro en la página 30 Configure el registro Endpoint Security en los parámetros del Ajustes generales. Permitir autenticación mediante certificados en la página 30 Los certificados permiten que un proveedor ejecute código en los procesos de McAfee. Configurar parámetros para seguridad de interfaz cliente en la página 31 Configure las opciones de visualización y contraseña de la interfaz para Cliente de Endpoint Security en la configuración de Ajustes generales. Configuración del servidor proxy para McAfee GTI en la página 32 Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en la configuración deajustes generales. Proteger recursos de Endpoint Security Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el software de seguridad del sistema. Configure los parámetros de autoprotección de Endpoint Security enajustes generales para impedir que se detengan o modifiquen los servicios y archivos de Endpoint Security. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Los usuarios, administradores, desarrolladores o profesionales de la seguridad nunca deberían necesitar desactivar la protección de Endpoint Security en los sistemas. McAfee Endpoint Security 10.1 Guía del producto 29

30 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 Desde Autoprotección, verifique que Autoprotección está activado. 5 Especifique la acción para cada uno de los siguientes recursos de Endpoint Security: Archivos y carpetas: impide que los usuarios modifiquen bases de datos, archivos binarios, archivos de búsqueda segura y archivos de configuración de McAfee. Registro: impide que los usuarios modifiquen el subárbol del registro de McAfee y los componentes COM, y que desinstalen mediante el valor de registro. Procesos Impide la detención de los procesos de McAfee. 6 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Configurar parámetros de registro Configure el registro Endpoint Security en los parámetros del Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 Configure los parámetros de Registro de cliente en la página. 5 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Acerca de los archivos de registro en la página 23 Iniciar sesión como administrador en la página 25 Permitir autenticación mediante certificados Los certificados permiten que un proveedor ejecute código en los procesos de McAfee. Cuando se detecta un proceso, se completa la tabla de certificados con el Proveedor, Asunto y Clave pública SHA-1. Esta configuración puede dar lugar a problemas de compatibilidad y a un nivel de seguridad reducido. 30 McAfee Endpoint Security 10.1 Guía del producto

31 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Para ver las definiciones de las opciones, haga clic en? en la interfaz. Procedimiento 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 En la sección Certificados, seleccione Permitir. 5 Haga clic en Aplicar para guardar los cambios o en Cancelar. La información de certificado se muestra en la tabla. Configurar parámetros para seguridad de interfaz cliente Configure las opciones de visualización y contraseña de la interfaz para Cliente de Endpoint Security en la configuración de Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Modifique estos parámetros con cuidado porque pueden permitir que los usuarios cambien su configuración de la seguridad, lo cual dejaría desprotegidos los sistemas frente a los ataques de malware. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Configure los parámetros de Modo de interfaz de cliente en la página. 4 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Efectos de definir una contraseña de administrador en la página 31 Iniciar sesión como administrador en la página 25 Efectos de definir una contraseña de administrador Cuando se establece el modo de interfaz en Acceso estándar, también se debe definir una contraseña de administrador. Definir una contraseña de administrador en Cliente de Endpoint Security afecta a los usuarios siguientes: McAfee Endpoint Security 10.1 Guía del producto 31

32 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security No administradores (usuarios sin derechos de administrador) Los no administradores pueden: Ver algunos parámetros de configuración. Ejecutar análisis. Buscar actualizaciones (si está activado). Ver la Cuarentena. Ver el Registro de eventos. Acceda a la página Configuración para ver o modificar reglas de Firewall (si está activado). Los no administradores no pueden: Cambiar parámetros de configuración. Vea, cree, elimine o modifique la configuración. Una excepción es la posibilidad de ver o modificar reglas de Firewall (si se ha activado). Administradores (usuarios con derechos de administración) Los administradores deben escribir la contraseña para acceder a las áreas protegidas y modificar parámetros. Configuración del servidor proxy para McAfee GTI Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en la configuración deajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 Configure los parámetros de Servidor proxy para McAfee GTI en la página. 5 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Cómo funciona McAfee GTI en la página 32 Iniciar sesión como administrador en la página 25 Cómo funciona McAfee GTI Si activa McAfee GTI para el analizador en tiempo real y bajo demanda, el analizador utiliza heurística para buscar archivos sospechosos. El servidor de McAfee GTI almacena las calificaciones de sitio web y muestra informes para Control web. Si configura Control web para analizar los archivos descargados, 32 McAfee Endpoint Security 10.1 Guía del producto

33 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 el analizador utilizará la reputación de archivos proporcionada por McAfee GTI para comprobar la existencia de archivos sospechosos. El analizador envía huellas digitales de muestras, o hashes, a un servidor de bases de datos central alojado por McAfee Labs para determinar si son malware. Al enviar hashes, la detección podría estar disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs publique la actualización. Puede configurar el nivel de sensibilidad que McAfee GTI utiliza cuando determina si una muestra detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitir más detecciones, también pueden obtenerse más resultados falsos positivos. Para Prevención de amenazas el nivel de sensibilidad predeterminado de McAfee GTI es Medio. Defina el nivel de sensibilidad de cada analizador en la configuración de Prevención de amenazas. Para Control web, el nivel de sensibilidad predeterminado de McAfee GTI es Muy alto. Defina el nivel de sensibilidad para analizar descargas de archivos en la configuración de Opciones de Control web. Puede configurar Endpoint Security para usar un servidor proxy para recuperar la información de reputación de McAfee GTI en la configuración del Ajustes generales. Configurar el comportamiento de las actualizaciones Especifique el comportamiento de las actualizaciones iniciadas desde Cliente de Endpoint Security en la configuración de Ajustes generales. Procedimientos Configurar sitios de origen para actualizaciones en la página 33 Para los sistemas autogestionados y gestionados por McAfee epo, puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de seguridad actualizados en la configuración del Ajustes generales. Configure el comportamiento predeterminado de las actualizaciones en la página 35 Para sistemas autogestionados y gestionados por McAfee epo, puede especificar el comportamiento predeterminado de las actualizaciones iniciadas desde Cliente de Endpoint Security en la configuración del Ajustes generales. Configure, planifique y actualice tareas de análisis en la página 37 Para sistemas autogestionados y gestionados por McAfee epo, puede configurar tareas de actualización personalizadas o cambiar la planificación de la tarea Actualización de cliente predeterminada desde Cliente de Endpoint Security en la configuración del Ajustes generales. Configure, planifique y ejecute tareas de duplicación en la página 38 Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la configuración del Ajustes generales. Configurar sitios de origen para actualizaciones Para los sistemas autogestionados y gestionados por McAfee epo, puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de seguridad actualizados en la configuración del Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Solo puede configurar estos parámetros en sistemas autogestionados o gestionados mediante McAfee epo. McAfee Endpoint Security 10.1 Guía del producto 33

34 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 En Ajustes generales, haga clic en Opciones. 5 Ajuste la configuración de Sitios de origen para las actualizaciones en la página. Puede activar y desactivar el sitio de origen de copia de seguridad predeterminado, McAfeeHttp, y el servidor de gestión (para sistemas gestionados), pero no podrá modificarlos ni eliminarlos. El orden de los sitios determina el orden que Endpoint Security utiliza para buscar el sitio de actualización. Para... Agregar un sitio a la lista. Siga estos pasos 1 Haga clic en Agregar. 2 Especifique la configuración del sitio y haga clic en Aceptar. El sitio aparece al principio de la lista. Modificar un sitio existente. 1 Haga clic en el nombre del sitio. 2 Modifique las opciones y haga clic en Aceptar. Eliminar un sitio. Importar sitios desde un archivo de lista de sitios de origen. Seleccione el sitio y haga clic en Eliminar. 1 Haga clic en Importar. 2 Seleccione el archivo para importar y haga clic en Aceptar. El archivo de lista de sitios reemplaza la lista de sitios de origen actual. Exportar la lista de sitios de origen al archivo SiteList.xml. Cambiar el orden de los sitios en la lista. 1 Haga clic en Exportar todo. 2 Seleccione la ubicación para guardar el archivo de lista de sitios de origen, a continuación haga clic en Aceptar. Para mover elementos: 1 Seleccione los elementos que mover. El control de ajuste puedan moverse. 6 Haga clic en Aplicar para guardar los cambios o en Cancelar. aparece a la izquierda de los elementos que 2 Arrastre y coloque los elementos en su nueva ubicación. Una línea azul aparece entre elementos allí donde se pueden colocar los elementos arrastrados. 34 McAfee Endpoint Security 10.1 Guía del producto

35 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Véase también Qué contiene la lista de repositorios en la página 35 Cómo funciona la tarea Actualización cliente predeterminada en la página 36 Iniciar sesión como administrador en la página 25 Configure, planifique y actualice tareas de análisis en la página 37 Qué contiene la lista de repositorios La lista de repositorios especifica información acerca de los repositorios que McAfee Agent utiliza para actualizar productos de McAfee, incluidos archivos DAT y de motor. La lista de repositorios incluye: Información y ubicación de repositorios Orden de preferencia de repositorios Configuración del servidor proxy, si se requiere Credenciales cifradas necesarias para el acceso a cada repositorio La tarea cliente de actualización de producto de McAfee Agent se conecta al primer repositorio activado (sitio de actualización) en la lista de repositorios. Si este repositorio no está disponible, la tarea establece contacto con el siguiente sitio de la lista, hasta que consigue conectarse o llega al final de la lista. Si la red utiliza un servidor proxy, puede especificar qué configuración de proxy utilizar, la dirección del servidor proxy y si se utilizará autenticación. La información de proxy se almacena en la lista de repositorios. La configuración de proxy especificada se aplicará a todos los repositorios de la lista. La ubicación de la lista de repositorios depende del sistema operativo: Sistema operativo Ubicación de lista de repositorios Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 Versiones anteriores C:\Documents and Settings\All Users\Datos de programa\mcafee\common Framework\SiteList.xml Configure el comportamiento predeterminado de las actualizaciones Para sistemas autogestionados y gestionados por McAfee epo, puede especificar el comportamiento predeterminado de las actualizaciones iniciadas desde Cliente de Endpoint Security en la configuración del Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Solo puede configurar estos parámetros en sistemas autogestionados o gestionados mediante McAfee epo. Utilice esta configuración para: Mostrar u ocultar el botón en el cliente. Especificar qué actualizar cuando el usuario hace clic en el botón o ejecuta la tarea Actualización de cliente predeterminada. McAfee Endpoint Security 10.1 Guía del producto 35

36 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security De forma predeterminada, la tarea Actualización de cliente predeterminada se ejecuta cada día a la 1:00 de la madrugada y se repite cada cuatro horas hasta las 23:59 h. Para cambiar la planificación, consulte Configure, planifique y actualice tareas de análisis en la página 37. En sistemas autogestionados, la tarea Actualización de cliente predeterminada actualiza todo el contenido y el software. En sistemas gestionados, esta tarea solo actualiza el contenido. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 Configure los parámetros de Actualización de cliente predeterminada en la página. 5 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Configurar sitios de origen para actualizaciones en la página 33 Configure, planifique y actualice tareas de análisis en la página 37 Cómo funciona la tarea Actualización cliente predeterminada La tarea Actualización cliente predeterminada descarga la protección más reciente a Cliente de Endpoint Security. Endpoint Security incluye la tarea Actualización de cliente predeterminada que se ejecuta cada día a la 1:00 de la madrugada y se repite cada cuatro horas hasta las 23:59 h. La tarea Actualización de cliente predeterminada: 1 Conecta al primer sitio de origen activado en la lista. Si el sitio no está disponible, la tarea contacta el siguiente sitio hasta que logra establecer una conexión o alcanza el final de la lista. 2 Se descarga un archivo CATALOG.Z codificado desde el sitio. El archivo contiene información necesaria para llevar a cabo la actualización, incluyendo archivos disponibles y actualizaciones. 3 Compara las versiones de software contenidas en el archivo con las versiones existentes en el equipo y descarga cualquier actualización de software disponible. Si la tarea Actualización de cliente predeterminada se interrumpe durante la actualización: Actualización desde HTTP, UNC o un sitio local Si se interrumpe Se reanuda desde donde se interrumpió la actualización la próxima vez que se inicie la tarea de actualización. Sitio FTP (descarga de un solo archivo) No se reanuda si se interrumpe. Sitio FTP (descarga de varios archivos) Véase también Configurar sitios de origen para actualizaciones en la página 33 Configure, planifique y actualice tareas de análisis en la página 37 Qué contiene la lista de repositorios en la página 35 Se reanuda antes del archivo que se estaba descargando en el momento de la interrupción. 36 McAfee Endpoint Security 10.1 Guía del producto

37 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Configure, planifique y actualice tareas de análisis Para sistemas autogestionados y gestionados por McAfee epo, puede configurar tareas de actualización personalizadas o cambiar la planificación de la tarea Actualización de cliente predeterminada desde Cliente de Endpoint Security en la configuración del Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Solo puede configurar estos parámetros en sistemas autogestionados o gestionados mediante McAfee epo. Utilice estos ajustes para configurar desde el cliente cuándo se debe ejecutar la tarea Actualización de cliente predeterminada. Consulte Configure el comportamiento predeterminado de las actualizaciones en la página 35 para configurar el comportamiento predeterminado de actualizaciones de cliente iniciadas desde Cliente de Endpoint Security. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 En Ajustes generales, haga clic en Tareas. 5 Configure los ajustes de la tarea de actualización en la página. Para... Crear una tarea de actualización personalizada. Siga estos pasos 1 Haga clic en Agregar. 2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea, seleccione Actualizar. 3 Configure los ajustes y haga clic en Aceptar para guardar la tarea. Cambiar una tarea de actualización. Eliminar una tarea de actualización personalizada. Crear una copia de una tarea de actualización. Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar para guardarla. Seleccione la tarea y haga clic en Eliminar. 1 Seleccione la tarea y haga clic en Duplicar. 2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar para guardar la tarea. McAfee Endpoint Security 10.1 Guía del producto 37

38 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security Para... Cambiar la planificación de una tarea de Actualización de cliente predeterminada. Siga estos pasos 1 Haga doble clic en Actualización de cliente predeterminada. 2 Haga clic en la ficha Planificación, modifique la planificación y haga clic en Aceptar para guardar la tarea. Consulte Configure el comportamiento predeterminado de las actualizaciones en la página 35 para configurar el comportamiento predeterminado de actualizaciones de cliente iniciadas desde Cliente de Endpoint Security. Ejecutar una tarea de actualización. Seleccione la tarea y haga clic en Ejecutar ahora. Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver. Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación para guardar la configuración. 6 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Cómo funciona la tarea Actualización cliente predeterminada en la página 36 Configurar sitios de origen para actualizaciones en la página 33 Configure, planifique y ejecute tareas de duplicación Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la configuración del Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 En Ajustes generales, haga clic en Tareas. 5 Configure los ajustes de la tarea de duplicación en la página. 38 McAfee Endpoint Security 10.1 Guía del producto

39 Mediante Cliente de Endpoint Security Administrar Endpoint Security 2 Para... Crear una tarea de duplicación. Siga estos pasos 1 Haga clic en Agregar. 2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea, seleccione Duplicar. 3 Configure los ajustes y haga clic en Aceptar. Cambiar una tarea de duplicación. Eliminar una tarea de duplicación. Crear una copia de una tarea de duplicación. Planificar una tarea de duplicación. Ejecutar una tarea de duplicación. Haga doble clic en la tarea de duplicación, efectúe los cambios y haga clic en Aceptar. Seleccione la tarea y haga clic en Eliminar. 1 Seleccione la tarea y haga clic en Duplicar. 2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar. 1 Haga doble clic en la tarea. 2 Haga clic en la ficha Planificación, modifique la planificación y haga clic en Aceptar para guardar la tarea. Seleccione la tarea y haga clic en Ejecutar ahora. Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver. Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación para guardar la configuración. 6 Haga clic en Aplicar para guardar los cambios o en Cancelar. Cómo funcionan las tareas de duplicación Las tareas de duplicación replican los archivos de actualización del primer repositorio accesible, definido en la lista de repositorios, hasta un sitio de duplicación ubicado en su red. El uso más habitual de estas tareas es el de duplicar el contenido del sitio de descarga de McAfee en un servidor local. Una vez replicado el sitio de McAfee que contiene los archivos de actualización, los equipos de la red pueden descargar los archivos del sitio de duplicación. Esto permite actualizar cualquier ordenador de la red, tanto si tiene acceso a Internet como si no. El uso de un sitio replicado es más eficaz, porque lo sistemas se comunican con un servidor más próximo al sitio de McAfee en Internet, lo que ahorra tiempo de acceso y descarga. Prevención de amenazas depende de un directorio para actualizarse. Por lo tanto, al duplicar un sitio, es importante replicar toda la estructura de directorios. McAfee Endpoint Security 10.1 Guía del producto 39

40 2 Mediante Cliente de Endpoint Security Administrar Endpoint Security 40 McAfee Endpoint Security 10.1 Guía del producto

41 3 Mediante 3 Prevención de amenazas Prevención de amenazas comprueba la existencia de virus, spyware, programas no deseados y otras amenazas en el equipo. Contenido Analizar el equipo en busca de malware Administrar detecciones de amenazas Administrar elementos en cuarentena Administrar Prevención de amenazas Analizar el equipo en busca de malware Analice en busca de malware en el equipo seleccionando opciones en Cliente de Endpoint Security o desde el Explorador de Windows. Procedimientos Ejecutar un Análisis completo o Análisis rápido en la página 42 Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipo manualmente. Analizar un archivo o carpeta en la página 44 Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivo o carpeta individual que sospeche que pueda estar infectado. Véase también Tipos de análisis en la página 41 Tipos de análisis Endpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda. Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución en los equipos gestionados. En el caso de equipos gestionados, configure el analizador en tiempo real en la página Configuración. Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real intercepta la operación y analiza el elemento según los criterios definidos en la configuración. Análisis bajo demanda McAfee Endpoint Security 10.1 Guía del producto 41

42 3 Mediante Prevención de amenazas Analizar el equipo en busca de malware Manual El administrador (o el usuario, en el caso de sistemas autogestionados) configura análisis bajo demanda predefinidos o personalizados que los usuarios pueden ejecutar en equipos gestionados. Ejecute un análisis bajo demanda predefinido en cualquier momento desde Cliente de Endpoint Security haciendo clic en seleccionando un tipo de análisis: Análisis rápido ejecuta una comprobación rápida de las áreas del sistema más susceptibles de infección. Análisis completo realizar una comprobación exhaustiva de todas las áreas del sistema. (Se recomienda si sospecha que el equipo está infectado.) Analice un archivo o una carpeta en cualquier momento desde el Explorador de Windows haciendo clic con el botón derecho y seleccionando Analizar en busca de amenazas en el menú emergente. Para configurar y ejecutar un análisis bajo demanda personalizado como administrador desde Cliente de Endpoint Security: 1 Seleccione Configuración Ajustes generales Tareas. 2 Seleccione la tarea que ejecutar. 3 Haga clic en Ejecutar ahora. Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura y planifica análisis bajo demanda para su ejecución en los equipos. Cuando un análisis bajo demanda planificado está a punto de iniciarse, Endpoint Security muestra un mensaje de análisis en la parte inferior de la pantalla. Puede iniciar el análisis inmediatamente o aplazarlo, si se ha configurado. Para configurar y planificar los análisis bajo demanda predefinidos Análisis rápido y Análisis completo: 1 Configuración Análisis bajo demanda Análisis completo o Análisis rápido: configura análisis bajo demanda. 2 Configuración Common Tareas planifica análisis bajo demanda. y Véase también Configure, planifique y ejecute tareas de análisis en la página 75 Responder a aviso de análisis en la página 19 Ejecutar un Análisis completo o Análisis rápido Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipo manualmente. Antes de empezar El módulo Prevención de amenazas debe estar instalado. El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado la configuración. Con credenciales de administrador puede modificar y planificar estos análisis en la configuración Análisis bajo demanda. 42 McAfee Endpoint Security 10.1 Guía del producto

43 Mediante Prevención de amenazas Analizar el equipo en busca de malware 3 Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en. 3 En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo. Análisis completo Análisis rápido Realiza una comprobación exhaustiva de todas las áreas de su sistema, recomendado si sospecha que su equipo podría estar infectado. Ejecuta una comprobación rápida de las áreas de su sistema que sean más susceptibles de infectarse. Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis. También puede que vea el botón Ver detecciones en el análisis en tiempo real, dependiendo de la configuración y de si se ha detectado una amenaza. Haga clic en este botón para abrir la página Análisis en tiempo real y administrar las detecciones en cualquier momento. Consulte Administrar detecciones de amenazas en la página 45. Cliente de Endpoint Security muestra el estado del análisis en una nueva página. La Fecha de creación de contenido del analizador indica la última vez que se ha actualizado el contenido. Si el contenido tiene una antigüedad superior a dos días, McAfee recomienda actualizar la protección antes de ejecutar el análisis. 4 Haga clic en los botones de la parte superior de la página de estado para controlar el análisis. Pausar análisis Reanudar análisis Cancelar análisis Pausa el análisis antes de que se complete. Reanudar un análisis pausado. Cancela un análisis en ejecución. 5 Una vez completado el análisis, la página muestra el número de archivos analizados, el tiempo transcurrido y las posibles detecciones. Nombre de detección Tipo Archivo Acción Identifica el nombre del malware detectado. Muestra el tipo de amenaza. Identifica el archivo infectado. Describe la última acción de seguridad emprendida en el archivo infectado: Acceso denegado Limpiado Eliminado Ninguno La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda. McAfee Endpoint Security 10.1 Guía del producto 43

44 3 Mediante Prevención de amenazas Analizar el equipo en busca de malware 6 Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo infectado. Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén disponibles. 7 Haga clic en Cerrar para cerrar la página. Véase también Tipos de análisis en la página 41 Nombres de detecciones en la página 48 Actualización manual de protección y software en la página 21 Administrar detecciones de amenazas en la página 45 Configurar Análisis bajo demanda en la página 70 Configure, planifique y ejecute tareas de análisis en la página 75 Analizar un archivo o carpeta Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivo o carpeta individual que sospeche que pueda estar infectado. Antes de empezar El módulo Prevención de amenazas debe estar instalado. El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado la configuración. Con credenciales de administrador puede modificar estos análisis en la configuración Análisis bajo demanda. Procedimiento 1 En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y seleccione Analizar en busca de amenazas desde el menú emergente. Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas. 2 Haga clic en los botones en la parte superior de la página para controlar el análisis. Pausar análisis Reanudar análisis Cancelar análisis Pausa el análisis antes de que se complete. Reanudar un análisis pausado. Cancela un análisis en ejecución. 3 Una vez completado el análisis, la página muestra el número de archivos analizados, el tiempo transcurrido y las posibles detecciones. Nombre de detección Tipo Archivo Acción Identifica el nombre del malware detectado. Muestra el tipo de amenaza. Identifica el archivo infectado. Describe la última acción de seguridad emprendida en el archivo infectado: Acceso denegado Limpiado Eliminado Ninguno La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda. 44 McAfee Endpoint Security 10.1 Guía del producto

45 Mediante Prevención de amenazas Administrar detecciones de amenazas 3 4 Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo infectado. Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén disponibles. 5 Haga clic en Cerrar para cerrar la página. Véase también Tipos de análisis en la página 41 Configurar Análisis bajo demanda en la página 70 Nombres de detecciones en la página 48 Administrar detecciones de amenazas Dependiendo de su configuración, puede gestionar las detecciones de amenazas desde Cliente de Endpoint Security. Antes de empezar El módulo Prevención de amenazas debe estar instalado. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Analizar ahora para abrir la página Analizar sistema. 3 Desde Análisis bajo demanda, haga clic en Ver detecciones. Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería de usuario está desactivada. La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema. 4 Desde la página Análisis en tiempo real, seleccione una de estas opciones. Limpiar Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena. Endpoint Security usa información de los archivos de contenido para limpiar los archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y no se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfee recomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copia de seguridad limpia. Eliminar Eliminar entrada Cerrar Elimina el elemento que contiene la amenaza. Elimina una entrada de la lista de detección. Cierra la página de análisis. Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible. Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado. La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema. McAfee Endpoint Security 10.1 Guía del producto 45

46 3 Mediante Prevención de amenazas Administrar elementos en cuarentena Administrar elementos en cuarentena Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puede realizar acciones en los elementos en cuarentena. Antes de empezar El módulo Prevención de amenazas debe estar instalado. Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenido con información que limpia la amenaza. Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos, registros o todo lo que Endpoint Security analice en busca de malware. Procedimiento Para obtener ayuda, en el menú Acción, seleccione Ayuda. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Poner en cuarentena en el lado izquierdo de la página. La página muestra todos los elementos en cuarentena. Si Cliente de Endpoint Security no puede acceder al Administrador de cuarentena, muestra un mensaje de error de comunicación. De ser así, reinicie el sistema para ver la página Cuarentena. 46 McAfee Endpoint Security 10.1 Guía del producto

47 Mediante Prevención de amenazas Administrar elementos en cuarentena 3 3 Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior. Para... Cambiar el tamaño relativo de los paneles. Ordenar elementos de la tabla por nombre o tipo de amenaza. Haga lo siguiente... Haga clic y arrastre el marco deslizante entre los paneles. Haga clic en el encabezado de columna. 4 En la página Cuarentena, realice acciones en elementos seleccionados. Para... Eliminar elementos en cuarentena. Siga estos pasos Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminar para confirmar. Los archivos eliminados no se pueden restaurar. Restaurar elementos en cuarentena. Seleccione elementos, haga clic en Restaurar y, a continuación, haga clic de nuevo en Restaurar para confirmar. Endpoint Security restaura los elementos a su ubicación original y los quita de la cuarentena. Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a la cuarentena la próxima vez que se acceda a dicho elemento. Volver a analizar elementos. Ver un elemento en el Registro de eventos. Obtener más información sobre una amenaza. Seleccione elementos, luego haga clic en Volver a analizar. Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena. Seleccione un elemento y haga clic en el vínculo Ver en Registro de eventos en el panel de detalles. La página Registro de eventos se abre, y el evento relacionado con el elemento seleccionado aparecerá resaltado. Seleccione un elemento y haga clic en el vínculo Obtenga más información sobre esta amenaza en el panel de detalles. Se abre una nueva ventana de navegador en el sitio web McAfee Labs con más información acerca de la amenaza que provocó que el elemento se pusiera en cuarentena. Véase también Nombres de detecciones en la página 48 Volver a analizar elementos en cuarentena en la página 49 Abra Cliente de Endpoint Security en la página 17 Actualización manual de protección y software en la página 21 McAfee Endpoint Security 10.1 Guía del producto 47

48 3 Mediante Prevención de amenazas Administrar elementos en cuarentena Nombres de detecciones Los La cuarentena informa de amenazas por nombre de detección. Nombre de detección Adware Marcador Broma Registrador de pulsaciones de teclado Cracker de contraseñas Programa potencialmente no deseado Herramienta de administración remota Spyware Sigiloso Descripción Genera ingresos mostrando anuncios dirigidos al usuario. El adware genera ingresos a través del proveedor o los socios del proveedor. Algunos tipos de adware pueden capturar o transmitir información personal. Redirige las conexiones de Internet a otra parte distinta del proveedor de servicios de Internet predeterminado del usuario. Los marcadores están diseñados para agregar costes de conexión para un proveedor de contenidos, un vendedor u otro. Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas no afectan a la seguridad o la privacidad, pero pueden alarmar o molestar al usuario. Intercepta datos entre el usuario que los introduce y la aplicación a la que iban destinados. Un caballo troyano y un programa no deseado registrador de pulsaciones de teclado pueden funcionar de manera idéntica. El software de McAfee detecta los dos tipos para evitar intrusiones de privacidad. Permite al usuario o administrador recuperar las contraseñas perdidas u olvidadas desde las cuentas o archivos de datos. En manos de un atacante, permiten el acceso a información confidencial y son una amenaza para la seguridad y la privacidad. A menudo incluye software legítimo (que no es malware) que puede alterar el estado de seguridad o la política de privacidad del sistema. Este software se puede descargar con un programa que el usuario desea instalar. Puede incluir spyware, adware, registradores de pulsaciones de teclado, crackers de contraseñas, herramientas de hacker y aplicaciones de marcador. Otorga a un administrador el control remoto de un sistema. Estas herramientas pueden suponer una amenaza de seguridad grave si las controla un atacante. Transmite información personal a terceros sin el conocimiento o consentimiento del usuario. El spyware genera exploits en los equipos infectados con finalidades comerciales mediante: Envío de anuncios emergentes no solicitados Robo de información personal, incluida su información financiera, como puede ser el número de las tarjetas de crédito Supervisión de la actividad de navegación por la Web para fines de marketing Enrutamiento de solicitudes HTTP a sitios de publicidad Consulte también Programa potencialmente no deseado. Es un tipo de virus que intenta evitar ser detectado por el software antivirus. También conocido como interceptor interruptor. Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando una aplicación antivirus intenta leer archivos o sectores de arranque para encontrar virus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virus esconden el tamaño real del archivo infectado y muestran el tamaño del archivo antes de infectarse. 48 McAfee Endpoint Security 10.1 Guía del producto

49 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Nombre de detección Troyano Virus Descripción Es un programa dañino que se hace pasar por una aplicación benigna. Un troyano no se replica pero causa daño o pone en peligro la seguridad del equipo. Los equipos suelen infectarse: Cuando un usuario abre un troyano adjunto en un correo electrónico. Cuando un usuario descarga un troyano de un sitio web. Redes de igual a igual. Como no se replican, los troyanos no se consideran virus. Capaz de incrustarse en discos u otros archivos y replicarse repetidamente, normalmente sin el conocimiento o permiso del usuario. Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo, el virus también se ejecuta. Otros virus permanecen en la memoria del equipo e infectan más archivos a medida que ese equipo los va abriendo, modificando o creando. Algunos virus presentan síntomas, mientras que otros dañan los archivos y sistemas del equipo. Volver a analizar elementos en cuarentena Cuando se vuelve a analizar elementos en cuarentena, Endpoint Security utiliza la configuración de análisis diseñada para proporcionar la máxima protección. Le recomendamos que siempre vuelva a analizar los elementos en cuarentena antes de restaurarlos. Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena. Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el análisis, las condiciones de análisis pueden cambiar, lo cual puede afectar a la detección de elementos en cuarentena. Cuando se vuelven a analizar elementos en cuarentena, Endpoint Security siempre: Analiza archivos codificados mediante MIME. Analiza archivos de almacenamiento comprimidos. Fuerza una búsqueda de McAfee GTI en los elementos. Establece el nivel de sensibilidad de McAfee GTI en Muy alto. Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la detección de una amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación de Registro) cambian, volver a analizar puede producir un falso positivo incluso aunque el elemento siga infectado. Administrar Prevención de amenazas Como administrador, puede especificar la configuración de Prevención de amenazas para prevenir el acceso de amenazas y configurar los análisis. En los sistemas gestionados, los cambios de directiva realizados en McAfee epo podrían sobrescribir los cambios de la página Configuración. McAfee Endpoint Security 10.1 Guía del producto 49

50 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Configurar exclusiones Prevención de amenazas le permite ajustar la protección especificando elementos que excluir. Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee un archivo utilizado por una base de datos o un servidor. (Un archivo bloqueado puede hacer que se produzcan errores en la base de datos o el servidor). Para excluir una carpeta en sistemas Windows, añada una barra invertida (\) al final de la ruta. Para excluir una carpeta en sistemas Mac, añada una barra (/) al final de la ruta. Para esta función... Especificar elementos que excluir Dónde configurar Excluir elementos por Usar comodines? Protección de acceso Procesos (para todas las reglas o para una regla especificada) Configuración de Protección de acceso Nombre de archivo ejecutable o ruta, hash MD5 o firmante. Sí: nombre y ruta de archivo No: hash MD5 y firmante Prevención de exploit Procesos Todos los análisis Análisis en tiempo real Predeterminado Riesgo alto Riesgo bajo Nombres de detección Programas potencialmente no deseados Archivos, tipos de archivo y carpetas Configuración de Prevención de exploit Configuración de Opciones Configuración de Análisis en tiempo real Nombre de proceso, Módulo autor de llamada o API. Nombre de detección (distingue entre mayúsculas y minúsculas) Nombre Nombre de archivo o carpeta, tipo de archivo o antigüedad de archivo URL ScriptScan Nombre de URL No No Sí Sí Sí Análisis bajo demanda Análisis rápido Análisis completo Archivos, carpetas y unidades Configuración de Análisis bajo demanda Nombre de archivo o carpeta, tipo de archivo o antigüedad de archivo Sí Análisis con el botón derecho del ratón Análisis bajo demanda personalizado Archivos, carpetas y unidades Ajustes generales Tareas Agregar tarea Análisis personalizado Nombre de archivo o carpeta, tipo de archivo o antigüedad de archivo Sí Véase también Caracteres comodín en exclusiones en la página McAfee Endpoint Security 10.1 Guía del producto

51 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Caracteres comodín en exclusiones Puede usar caracteres comodín para representar caracteres en exclusiones para archivos, carpetas, nombres de detección y programas potencialmente no deseados. Tabla 3-1 Caracteres comodín válidos Carácter comodín Nombre? Signo de interrogación Representa Un solo carácter. Este comodín se aplica solamente si el número de caracteres coincide con la longitud del nombre de archivo o carpeta. Por ejemplo: la exclusión W?? excluye WWW, pero no WW o WWWW. * Asterisco Varios caracteres, excepto la barra invertida (\). ** Doble asterisco Cero o más caracteres, incluida la barra invertida (\). Este comodín corresponde a cero o más caracteres. Por ejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZ y C:\ABC\XYZ. Los comodines pueden aparecer delante de una barra invertida (\) en una ruta. Por ejemplo, C:\ABC\* \XYZ corresponde a C:\ABC\DEF\XYZ. Exclusiones a nivel de raíz Prevención de amenazas requiere una ruta de acceso absoluta para las exclusiones a nivel de raíz. Esto significa que no puede usar los caracteres comodín \ o?:\ iniciales para hacer coincidir nombres de unidad en el nivel de raíz. Este comportamiento difiere de VirusScan Enterprise. Consulte el artículo de KnowledgeBase KB85746 y la Guía de migración de McAfee Endpoint Security. Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones a nivel de raíz para hacer coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con lo siguiente: C:\test D:\test C:\temp\test D:\foo\test Protección de los puntos de acceso del sistema La primera línea de defensa contra el malware es la protección de los puntos de acceso del sistema cliente contra amenazas. Protección de acceso impide que se realicen cambios no deseados en equipos gestionados, mediante la restricción del acceso a determinados archivos, recursos compartidos, y claves y valores de Registro. Protección de acceso utiliza tanto reglas definidas por McAfee como reglas definidas por el usuario (también denominadas reglas personalizadas) para notificar o bloquear el acceso a elementos. Protección de acceso compara una acción solicitada con una lista de reglas, y actúa según la regla. McAfee Endpoint Security 10.1 Guía del producto 51

52 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Protección de acceso se debe activar para detectar los intentos de acceso a archivos, recursos compartidos, y claves y valores de Registro. Protección de acceso está activada de forma predeterminada. Cómo obtienen acceso las amenazas Las amenazas obtienen acceso a un sistema mediante varios puntos de acceso. Punto de acceso Macros Archivos ejecutables Scripts Mensajes de Internet Relay Chat (IRC) Archivos de ayuda de aplicaciones y navegadores Correo electrónico Combinaciones de todos estos puntos de acceso Descripción Incluidas en documentos de procesamiento de textos y aplicaciones de hojas de cálculo. Los programas aparentemente benignos pueden incluir virus junto con el programa esperado. Algunas extensiones de archivo comunes son.exe,.com,.vbs,.bat,.hlp y.dll. Los scripts como ActiveX y JavaScript están asociados a páginas web y correo electrónico y, si se permite su ejecución, pueden incluir virus. Los archivos enviados junto con estos mensajes pueden contener malware como parte del mensaje. Por ejemplo, los procesos de inicio automático pueden incluir gusanos y troyanos. La descarga de estos archivos de ayuda expone el sistema a virus incrustados y ejecutables. Bromas, juegos e imágenes incluidos en mensajes de correo electrónico que contienen datos adjuntos. Los creadores del malware más sofisticado combinan todos los métodos de entrega anteriores e incluso incluyen un elemento de malware dentro de otro a fin de intentar acceder al equipo gestionado. Cómo la Protección de acceso detiene amenazas Protección de acceso detiene amenazas potenciales gestionando acciones basadas en reglas de protección definidas por el usuario y por McAfee. Prevención de amenazas sigue este proceso básico para proporcionar protección de acceso. Cuando se produce una amenaza Cuando un usuario o proceso actúa: 1 Protección de acceso analiza dicha acción conforme a las reglas definidas. 2 Si la acción incumple una regla, Protección de acceso administra la acción mediante la información en las reglas configuradas. 3 Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor de administración, si está administrado. Ejemplo de amenaza de acceso 1 Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet. 2 El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado. 3 MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe. 4 Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo. 52 McAfee Endpoint Security 10.1 Guía del producto

53 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 5 Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo e informe. 6 Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra los detalles del intento. Protección de acceso también genera y envía una alerta al servidor de administración. Acerca de las reglas de protección de acceso Utilice reglas de Protección de acceso para proteger los puntos de acceso a su sistema. Tipo de regla Reglas definidas por McAfee Reglas definidas por el usuario Parámetros Estas reglas impiden la modificación de archivos y opciones de uso habitual. Puede activar, desactivar y cambiar la configuración de las reglas definidas por McAfee, pero no puede eliminar estas reglas. Estas reglas complementan la protección proporcionada por las reglas definidas por McAfee. Una tabla de ejecutables vacía indica que se van a incluir todos los ejecutables. Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas reglas. Exclusiones En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel de directivas, las exclusiones se aplican a todas las reglas. Las exclusiones son opcionales. Configurar reglas de protección de acceso definidas por McAfee Las reglas definidas por McAfee impiden la modificación de archivos y opciones usados comúnmente. Puede cambiar la configuración de bloqueo e informes y agregar ejecutables excluidos e incluidos, pero no puede eliminar estas reglas o modificar los archivos y la configuración protegidos por estas reglas. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. No se pueden agregar subreglas a una regla definida por McAfee. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Protección de acceso. McAfee Endpoint Security 10.1 Guía del producto 53

54 3 Mediante Prevención de amenazas Administrar Prevención de amenazas 5 Compruebe que la protección de acceso esté activada. La función Protección de acceso está activada de forma predeterminada. 6 Modifique la regla: a En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla. Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Si ni Bloquear ni Informar están seleccionados, la regla se desactiva. b c d Haga doble clic en una regla definida por McAfee para editarla. En la página Editar regla definida por McAfee, configure las opciones. En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dos veces para guardar la regla. Véase también Reglas definidas por McAfee en la página 54 Iniciar sesión como administrador en la página 25 Reglas definidas por McAfee Utilice las reglas definidas por McAfee para proteger el equipo de cambios no deseados. Tabla 3-2 Regla definida por McAfee Alteración de todos los registros de extensiones de archivos Descripción Protege las claves de Registro en HKEY_CLASSES_ROOT donde se registran las extensiones de archivo. Esta regla impide que el malware modifique los registros de extensiones de archivos y se ejecute en modo silencioso. Desactive la regla al instalar aplicaciones válidas que modifican los registros de extensiones de archivos en el Registro. Esta regla es una alternativa más restrictiva que Hijacking.EXE y otras extensiones ejecutables. Alteración de las directivas de derechos de usuario Creación de nuevos archivos ejecutables en la carpeta Archivos de programa Protege los valores de Registro que contienen información de seguridad de Windows. Esta regla impide que los gusanos alteren cuentas que poseen derechos de administrador. Impide la creación de nuevos archivos ejecutables en la carpeta Archivos de programa. Esta regla impide que el adware y el spyware creen nuevos archivos.exe y.dll o que instalen nuevos archivos ejecutables en la carpeta Archivos de programa. Le recomendamos que instale las aplicaciones antes de activar esta regla o que añada los procesos bloqueados a la lista de exclusión. 54 McAfee Endpoint Security 10.1 Guía del producto

55 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Tabla 3-2 (continuación) Regla definida por McAfee Creación de nuevos archivos ejecutables en la carpeta Windows Descripción Impide la creación de archivos desde cualquier proceso, no solo a través de la red. Esta regla impide la creación de archivos.exe y.dll en la carpeta de Windows. Agregue a la lista de exclusión los procesos que deban colocar archivos en la carpeta de Windows. Desactivación del Editor del Registro y del Administrador de tareas Protege las entradas del Registro de Windows, con lo que evita la desactivación del Editor del Registro y el Administrador de tareas. En caso de un brote, desactive esta regla para poder cambiar el Registro o abra el Administrador de tareas para detener los procesos activos. Ejecución de scripts desde Windows Script Host (CScript.exe o Wscript.exe) desde cualquier carpeta temporal Hijacking.EXE u otras extensiones ejecutables Impide que el host de scripts en Windows ejecute scripts VBScript y JavaScript en cualquier carpeta cuyo nombre contenga la palabra "temp". Esta regla protege contra muchos troyanos y mecanismos de instalación web cuestionables, utilizados por aplicaciones de adware y spyware. Esta regla podría bloquear la ejecución o instalación de scripts y aplicaciones de terceros legítimas. Protege, entre otras, las claves de Registro ejecutables.exe y.bat en HKEY_CLASSES_ROOT. Esta regla impide que el malware modifique las claves de Registro y se ejecute el virus junto con otro ejecutable. La regla es una alternativa menos restrictiva a Alteración de todos los registros de extensiones de archivos. Instalación de objetos auxiliares del explorador o extensiones de shell Impide que el adware, el spyware y los troyanos que se instalan como objetos auxiliares del explorador se instalen en el equipo host. Esta regla impide que el adware y el spyware se instalen en los sistemas. Para permitir que las aplicaciones personalizadas o de terceros que sean legítimas instalen estos objetos, agréguelas a la lista de exclusión. Tras la instalación, puede volver a activar la regla porque no impide el funcionamiento de los objetos auxiliares del explorador. Instalación de nuevos CLSID, APPID y TYPELIB Impide la instalación o el registro de nuevos servidores COM. Esta regla protege contra los programas de adware y spyware que se instalan como complementos COM en Internet Explorer o en aplicaciones de Microsoft Office. Para impedir el bloqueo de aplicaciones legítimas que registran complementos COM, incluidas algunas comunes como Macromedia Flash, agréguelas a la lista de exclusión. McAfee Endpoint Security 10.1 Guía del producto 55

56 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Tabla 3-2 (continuación) Regla definida por McAfee Ejecución de archivos desde la carpeta Archivos de programa descargados por parte de Internet Explorer Descripción Impide que el software se instale a través del navegador web. Esta regla es específica para Microsoft Internet Explorer. Puesto que esta regla puede bloquear también la instalación de software legítimo, instale la aplicación antes de activar esta regla o agregue el proceso de instalación como una exclusión. Esta regla está establecida de manera predeterminada en Informar. Esta regla impide que el adware y el spyware instalen y ejecuten ejecutables desde esta carpeta. Modificación de procesos centrales de Windows Modificación de configuraciones de Internet Explorer Modificar configuración de red Impide que se creen o ejecuten archivos con los nombres que más se falsifican. Esta regla impide que los virus y troyanos se ejecuten con el nombre de un proceso de Windows. Esta regla excluye archivos auténticos de Windows. Bloquea los procesos para que no modifiquen la configuración de Internet Explorer. Esta página impide que los troyanos, el adware y el spyware de páginas de inicio modifiquen la configuración del explorador, como la página de inicio o los favoritos. Impide que los procesos que no se encuentren en la lista de exclusión puedan modificar las opciones de red del sistema. Esta regla captura el tráfico de red y lo envía a sitios de terceros para proteger de los proveedores de servicios por niveles que transmiten datos, como su comportamiento de navegación. En el caso de procesos que necesiten cambiar las opciones de red, agréguelos a la lista de exclusión o desactive la regla mientras se realizan los cambios. Registro de programas para su ejecución automática Bloquea adware, spyware, troyanos y virus cuando intentan registrarse para cargarse cada vez que se reinicia el sistema. Esta regla impide que los procesos que no están en la lista de exclusión registren procesos que se ejecutan cada vez que se reinicia el sistema. Agregue aplicaciones legítimas a la lista de exclusión, o instálelas antes de activar esta regla. Acceso remoto a archivos o carpetas locales Impide el acceso de lectura y escritura al equipo desde equipos remotos. Esta regla impide que se extienda un gusano entre los recursos compartidos. En un entorno típico, esta regla es útil para estaciones de trabajo, pero no para servidores, y solo cuando los equipos están activamente bajo ataque. Si un equipo se gestiona insertando archivos en el mismo, esta regla impide la instalación de actualizaciones o parches. Esta regla no afecta a las funciones gestionadas de McAfee epo. Creación remota de archivos de ejecución automática Impide que otros equipos realicen una conexión y creen o modifiquen archivos de ejecución automática (autorun.inf). Los archivos de ejecución automática se utilizan para iniciar automáticamente archivos de programa, generalmente archivos de configuración de CD. Esta regla impide que se ejecuten el spyware y el adware distribuidos en CD. Esta regla está configurada de manera predeterminada para Bloquear e Informar. 56 McAfee Endpoint Security 10.1 Guía del producto

57 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Tabla 3-2 (continuación) Regla definida por McAfee Creación o modificación remota de archivos o carpetas Descripción Bloquea el acceso de escritura a todos los recursos compartidos. Esta regla resulta útil en un brote al prevenir el acceso de escritura y limitar que se extienda la infección. La regla bloquea malware que de otro modo limitaría seriamente el uso del equipo o la red. En un entorno típico, esta regla es útil para estaciones de trabajo, pero no para servidores, y solo cuando los equipos están activamente bajo ataque. Si un equipo se gestiona insertando archivos en el mismo, esta regla impide la instalación de actualizaciones o parches. Esta regla no afecta a las funciones gestionadas de McAfee epo. Creación o modificación remota de archivos de tipo portable ejecutable (PE),.INI,.PIF y ubicaciones de núcleo del sistema Impide que otros equipos realicen conexiones y modifiquen ejecutables, como los archivos en la carpeta Windows. Esta regla afecta solo a los tipos de archivo normalmente infectados por los virus. Esta regla protege contra los gusanos o virus que se extienden rápidamente y atraviesan una red mediante los recursos compartidos abiertos o administrativos. Esta regla es una alternativa menos segura que hacer de solo lectura todos los recursos compartidos. Ejecución de archivos desde cualquier carpeta temporal Ejecución de archivos de la carpeta Temp por parte de los programas comunes Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo nombre contenga la palabra "temp". Esta regla protege contra el malware que se guarda y ejecuta desde la carpeta temp del usuario o del sistema. Este malware puede incluir datos adjuntos ejecutables en correos electrónicos y programas descargados. Aunque esta regla proporciona la mayor protección, podría bloquear la instalación de aplicaciones legítimas. Impide que las aplicaciones instalen software desde el navegador o el cliente de correo electrónico. Esta regla impide que los ejecutables y los datos adjuntos de correos electrónicos se ejecuten en páginas web. Para instalar una aplicación que utilice la carpeta Temp, agregue el proceso a la lista de exclusión. Véase también Configurar reglas de protección de acceso definidas por McAfee en la página 53 Configure las reglas de Protección de acceso definidas por el usuario Las reglas definidas por el usuario complementan la protección proporcionada por las reglas definidas por McAfee. Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas reglas. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. McAfee Endpoint Security 10.1 Guía del producto 57

58 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Protección de acceso. 5 Compruebe que la opción Protección de acceso está activada. La función Protección de acceso está activada de forma predeterminada. 6 Cree la regla: a b c En la sección Reglas, haga clic en Agregar. En la página Agregar regla, configure las opciones. En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clic en Guardar. Una tabla de ejecutables vacía indica que se van a incluir todos los ejecutables. d En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla. El rendimiento se puede ver afectado si selecciona la operación Lectura. e f En la sección Parámetros, haga clic en Agregar, configure la información de parámetros y haga clic en Guardar dos veces. En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla. Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Procedimientos Cómo se evalúan los parámetros de subreglas en Protección de acceso en la página 58 Cada parámetro se agrega con una directiva Incluir o Excluir. Cómo se evalúan los parámetros de subreglas en Protección de acceso Cada parámetro se agrega con una directiva Incluir o Excluir. 58 McAfee Endpoint Security 10.1 Guía del producto

59 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor de evaluación verdadero si: Al menos una inclusión se evalúa como verdadero. y Todas las exclusiones se evalúan como falso. Excluir tiene prioridad sobre Incluir. Por ejemplo: Si una misma subregla incluye un archivo C:\marketing\jjaime y excluye el mismo archivo, la subregla no se activa cuando el archivo es C:\marketing\jjaime. Si una subregla incluye todos los archivos pero excluye el archivo C:\marketing\jjaime, la subregla se activa si el archivo no es C:\marketing\jjaime. Si una subregla incluye el archivo C:\marketing\* pero excluye C:\marketing\jjaime, la subregla se activa cuando el archivo es C:\marketing\cualquiera, pero no cuando el archivo es C:\marketing \jjaime, en cuyo caso no se activa. Excluir procesos de Protección de acceso Si un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada en directivas o basada en reglas. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. 3 Haga clic en Mostrar avanzado. McAfee Endpoint Security 10.1 Guía del producto 59

60 3 Mediante Prevención de amenazas Administrar Prevención de amenazas 4 Haga clic en Protección de acceso. 5 Compruebe que la opción Protección de acceso está activada. La función Protección de acceso está activada de forma predeterminada. 6 Realice una de las siguientes acciones: Para... Crear una exclusión basada en directivas. Haga esto... 1 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas. 2 En la página Agregar ejecutable, configure las propiedades del ejecutable. 3 Haga clic en Guardar y luego en Aplicar para guardar la configuración. Crear una exclusión basada en reglas. 1 Editar una regla existente o agregar una nueva regla. 2 En la página Agregar regla o Editar regla, haga clic en Agregar para agregar un ejecutable que excluir. 3 En la página Agregar ejecutable, configure las propiedades del ejecutable. 4 Haga clic en Guardar para guardar las exclusiones. Bloqueo de vulnerabilidades de desbordamiento del búfer Prevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Esta función supervisa las llamadas de modo usuario de API y reconoce cuándo son el resultado de un desbordamiento del búfer. Cuando se produce una detección, la información se incluye en el registro de actividades y se muestra en el sistema cliente, y se envía al servidor de administración, si se ha configurado. Prevención de amenazas utiliza el archivo de contenido de Prevención de exploit para proteger aplicaciones como Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security Si McAfee Host IPS está activado, se desactiva la Prevención de exploit aunque esté activada en la configuración de directiva. Vulnerabilidades de desbordamiento del búfer Los atacantes utilizan las vulnerabilidades de desbordamiento del búfer para ejecutar un código que desborda el búfer de tamaño fijo reservado para procesos de entrada. Este código permite al atacante tomar el control del equipo de destino o poner en peligro sus datos. Más del 25 % de los ataques de malware son ataques de desbordamiento del búfer que intentan sobrescribir la memoria adyacente en el marco de pila. Los dos tipos de vulnerabilidades de desbordamiento del búfer son: Ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas de usuario (más comunes). Ataques basados en montón saturan el espacio de memoria reservado a un programa (raros). El objeto de memoria en pila de tamaño fijo se encuentra vacía a la espera de que el usuario realice una entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenan en la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesa la pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa. 60 McAfee Endpoint Security 10.1 Guía del producto

61 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 A continuación se describe un ataque por desbordamiento del búfer basado en pila: 1 Desbordar la pila. Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los datos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado para ellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa. 2 Vulnerar el desbordamiento. El programa espera por información del usuario. Si el atacante introduce un comando ejecutable que excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado. 3 Ejecutar el malware. El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En un principio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó un dirección de retorno proporcionada que hace referencia al comando malicioso, el programa intenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el comando malicioso se ejecuta. 4 Vulnerar permisos. El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta en peligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisos heredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total del sistema operativo. Configurar Prevención de exploit Para impedir que las aplicaciones ejecuten código arbitrario en su equipo, configure Prevención de exploits. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Prevención de exploits. 5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 McAfee Endpoint Security 10.1 Guía del producto 61

62 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Exclusión de procesos de Prevención de exploit Cuando se produce un evento de infracción de Prevención de exploit, existe un proceso asociado y un posible módulo autor de la llamada o una API. Si cree que el evento de infracción es un falso positivo, puede añadir una exclusión que especifique el nombre de archivo del proceso. También puede especificar el módulo autor de la llamada o la API. Dentro de una exclusión, el proceso, el módulo y la API están conectados mediante un conector lógico AND. Todos los elementos coinciden con el proceso, el módulo y la API asociados con el evento de infracción para evitar que la infracción vuelva a producirse. Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante un conector lógico OR de manera que, si una exclusión coincide, el evento de infracción no se produce. Detección de programas potencialmente no deseados Para proteger el equipo gestionado contra programas potencialmente no deseados, especifique archivos y programas que detectar en el entorno y luego active la detección. Los programas potencialmente no deseados son programas de software que molestan o que pueden alterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmente no deseados pueden ir incrustados en programas que los usuarios descargan intencionalmente. Los programas no deseados pueden incluir spyware, adware y marcadores. 1 Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajo demanda los detecten en la configuración de la Opciones. 2 Active la detección de programas no deseados y especifique acciones que emprender cuando se producen detecciones en estas configuraciones: Configuración de Análisis en tiempo real Configuración de Análisis bajo demanda Véase también Especificar programas potencialmente no deseados a detectar en la página 62 Activar y configurar la detección de programas potencialmente no deseados y respuestas en la página 63 Configure Análisis en tiempo real en la página 65 Configurar Análisis bajo demanda en la página 70 Especificar programas potencialmente no deseados a detectar Especifique programas adicionales para que los analizadores en tiempo real y bajo demanda los traten como programas no deseados en la configuración de Opciones. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Los analizadores detectan tanto los programas que especifique como los especificados en los archivos de AMCore content. 62 McAfee Endpoint Security 10.1 Guía del producto

63 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Opciones. 5 Desde Detecciones de programas potencialmente no deseados: Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o programa que tratar como programa potencialmente no deseado. La Descripción aparece como nombre de detección cuando se produce una detección. Haga doble clic en el nombre o descripción de un programa potencialmente no deseado ya existente para modificarlo. Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic en Eliminar para quitarlo de la lista. Véase también Iniciar sesión como administrador en la página 25 Activar y configurar la detección de programas potencialmente no deseados y respuestas Active que los analizadores en tiempo real o bajo demanda detecten programas potencialmente no deseados, y especifique respuestas cuando se encuentre alguno. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Configure la Análisis en tiempo real. a Abra Cliente de Endpoint Security. b Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. c d Haga clic en Mostrar avanzado. Haga clic en Análisis en tiempo real. McAfee Endpoint Security 10.1 Guía del producto 63

64 3 Mediante Prevención de amenazas Administrar Prevención de amenazas e f En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no deseados. En Acciones, configure respuestas a los programas no deseados. 2 Configure la Análisis bajo demanda. a Abra Cliente de Endpoint Security. b Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. c d e Haga clic en Mostrar avanzado. Haga clic en Análisis bajo demanda. Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho): Seleccione Detectar programas no deseados. En Acciones, configure respuestas a los programas no deseados. Véase también Configure Análisis en tiempo real en la página 65 Configurar Análisis bajo demanda en la página 70 Iniciar sesión como administrador en la página 25 Configurar parámetros de análisis de ajustes generales Para especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, configure los parámetros de la Opciones de Prevención de amenazas. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Esta configuración se aplicará a todos los análisis: Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos automáticamente Nombres de detecciones que excluir de los análisis Programas potencialmente no deseados que detectar, como spyware y adware Comentarios de telemetría basados en McAfee GTI Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Prevención de amenazas en la página Estado principal. O, en el menú Acción, seleccione Configuración y, a continuación, haga clic en Prevención de amenazas en la página Configuración. 3 Haga clic en Mostrar configuración avanzada. 64 McAfee Endpoint Security 10.1 Guía del producto

65 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 4 Haga clic en Opciones. 5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Configure Análisis en tiempo real en la página 65 Configurar Análisis bajo demanda en la página 70 Configure Análisis en tiempo real Estos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación de mensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Consulte la Ayuda sobre la configuración de las Opciones de Prevención de amenazas para tener más opciones de análisis. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Prevention en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Threat Prevention en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Análisis en tiempo real. 5 Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones. 6 Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos para procesos de riesgo alto o bajo. Configuración estándar: configure los parámetros de análisis en la ficha Estándar. Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgo bajo) y configure los parámetros de análisis para cada tipo de proceso. 7 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Configurar parámetros de análisis de ajustes generales en la página 64 Funcionamiento de los análisis en tiempo real El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez. El analizador en tiempo real envía notificaciones a la interfaz del servicio cuando se producen detecciones. McAfee Endpoint Security 10.1 Guía del producto 65

66 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Cuando se produce un intento de abrir o cerrar un archivo, el analizador intercepta la operación y: 1 El analizador determina si el elemento debe analizarse según estos criterios: La extensión del archivo coincide con la configuración. El archivo no se ha almacenado en caché, excluido ni analizado previamente. Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos. 2 Si el archivo cumple los criterios de análisis, el analizador lo compara con las firmas que se encuentran en ese momento en los archivos de AMCore content. Si el archivo está limpio, el resultado se guarda en caché y se garantizan las operaciones de lectura o escritura. Si el archivo contiene una amenaza, se deniega la operación y el analizador lleva a cabo la acción configurada. Por ejemplo, si la acción es limpiar el archivo, el analizador: 1 Utiliza la información en el archivo de AMCore Content cargado en ese momento para limpiar el archivo. 2 Registra los resultados en el registro de actividades. 3 Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se debe realizar (limpiar o eliminar el archivo). Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación. 66 McAfee Endpoint Security 10.1 Guía del producto

67 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 3 Si el archivo no cumple los requisitos de análisis, el analizador lo almacena en caché y permite la operación. La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema. Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando: La configuración de Análisis en tiempo real cambia. Se agrega un archivo Extra.DAT. Analizar al escribir en disco, leer del disco o dejar que decida McAfee Puede especificar cuándo debe analizar archivos el analizador en tiempo real: al escribir en disco, al leer del disco o cuando lo decida McAfee. Cuando se escriben archivos en el disco, el analizador en tiempo real analiza estos archivos: Archivos entrantes escritos en la unidad de disco duro local. Archivos (nuevos, modificados, o copiados o trasladados de una unidad a otra) creados en la unidad de disco duro local o en una unidad de red asignada (si se ha habilitado). Puesto que es posible que el análisis no se realice con éxito al escribir el archivo en el disco, recomendamos encarecidamente activar Al leer el disco. McAfee Endpoint Security 10.1 Guía del producto 67

68 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Cuando se leen archivos del disco, el analizador analiza estos archivos: Archivos salientes que se leen desde la unidad de disco duro local o desde unidades de red asignadas (si se han habilitado). Los archivos que intenten ejecutar un proceso en la unidad de disco duro local. Archivos abiertos en el disco duro local. Si opta por que McAfee decida si analizar un archivo, el analizador en tiempo real utiliza la lógica de confianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento al evitar análisis innecesarios. Por ejemplo, McAfee analiza algunos programas y considera que son dignos de confianza. Si McAfee verifica que estos programas no han sido manipulados, el analizador podría llevar a cabo un análisis reducido u optimizado. Acerca de ScriptScan El analizador de scripts de Prevención de amenazas funciona como componente de proxy del Windows Script Host nativo, e intercepta y analiza los scripts antes de su ejecución. Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo. Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute. Exclusiones de ScriptScan Los sitios web que utilizan muchos scripts y las aplicaciones basadas en la Web podrían experimentar un rendimiento deficiente cuando ScriptScan está activado. En lugar de desactivar ScriptScan, es aconsejable especificar exclusiones de URL para sitios de confianza como, por ejemplo, los de una intranet o aplicaciones web conocidas. 68 McAfee Endpoint Security 10.1 Guía del producto

69 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Al crear exclusiones de URL: No utilice caracteres comodín. No incluya números de puerto. Es aconsejable utilizar solo Nombres de dominio completos (FQDN) y nombres de NetBIOS. En los sistemas Windows Server 2008, las exclusiones de URL de ScriptScan no funcionan con Internet Explorer a menos que se activen las extensiones de navegador de terceros y se reinicie el sistema. Consulte el artículo KB69526 de la base de datos KnowledgeBase. ScriptScan e Internet Explorer Con Prevención de amenazas instalado, la primera vez que se inicia Internet Explorer se ofrece la posibilidad de añadir uno o más complementos de McAfee. Para que ScriptScan analice scripts: Debe estar seleccionada la opción Activar ScriptScan. El complemento debe estar activado en el navegador. Si ScriptScan está desactivado al iniciar Internet Explorer y a continuación se activa, no detectará scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts maliciosos. Cómo determinar la configuración de análisis para procesos Siga este procedimiento para determinar si debe configurar opciones distintas basadas en un tipo de proceso. McAfee Endpoint Security 10.1 Guía del producto 69

70 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Configurar Análisis bajo demanda Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisis completo, Análisis rápido y Análisis con el botón derecho. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Consulte la Ayuda sobre la configuración de las Opciones de Prevención de amenazas para tener más opciones de análisis. 70 McAfee Endpoint Security 10.1 Guía del producto

71 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Prevención de amenazas en la página Estado principal. O, en el menú Acción, seleccione Configuración y, a continuación, haga clic en Prevención de amenazas en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Análisis bajo demanda. 5 Haga clic en una ficha para configurar ajustes para el análisis especificado. Análisis completo Análisis rápido Análisis con el botón derecho del ratón 6 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Configurar parámetros de análisis de ajustes generales en la página 64 Configure, planifique y ejecute tareas de análisis en la página 75 Cómo funciona el análisis bajo demanda El analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otros elementos en busca de malware que pueda haber infectado el equipo. Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizar sistemas manualmente, a una hora programada o cuando el sistema arranca. 1 El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debe analizar: La extensión del archivo coincide con la configuración. El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizador utiliza la caché de análisis). Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos. 2 Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas de malware conocido que se encuentran en ese momento en los archivos de AMCore content. Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba el siguiente elemento. Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada. McAfee Endpoint Security 10.1 Guía del producto 71

72 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Por ejemplo, si la acción es limpiar el archivo, el analizador: 1 Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiar el archivo. 2 Registra los resultados en el registro de actividades. 3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del elemento y la acción que se ha realizado. Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación. 3 Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, el analizador continúa hasta que se han analizado todos los datos. La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda. Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando se carga un Extra.DAT. Reducción del impacto de los análisis en los usuarios A fin de minimizar el impacto que tienen los análisis bajo demanda en un sistema, especifique las opciones de rendimiento a la hora de configurar estos análisis. Analizar solo cuando el sistema está inactivo La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los usuarios es ejecutar el análisis bajo demanda solo cuando el equipo esté inactivo. 72 McAfee Endpoint Security 10.1 Guía del producto

73 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Cuando se selecciona esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad del disco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazas reanuda el análisis si el usuario no accede al sistema durante tres minutos. Como opción, puede: Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad del usuario. Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo. McAfee recomienda desactivar esta opción solo en los sistemas servidor y en los sistemas en que los usuarios acceden mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante Escritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta. Para evitar este problema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Program Files\McAfee\Agent\mctray.exe) manualmente cuando inicie sesión en el escritorio remoto. Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la ficha Configuraciónde la tarea de análisis. Pausar análisis automáticamente Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de la batería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completa una aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisis se reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se está ejecutando en modo de pantalla completa. Seleccione estas opciones en la sección Rendimiento de la ficha Configuración de la tarea de análisis: No analizar si el sistema funciona mediante la batería No analizar si el sistema está en modo de presentación (disponible cuando se ha seleccionado Analizar en cualquier momento) Permitir que los usuarios aplacen los análisis Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisis planificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cada usuario puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, el usuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horas máximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción a cero, el usuario puede seguir aplazando el análisis para siempre. Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la ficha Configuración de la tarea de análisis: Limitar la actividad de análisis con análisis incrementales Utilice los análisis incrementales o reanudables para limitar cuándo se produce la actividad del análisis bajo demanda, y analizar igualmente todo el sistema en varias sesiones. Para usar análisis incrementales, agregue un límite al análisis planificado. El análisis se detiene cuando se alcanza el límite de tiempo. La próxima vez que se inicia esta tarea, continúa el análisis desde el lugar de la estructura del archivo y carpeta en que se detuvo el análisis previo. Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la ficha Planificación de la tarea de análisis. Consulte Configure, planifique y ejecute tareas de análisis en la página 75. McAfee Endpoint Security 10.1 Guía del producto 73

74 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Configuración de la utilización del sistema La Utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante el análisis. En los sistemas con actividad por parte del usuario final, establezca el valor de utilización del sistema en Bajo. Seleccione Utilización del sistema en la sección Rendimiento de la ficha Configuración de la tarea de análisis. Véase también Configurar Análisis bajo demanda en la página 70 Configure, planifique y ejecute tareas de análisis en la página 75 Funcionamiento de la utilización del sistema El analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisis y la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite al sistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibe durante el proceso de análisis. Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto de aplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuario final. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finaliza más rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y poca actividad del usuario final. Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas. Tabla 3-3 Configuración de procesos predeterminada Configuración de procesos de Prevención de amenazas Bajo Por debajo de lo normal Normal (predeterminado) Esta opción... Proporciona un rendimiento mejorado del resto de las aplicaciones en ejecución. Seleccione esta opción para sistemas con actividad del usuario final. Establece la utilización del sistema para el análisis en el valor predeterminado de McAfee epo. Permite que el análisis finalice más rápido. Seleccione esta opción para sistemas que tienen grandes volúmenes y poca actividad del usuario final. parámetro Windows Set Priority Bajo Por debajo de lo normal Normal Cómo funciona el análisis de Almacenamiento remoto Puede configurar el analizador bajo demanda para que analice el contenido de los archivos gestionados por Almacenamiento remoto. El Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando resulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivos pertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta. Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recupera automáticamente los datos del dispositivo de almacenamiento. Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo demanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el analizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes del análisis. 74 McAfee Endpoint Security 10.1 Guía del producto

75 Mediante Prevención de amenazas Administrar Prevención de amenazas 3 Para obtener más información, consulte Qué es el Almacenamiento remoto. Configure, planifique y ejecute tareas de análisis Puede planificar las tareas Análisis completo y Análisis rápido, o crear tareas de análisis personalizadas desde Cliente de Endpoint Security en la configuración de Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 En el menú Acción, seleccione Configuración. 3 Haga clic en Mostrar avanzado. 4 En Ajustes generales, haga clic en Tareas. 5 Configure los ajustes de la tarea de análisis en la página. Para... Crear una tarea de análisis personalizada. Siga estos pasos 1 Haga clic en Agregar. 2 Introduzca el nombre, seleccione Análisis personalizado en la lista desplegable y haga clic en Siguiente. 3 Configure los ajustes de la tarea de análisis y haga clic en Aceptar para guardar la tarea. Cambiar una tarea de análisis. Eliminar una tarea de análisis personalizada. Crear una copia de una tarea de análisis. Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar para guardarla. Seleccione la tarea y haga clic en Eliminar. 1 Seleccione la tarea y haga clic en Duplicar. 2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar para guardar la tarea. McAfee Endpoint Security 10.1 Guía del producto 75

76 3 Mediante Prevención de amenazas Administrar Prevención de amenazas Para... Cambiar la planificación de una tarea de Análisis completo o Análisis rápido. Siga estos pasos 1 Haga doble clic en Análisis completo o Análisis rápido. 2 Haga clic en la ficha Planificación, modifique la planificación y haga clic en Aceptar para guardar la tarea. Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en sistemas autogestionados. En Configurar Análisis bajo demanda en la página 70 encontrará información sobre la configuración del comportamiento predeterminado de las tareas Análisis completo y Análisis rápido iniciadas desde Cliente de Endpoint Security. De forma predeterminada, la ejecución del análisis completo está planificada el miércoles a las 12 de la noche. La ejecución del análisis rápido está planificada cada día a las 19 horas. Las planificaciones están activadas. Ejecutar una tarea de análisis. Seleccione la tarea y haga clic en Ejecutar ahora. Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver. Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación para guardar la configuración. 6 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Configurar Análisis bajo demanda en la página 70 Ejecutar un Análisis completo o Análisis rápido en la página McAfee Endpoint Security 10.1 Guía del producto

77 4 Uso de Firewall Firewall actúa como filtro entre su equipo y la red o Internet. Contenido Cómo funciona Firewall Activar o ver grupos temporizados de Firewall Administrar Firewall Cómo funciona Firewall El Firewall analiza todo el tráfico entrante y saliente. A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es un conjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla, el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall. La información sobre detecciones de amenazas se guarda para crear informes que notifican al administrador sobre cualquier problema de seguridad relativo al equipo. Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan las reglas de firewall para una administración más fácil. Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador, puede configurar las reglas y grupos mediante Cliente de Endpoint Security. Para los sistemas gestionados, las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegue una directiva actualizada. Véase también Configurar opciones defirewall en la página 78 Cómo funcionan las reglas de firewall en la página 81 Cómo funcionan los grupos de reglas de firewall en la página 83 Activar o ver grupos temporizados de Firewall Active o visualice los grupos temporizados de Firewall desde el icono de McAfee en la bandeja del sistema. Estas opciones podrían no estar disponibles, dependiendo de cómo se haya ajustado la configuración. McAfee Endpoint Security 10.1 Guía del producto 77

78 4 Uso de Firewall Administrar Firewall Procedimiento Haga clic con el botón derecho en el icono de McAfee en la bandeja del sistema y seleccione una opción del menú Configuración rápida. Activar grupos temporizados de firewall: permite a los grupos temporizados el acceso no de red a Internet durante un tiempo determinado, antes de que se apliquen las reglas que restringen el acceso. Cada vez que selecciona esta opción, se restablece el tiempo de los grupos. Ver grupos temporizados de firewall: muestra los nombres de los grupos temporizados y el tiempo restante de activación de cada grupo. Administrar Firewall Como administrador, puede configurar las opciones de Firewall y crear reglas y grupos en Cliente de Endpoint Security. En los sistemas gestionados, los cambios de directiva realizados en McAfee epo podrían sobrescribir los cambios de la página Configuración. Modificar opciones de Firewall Como administrador, puede modificar las opciones de Firewall desde el Cliente de Endpoint Security. Procedimientos Configurar opciones defirewall en la página 78 Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo de adaptación y configure otras opciones de Firewall. Bloquear el tráfico DNS en la página 79 Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio. Véase también Preguntas frecuentes: McAfee GTI y Firewall en la página 80 Configurar opciones defirewall Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo de adaptación y configure otras opciones de Firewall. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. 78 McAfee Endpoint Security 10.1 Guía del producto

79 Uso de Firewall Administrar Firewall 4 Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Firewall en la página Estado principal. O, en el menú Acción, seleccione Configuración y, a continuación, haga clic en Firewall en la página Configuración. 3 Seleccione Activar Firewall para activarlo y modificar sus opciones. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security Si McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint Security aunque esté activado en la configuración de directiva. 4 Haga clic en Mostrar avanzado. 5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Iniciar sesión como administrador en la página 25 Bloquear el tráfico DNS Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Firewall en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Firewall en la página Configuración. 3 En Bloqueo de DNS, haga clic en Agregar. 4 Introduzca los nombres completos de los dominios que desee bloquear. Puede usar los caracteres comodín * y?. Por ejemplo, *dominio.com. Las entradas duplicadas se eliminan automáticamente. 5 Haga clic en Aplicar para guardar los cambios o en Cancelar. McAfee Endpoint Security 10.1 Guía del producto 79

80 4 Uso de Firewall Administrar Firewall Preguntas frecuentes: McAfee GTI y Firewall A continuación se incluyen las respuestas a las preguntas más frecuentes. La configuración de las Opciones de Firewall le permiten bloquear el tráfico entrante y saliente de una conexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentes explican qué hace McAfee GTI y cómo afecta al firewall. Qué es McAfee GTI? McAfee GTI es un sistema de inteligencia global de reputación en Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa el análisis en tiempo real de comportamientos mundiales y de patrones de envío de correo electrónico, la actividad web, el malware y el comportamiento de sistema a sistema. Usando los datos obtenidos del análisis, McAfee GTI calcula de forma dinámica las calificaciones de reputación que representan el nivel de riesgo para su red cuando visita una página web. El resultado es una base de datos de calificaciones de reputación para direcciones IP, dominios, mensajes específicos, URL e imágenes. Cómo funciona? Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitir servicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexión a McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y el umbral de bloqueo configurado. Qué quiere decir "reputación"? McAfee GTI calcula un valor de reputación para cada dirección IP en Internet. McAfee GTI se basa en el comportamiento de envío y de hosting, y los varios datos de entorno recogidos de los clientes y socios acerca del panorama de amenazas en Internet. La reputación se expresa en cuatro clases, basadas en nuestro análisis: No bloquear (riesgo mínimo): es una fuente o destino legítimo de contenido/tráfico. Sin verificar: este sitio web parece ser una fuente o destino legítimo de contenido/tráfico. Sin embargo, también muestra algunas propiedades que sugieren la necesidad de una inspección adicional. Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos que creemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino o procedente del mismo requiere un escrutinio especial. Riesgo alto: se sabe o sospecha que esta fuente/destino envía/aloja contenido/tráfico potencialmente malicioso. Creemos que supone un serio riesgo. McAfee GTI introduce latencia? Cuánta? Cuando McAfee GTI recibe una solicitud de búsqueda de reputación, algo de latencia es inevitable. McAfee ha hecho todo lo posible para minimizar dicha latencia. McAfee GTI: Comprueba la reputación solo cuando se seleccionan las opciones. Usa una arquitectura de almacenamiento en caché inteligente. En un uso normal de la red, la caché resuelve la mayoría de las conexiones deseadas sin consultas a la reputación en línea. Si el firewall no puede llegar a los servidores de McAfee GTI, se detiene el tráfico? Si el firewall no puede llegar a cualquiera de los servidores de McAfee GTI, asigna automáticamente a todas las conexiones aplicables una reputación predeterminada permitida. A continuación, el firewall sigue con un análisis de las reglas posteriores. 80 McAfee Endpoint Security 10.1 Guía del producto

81 Uso de Firewall Administrar Firewall 4 Administración de directivas y grupos de Firewall Como administrador, puede configurar las reglas y grupos de Firewall desde Cliente de Endpoint Security. Procedimientos Creación y administración de directivas y grupos de Firewall en la página 87 Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Security podrían sobrescribirse cuando el administrador despliegue una directiva actualizada. Creación de grupos de aislamiento de conexión en la página 89 Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. Crear grupos temporizados en la página 90 Cree grupos temporizados de Firewall para restringir el acceso a Internet hasta que un sistema cliente se conecte a través de una conexión VPN. Cómo funcionan las reglas de firewall Las reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece un conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el tráfico. Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acción asociada. Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (por ejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones. Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para así facilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red, transporte, aplicación, programa y localización. Firewall usa la prioridad para aplicar reglas: 1 Firewall aplica la regla situada en primera posición en la lista de reglas de firewall. Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intenta aplicar ninguna otra regla de la lista. 2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguiente regla de la lista hasta que encuentre una regla que coincida con el tráfico. 3 Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente. McAfee Endpoint Security 10.1 Guía del producto 81

82 4 Uso de Firewall Administrar Firewall Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, el tráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewall aplique solo la primera regla coincidente de la lista. Recomendaciones Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este orden asegura que Firewall filtra el tráfico adecuadamente. Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, la dirección IP ), cree dos reglas: Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP Esta regla es específica. Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general. Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewall que la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde la dirección , la primera regla coincidente que encuentra es la que bloquea este tráfico a través del firewall. Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraría una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de bloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP provenientes de una dirección específica. 82 McAfee Endpoint Security 10.1 Guía del producto

83 Uso de Firewall Administrar Firewall 4 Cómo funcionan los grupos de reglas de firewall Utilice los grupos de reglas de Firewall para organizar las reglas de firewall y facilitar así la administración. Los grupos de reglas de Firewall no afectan a la forma en que Firewall trata las reglas incluidas en ellos; Firewall sigue procesando las reglas de arriba a abajo. Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas que contiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad. Hacer que los grupos detecten la ubicación Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento de conexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detecten el adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador para equipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre, los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientes para cada adaptador de red: Ubicación: Requerir el acceso a McAfee epo Dirección IP de Servidor WINS principal Sufijo DNS específico de conexión Dirección IP de Servidor WINS secundario Dirección IP de Gateway predeterminada Posibilidad de alcance del dominio (HTTPS) Dirección IP de Servidor DHCP Clave de Registro Servidor DNS consultado para resolver las URL Redes: Dirección IP de Red local Tipos de conexión Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en el primer grupo, prosigue con el procesamiento de la regla. Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado, el firewall las omite. Si esta opción está seleccionada... Activar detección de ubicación Requerir el acceso a McAfee epo Red local Sufijo DNS específico de conexión Gateway predeterminada Servidor DHCP Entonces... Se requiere un nombre de localización. El servidor de McAfee epo es accesible y se ha resuelto el nombre de dominio completo del servidor. La dirección IP del adaptador debe coincidir con una de las entradas de la lista. El sufijo DNS del adaptador debe coincidir con una de las entradas de la lista. La dirección IP de gateway predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista. La dirección IP del servidor DHCP del adaptador debe coincidir al menos con una de las entradas de la lista. McAfee Endpoint Security 10.1 Guía del producto 83

84 4 Uso de Firewall Administrar Firewall Si esta opción está seleccionada... Servidor DNS Servidor WINS principal Servidor WINS secundario Posibilidad de alcance del dominio (HTTPS) Entonces... La dirección IP del servidor DNS del adaptador debe coincidir con cualquiera de las entradas de la lista. La dirección IP del servidor WINS principal del adaptador debe coincidir al menos con una de las entradas de la lista. La dirección IP del servidor WINS secundario del adaptador debe coincidir al menos con una de las entradas de la lista. El dominio especificado debe ser accesible mediante HTTPS. Grupos de reglas y aislamiento de conexión de Firewall Use el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una red designada. Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con: Permitir reglas anteriores al grupo en la lista de reglas de firewall Criterios de grupo El resto del tráfico se bloquea. Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporte ni ejecutables. 84 McAfee Endpoint Security 10.1 Guía del producto

85 Uso de Firewall Administrar Firewall 4 Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en este orden: 1 Reglas para una conexión básica 2 Reglas para una conexión VPN 3 Grupo con reglas de conexión de LAN corporativa 4 Grupo con reglas de conexión VPN McAfee Endpoint Security 10.1 Guía del producto 85

86 4 Uso de Firewall Administrar Firewall Ejemplo: aislamiento de conexión en la red corporativa Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LAN corporativa. Este grupo contiene esta configuración: Tipo de conexión = con cable Sufijo DNS específico de conexión: mycompany.com Gateway predeterminada Aislamiento de conexión = Activado El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa con una conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que se conecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas de acceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que no pasa por la LAN queda bloqueado. Ejemplo: aislamiento de conexión en un hotel Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Este grupo contiene esta configuración: Tipo de conexión = virtual Sufijo DNS específico de conexión: vpn.mycompany.com Dirección IP: una dirección en un intervalo específico para el concentrador VPN Aislamiento de conexión = Activado Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma inalámbrica. Grupos de reglas de firewall predefinidos Firewall incluye varios grupos de reglas predefinidos. Grupo de Firewall Redes principales de McAfee Descripción Contiene las reglas de redes principales proporcionadas por McAfee e incluye reglas para admitir DNS y aplicaciones de McAfee. Estas reglas no se pueden modificar ni eliminar. Se puede desactivar el grupo en las Firewall de firewall, pero hacerlo podría deteriorar las comunicaciones de red en el cliente. Agregado por administrador Contiene reglas definidas por el administrador en el servidor de administración. Estas reglas no se pueden modificar ni eliminar en Cliente de Endpoint Security. 86 McAfee Endpoint Security 10.1 Guía del producto

87 Uso de Firewall Administrar Firewall 4 Grupo de Firewall Agregado por usuario Descripción Contiene reglas definidas en Cliente de Endpoint Security. Dependiendo de la configuración de directiva, estas reglas podrían sobrescribirse al implementarse la directiva. Dinámico Adaptación Contiene reglas creadas de forma dinámica por otros módulos de Endpoint Security instalados en el sistema. Por ejemplo, Prevención de amenazas podría enviar un evento al módulo Cliente de Endpoint Security para crear una regla que bloquee el acceso a un sistema en la red. Contiene reglas de excepciones de cliente que se crean automáticamente cuando el sistema está en modo de adaptación. Dependiendo de la configuración de directiva, estas reglas podrían sobrescribirse al implementarse la directiva. Predeterminado Contiene reglas predeterminadas proporcionadas por McAfee. Estas reglas no se pueden modificar ni eliminar. Creación y administración de directivas y grupos de Firewall Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Security podrían sobrescribirse cuando el administrador despliegue una directiva actualizada. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar las reglas por columna. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Firewall en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Firewall en la página Configuración. 3 Use estas tareas para gestionar reglas y grupos de firewall. Para hacer esto... Vea las reglas en un grupo del firewall. Siga estos pasos Haga clic en. Contraiga un grupo de firewall. Haga clic en. McAfee Endpoint Security 10.1 Guía del producto 87

88 4 Uso de Firewall Administrar Firewall Para hacer esto... Modificar una regla existente. Puede modificar las reglas solo en el grupo Agregado por el usuario. Ver una regla existente en cualquier grupo. Crear una regla. Siga estos pasos 1 Expandir el grupo Agregado por usuario. 2 Haga doble clic en la regla. 3 Cambie la configuración de reglas. 4 Haga clic en Aceptar para guardar los cambios. 1 Expanda el grupo. 2 Seleccione la regla para ver sus detalles en el panel inferior. 1 Haga clic en Agregar regla. 2 Especifique la configuración de reglas. 3 Haga clic en Aceptar para guardar los cambios. La regla aparece al final del grupo Agregado por el usuario. Crear copias de reglas. Eliminar reglas. Puede eliminar reglas solo desde los grupos Agregado por el usuario y Adaptación. 1 Seleccione la regla o reglas y haga clic en Duplicar. Las reglas copiadas aparecen con el mismo nombre al final del grupo Agregado por el usuario. 2 Modificar las reglas para cambiar el nombre y la configuración. 1 Expanda el grupo. 2 Seleccione la regla o reglas y haga clic en Eliminar. Crear un grupo. 1 Haga clic en Agregar grupo. 2 Especifique la configuración del grupo. 3 Haga clic en Aceptar para guardar los cambios. El grupo aparece en el grupo Agregado por el usuario. Mover reglas y grupos dentro y entre grupos. Puede modificar las reglas y grupos solo en el grupo Agregado por el usuario. Para mover elementos: 1 Seleccione los elementos que mover. El control de ajuste aparece a la izquierda de los elementos que puedan moverse. 2 Arrastre y coloque los elementos en su nueva ubicación. Una línea azul aparece entre elementos allí donde pueda colocar los elementos arrastrados. 4 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Caracteres comodín en reglas de firewall en la página 89 Iniciar sesión como administrador en la página 25 Creación de grupos de aislamiento de conexión en la página McAfee Endpoint Security 10.1 Guía del producto

89 Uso de Firewall Administrar Firewall 4 Caracteres comodín en reglas de firewall Puede usar caracteres comodín para representar caracteres para algunos valores en las reglas de firewall. Caracteres comodín en valores de ruta y dirección Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientes caracteres comodín. Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen los valores de los comodines.? Signo de interrogación Un solo carácter. * Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utilice este carácter para hacer coincidir los contenidos del nivel raíz de una carpeta sin subcarpetas. ** Doble asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). canalización Escape de caracteres comodín. Para el asterisco doble (**), el escape es * *. Caracteres comodín en todos los demás valores Para los valores que normalmente no contienen información de ruta con barras, use los siguientes caracteres comodín.? Signo de interrogación Un solo carácter. * Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). canalización Escape de caracteres comodín. Creación de grupos de aislamiento de conexión Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Firewall en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Firewall en la página Configuración. 3 En REGLAS, haga clic en Agregar grupo. 4 En Descripción, especifique las opciones para el grupo. 5 En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación, seleccione los criterios de ubicación para la búsqueda de coincidencias. McAfee Endpoint Security 10.1 Guía del producto 89

90 4 Uso de Firewall Administrar Firewall 6 Bajo Redes, para Tipos de conexión, seleccione el tipo de conexión (Con cable, Inalámbrica o Virtual) para aplicar a las reglas de este grupo. La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión. 7 Haga clic en Aceptar. 8 Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglas de firewall. 9 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Grupos de reglas y aislamiento de conexión de Firewall en la página 84 Cómo funcionan los grupos de reglas de firewall en la página 83 Crear grupos temporizados Cree grupos temporizados de Firewall para restringir el acceso a Internet hasta que un sistema cliente se conecte a través de una conexión VPN. Cuando sea necesario que los usuarios se conecten desde redes públicas para acceder a sitios web internos, puede crear un grupo temporizado para permitir que se establezca una conexión VPN. Para activar este grupo temporizado, en el sistema cliente, haga clic con el botón derecho en el icono de McAfee de la bandeja del sistema y seleccione Configuración rápida Activar grupos temporizados de firewall. El grupo estará activo durante el número de minutos especificado, y el sistema cliente podrá conectarse a una red pública y establecer una conexión VPN. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Firewall en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Firewall en la página Configuración. 3 Cree un grupo defirewall con una configuración predeterminada que permita la conexión a Internet. Por ejemplo, puede permitir el tráfico HTTP en el puerto En Planificación, seleccione Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee e introduzca el número de minutos que debe estar activo el grupo. 5 Haga clic en Aceptar para guardar los cambios. 6 Cree un grupo de aislamiento de conexión correspondiente a la red VPN para permitir el tráfico necesario. Consulte Creación de grupos de aislamiento de conexión en la página 89. Para evitar tráfico saliente del sistema cliente, excepto el del grupo de aislamiento de conexión, no coloque reglas de Firewall bajo este grupo. 7 Haga clic en Aplicar para guardar los cambios o en Cancelar. 90 McAfee Endpoint Security 10.1 Guía del producto

91 5 Uso 5 de Control web Las funciones de Control web se muestran en el navegador mientras navega o busca. Contenido Acerca de las funciones de Control web Acceso a las funciones de Control web Administrar Control web Acerca de las funciones de Control web Dado que Control web se ejecuta en cada sistema gestionado, le notifica si hay amenazas mientras navega o hace búsquedas en sitios web. Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadas con colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio. El software utiliza los resultados de las pruebas para notificarle posibles amenazas basadas en web. En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El color del icono indica la calificación de seguridad del sitio web. Puede acceder a información adicional a través de los iconos. En la ventana del navegador: aparece un botón en el navegador. El color del botón indica la calificación de seguridad del sitio web. Puede acceder a información adicional haciendo clic en el botón. El botón también le notifica cuando se producen problemas de comunicación y proporciona acceso rápido a pruebas que ayudan a identificar problemas comunes. En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación de seguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otros datos. En los sistemas gestionados, los administradores crean directivas para: Activar y desactivar Control web en el sistema, y permitir o impedir la desactivación del complemento de navegador. Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de contenido. Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios web amarillos. Bloqueo o autorización de sitios en función de las direcciones URL y dominios. Impedirle que desinstale o cambie archivos de Control web, claves y valores de Registro, servicios y procesos. McAfee Endpoint Security 10.1 Guía del producto 91

92 5 Uso de Control web Acerca de las funciones de Control web Personalizar la notificación que aparece cuando intenta acceder a un sitio web bloqueado. Supervisar y regular la actividad del navegador en los equipos de red y crear informes detallados acerca de sitios web. En los sistemas autogestionados, puede establecer la configuración para: Activar y desactivar Control web en el sistema. Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de contenido. Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios web amarillos. El software es compatible con los navegadores Microsoft Internet Explorer, Mozilla Firefox y Google Chrome. En los sistemas autogestionados se permiten todos los navegadores de forma predeterminada, tanto los compatibles como los no compatibles. Chrome no es compatible con la implementación de descarga de archivos ni la opción Mostrar globo. Véase también El botón de Control web identifica las amenazas durante la navegación en la página 93 Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 94 Los informes de sitio web proporcionan detalles en la página 94 Modo de compilación de las clasificaciones de seguridad en la página 95 Cómo Control web bloquea o advierte de un sitio web o descarga Cuando un usuario visita un sitio web que se ha bloqueado o que tiene una advertencia, Control web muestra una página o mensaje emergente que indica la razón. Si las acciones de calificación para un sitio web están establecidas en: Advertencia: Control web muestra una advertencia para notificar a los usuarios de daños potenciales asociados con el sitio web. Cancelar vuelve al sitio web al que se ha navegado previamente. Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible. Continuar: continúa con el acceso al sitio web. Bloquear: Control web muestra un mensaje de que el sitio web está bloqueado e impide a los usuarios acceder al sitio web. Aceptar vuelve al sitio web al que se ha navegado previamente. Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible. Si las acciones de calificación para las descargas de un sitio web están establecidas en: Advertencia: Control web muestra una advertencia para notificar a los usuarios de daños potenciales asociados con el archivo descargado. Bloquear: impide la descarga y vuelve al sitio web. Continuar: continúa con la descarga. 92 McAfee Endpoint Security 10.1 Guía del producto

93 Uso de Control web Acerca de las funciones de Control web 5 Bloquear: Control web muestra un mensaje que indica que el sitio web está bloqueado e impide la descarga. Aceptar: vuelve al sitio web. El botón de Control web identifica las amenazas durante la navegación Al navegar a un sitio web, aparece en el navegador un botón codificado por colores color del botón corresponde a la calificación de seguridad del sitio web.. El La calificación de seguridad es aplicable a URL de protocolos HTTP y HTTPS únicamente. Internet Explorer y Safari (Macintosh) Firefox y Chrome Descripción McAfee SECURE prueba y certifica la seguridad de este sitio web a diario. (Solo Windows) El sitio web es seguro. Puede que este sitio web presente algunos problemas. Este sitio tiene algunos problemas graves. No hay calificación disponible para este sitio web. Este botón aparece para URL de protocolo FILE (file://). Se ha producido un error de comunicación con el servidor de McAfee GTI que contiene información de calificación. Control web no ha enviado ninguna consulta a McAfee GTI acerca de este sitio, lo que indica que el sitio web es interno o corresponde a un intervalo de direcciones IP privadas. El sitio web es un sitio de phishing. El phishing es un intento de adquirir información confidencial, por ejemplo, nombres de usuario, contraseñas o datos de tarjetas de crédito. Los sitios web de phishing se hacen pasar por entidades de confianza en las comunicaciones electrónicas. Este sitio está autorizado por una opción de configuración. Una opción de configuración ha desactivado Control web. La ubicación del botón depende del navegador: Internet Explorer: barra de herramientas de Control web Firefox: esquina derecha de la barra de herramientas de Firefox Chrome: barra de dirección Véase también Ver información acerca de un sitio al navegar en la página 97 McAfee Endpoint Security 10.1 Guía del producto 93

94 5 Uso de Control web Acerca de las funciones de Control web Los iconos de seguridad identifican las amenazas durante la búsqueda Cuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!, Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página de resultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web. Las pruebas no detectaron problemas importantes. Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio ha intentado cambiar los valores predeterminados de los analizadores para el navegador, ha mostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correo electrónico no considerados spam. Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes de acceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correo electrónico spam o adware incluido en las descargas. Este sitio está bloqueado por una. Este sitio web no tiene clasificación. Véase también Ver informe de sitio web durante la búsqueda en la página 97 Los informes de sitio web proporcionan detalles Usted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazas concretas. Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienen la información indicada a continuación. Este elemento... Descripción general Afiliaciones online Indica... La calificación global del sitio web, determinada por estas pruebas: Evaluación de las prácticas de correo electrónico y descarga del sitio web usando nuestras técnicas patentadas de recopilación y análisis de datos. Examen del propio sitio web en busca de prácticas molestas como, por ejemplo, un exceso de ventanas emergentes o solicitudes para cambiar la página de inicio del usuario. Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitios sospechosos. Combinación de la revisión de sitios sospechosos de McAfee con los comentarios de los servicios Threat Intelligence. Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a los usuarios para que vayan a otros sitios web marcados con una calificación roja de McAfee. Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. La finalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite el sitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo, cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Control web considera el sitio web rojo por asociación. 94 McAfee Endpoint Security 10.1 Guía del producto

95 Uso de Control web Acerca de las funciones de Control web 5 Este elemento... Pruebas de spam a través de la Web Pruebas de descarga Indica... La calificación global de las prácticas relacionadas con el correo electrónico de un sitio web en función de los resultados de las pruebas. McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibe tras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam. Si alguna de estas medidas está por encima de lo que consideramos aceptable, McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellas parece especialmente notoria, McAfee le otorga una calificación roja. La calificación global del impacto que tiene el software descargable de un sitio web en el equipo de pruebas, en función de sus resultados. McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadas con virus o que agregan software no relacionado que podría considerarse adware o spyware. La calificación también considera los servidores de red con los que contacta un programa descargado durante su funcionamiento, además de cualquier modificación realizada a la configuración del navegador o los archivos de Registro de un equipo. Véase también Ver informe de sitio web durante la búsqueda en la página 97 Ver información acerca de un sitio al navegar en la página 97 Modo de compilación de las clasificaciones de seguridad Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criterios para cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes. Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante las siguientes acciones: Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidos en la descarga. Introducción de información de contacto en formularios de registro y comprobación del spam resultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio o sus asociados. Comprobación del exceso de ventanas emergentes. Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador. Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web. El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además, lo siguiente: Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de las medidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios. Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes de phishing o experiencias negativas de compra. Más análisis de los expertos de McAfee. El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes. McAfee Endpoint Security 10.1 Guía del producto 95

96 5 Uso de Control web Acceso a las funciones de Control web Acceso a las funciones de Control web Puede acceder a las funciones de Control web desde el navegador. Procedimientos Activar el complemento Control web en el navegador en la página 96 En algunos navegadores, debe activar manualmente el complemento Control web para recibir notificaciones sobre amenazas basadas en la Web al navegar y hacer búsquedas. Ver información acerca de un sitio al navegar en la página 97 Utilice el botón Control web del navegador para ver información acerca de un sitio. Este botón funciona de forma distinta según el navegador. Ver informe de sitio web durante la búsqueda en la página 97 Use el icono de seguridad en la página de resultados de búsqueda para ver más información acerca del sitio web. Activar el complemento Control web en el navegador En algunos navegadores, debe activar manualmente el complemento Control web para recibir notificaciones sobre amenazas basadas en la Web al navegar y hacer búsquedas. Antes de empezar El módulo Control web debe estar activado. Al iniciar Internet Explorer o Chrome por primera vez, se le indicará que active complementos. El complemento Control web está activado de forma predeterminada en Firefox. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. En el aviso, haga clic en el botón para activar el complemento. Internet Explorer Chrome Haga clic en Activar. Si hay más de un complemento disponible, haga clic en Elegir complementos y luego en Activar para la barra de herramientas de Control web. Haga clic en Activar extensión. En Internet Explorer, al desactivar la barra de herramientas de Control web, se le indicará que desactive también el complemento de Control web. En los sistemas gestionados, si la configuración de directivas impide desinstalar o desactivar el complemento, Control web permanece activado aunque la barra de herramientas no esté visible. 96 McAfee Endpoint Security 10.1 Guía del producto

97 Uso de Control web Acceso a las funciones de Control web 5 Ver información acerca de un sitio al navegar Utilice el botón Control web del navegador para ver información acerca de un sitio. Este botón funciona de forma distinta según el navegador. Antes de empezar El módulo Control web debe estar activado. El complemento de Control web debe estar activado en el navegador. La opción Ocultar la barra de herramientas en el navegador del cliente en la configuración de Opciones debe estar desactivada. Si Internet Explorer se encuentra en modo de pantalla completa, no aparece la barra de herramientas de Control web. Para mostrar el menú de Control web: Internet Explorer y Firefox Chrome Haga clic en el botón Haga clic en el botón de la barra de herramientas. de la barra de dirección. Procedimiento 1 Mostrar un globo con un resumen de la calificación de seguridad del sitio: mantenga el cursor sobre el botón en la barra de herramientas de Control web. (Solo Internet Explorer y Firefox) 2 Mostrar el informe de sitio web detallado, con más información sobre la calificación de seguridad del sitio: Haga clic en el botón Control web. Seleccione Ver informe de sitio web en el menú Control web. Haga clic en el vínculo Leer informe de sitio web en el globo del sitio web. (Solo Internet Explorer y Firefox) Véase también El botón de Control web identifica las amenazas durante la navegación en la página 93 Los informes de sitio web proporcionan detalles en la página 94 Ver informe de sitio web durante la búsqueda Use el icono de seguridad en la página de resultados de búsqueda para ver más información acerca del sitio web. Procedimiento 1 Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informe de seguridad para el sitio web. 2 Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otra ventana del navegador. Véase también Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 94 Los informes de sitio web proporcionan detalles en la página 94 McAfee Endpoint Security 10.1 Guía del producto 97

98 5 Uso de Control web Administrar Control web Administrar Control web Como administrador, puede especificar la configuración de Control web para activar y personalizar la protección, bloquear basándose en las categorías web y configurar el registro. En los sistemas gestionados, los cambios de directiva realizados en McAfee epo podrían sobrescribir los cambios de la página Configuración. Configuración de las opciones de Control web Puede activar y configurar las opciones de Control web desde Cliente de Endpoint Security. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Web Control en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Web Control en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Opciones. 98 McAfee Endpoint Security 10.1 Guía del producto

99 Uso de Control web Administrar Control web 5 5 Seleccione Activar Control web para activar Control web y modificar sus opciones. Para... Haga esto... Notas Ocultar la barra de herramientas de Control web en el navegador sin desactivar la protección. Rastrear eventos de navegador para usar en los informes. Bloquear o avisar de direcciones URL desconocidas. Analizar archivos antes de su descarga. Bloquear vínculos a sitios peligrosos en los resultados de la búsqueda. Seleccione Ocultar la barra de herramientas en el navegador del cliente. Ajuste la configuración en la sección Registro de eventos. En Implementación de acciones, seleccione la acción (Bloquear, Permitir o Advertir) para los sitios web que aún no hayan sido verificados por McAfee GTI. Seleccione Permitir análisis de archivos para las descargas de archivos, luego seleccione el nivel de riesgo de McAfee GTI que bloquear. En Búsqueda segura, seleccione Activar búsqueda segura, seleccione el motor de búsqueda, y luego especifique si se deben bloquear los vínculos a los sitios web peligrosos. Configure los eventos de Control web enviados desde los sistemas cliente al servidor de administración para usar en consultas e informes. Búsqueda segura filtra automáticamente los sitios maliciosos de los resultados de búsqueda basándose en su calificación de seguridad. Control web usa Yahoo como motor de búsqueda predeterminado. Si cambia el motor de búsqueda predeterminado, reinicie el navegador para que los cambios surtan efecto. 6 Seleccione otras opciones según sea necesario. 7 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Cómo se analizan las descargas de archivos en la página 100 Iniciar sesión como administrador en la página 25 McAfee Endpoint Security 10.1 Guía del producto 99

100 5 Uso de Control web Administrar Control web Cómo se analizan las descargas de archivos Control web envía solicitudes de descarga de archivos a Prevención de amenazas para su análisis antes de la descarga. 100 McAfee Endpoint Security 10.1 Guía del producto

101 Uso de Control web Administrar Control web 5 Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web Configure las opciones de Acciones según contenido para especificar las acciones que desea aplicar a los sitios web y las descargas de archivos según las calificaciones de seguridad. También tiene la opción de bloquear o permitir sitios web en cada categoría web. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Use la configuración de Mensajes de implementación para personalizar el mensaje que se muestra a los usuarios para las descargas y los sitios web bloqueados o con advertencia, y para los sitios de phishing bloqueados. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Web Control en la página Estado principal. O, desde el menú Acción, seleccione Configuración y, a continuación, haga clic en Web Control en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Acciones según contenido. 5 En la sección Bloqueo de categorías web, para cada Categoría web, active o desactive la opción Bloquear. Para los sitios web en las categorías no bloqueadas, Control web aplica las acciones de calificación. 6 En la sección Acciones de calificación, especifique las acciones que desea aplicar a los sitios web y las descargas de archivos según las calificaciones de seguridad definidas por McAfee. Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoría web. 7 Haga clic en Aplicar para guardar los cambios o en Cancelar. Véase también Uso de categorías web para el control de acceso en la página 101 Uso de calificaciones de seguridad para controlar el acceso en la página 102 Iniciar sesión como administrador en la página 25 Uso de categorías web para el control de acceso Las categorías web le permiten controlar el acceso a los sitios web según las categorías definidas por McAfee. Puede especificar opciones para permitir o bloquear el acceso a sitios según la categoría de su contenido. Cuando activa el bloqueo de categorías web en la configuración de Acciones según contenido, el software bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas, Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105 categorías web. McAfee Endpoint Security 10.1 Guía del producto 101

102 5 Uso de Control web Administrar Control web Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitio web pertenece a una de las categorías definidas, el acceso se bloquea o se permite según la configuración de la Acciones según contenido. A los sitios web y las descargas de archivos de las categorías no bloqueadas se les aplican las Acciones de calificación especificadas. Uso de calificaciones de seguridad para controlar el acceso Configurar las acciones basadas en calificaciones de seguridad para determinar si los usuarios pueden acceder a un sitio web o a los recursos dentro de un sitio. Para cada sitio web o descarga de archivo, especifique si se debe permitir, bloquear o advertir según la calificación. Esto permite un mayor nivel de granularidad para proteger a los usuarios contra archivos que pueden presentar una amenaza para los sitios web con calificación global verde. 102 McAfee Endpoint Security 10.1 Guía del producto

103 6 6 Uso de Inteligencia de amenazas Inteligencia de amenazas proporciona seguridad adaptable al contexto para su entorno de red. Inteligencia de amenazas analiza contenido de su empresa y toma decisiones basándose en la reputación de un archivo y en los criterios de su administrador. Contenido Cómo funciona Inteligencia de amenazas Administrar Inteligencia de amenazas Cómo funciona Inteligencia de amenazas Inteligencia de amenazas utiliza la estructura de Data Exchange Layer para compartir información sobre archivos y amenazas de forma instantánea a través de toda la red. Anteriormente, se enviaba un archivo o certificado desconocidos a McAfee para su análisis y, a continuación, se actualizaba la información del archivo en toda la red algunos días después. Inteligencia de amenazas permite controlar la reputación de archivos en un nivel local: su entorno. El usuario decide qué archivos se pueden ejecutar y cuáles se bloquean, y Data Exchange Layer comparte la información inmediatamente en todo el entorno. Escenarios de uso de Inteligencia de amenazas Bloquear un archivo inmediatamente: Inteligencia de amenazas alerta al administrador de la red de un archivo desconocido en el entorno. En lugar de enviar la información del archivo a McAfee para su análisis, el administrador bloquea el archivo de inmediato. El administrador entonces puede usar Inteligencia de amenazas para averiguar si el archivo es una amenaza y cuántos sistemas han ejecutado el archivo. Permitir que un archivo personalizado se ejecute: una empresa utiliza habitualmente un archivo cuya reputación predeterminada es sospechosa o maliciosa, por ejemplo, un archivo personalizado creado para la empresa. Como este archivo se permite, en lugar de enviar la información del archivo a McAfee y recibir un archivo DAT actualizado, el administrador puede asignar al archivo una reputación de confianza y permitir que se ejecute sin advertencias ni solicitudes de confirmación. McAfee Endpoint Security 10.1 Guía del producto 103

104 6 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas Administrar Inteligencia de amenazas Como administrador, puede especificar la configuración de Inteligencia de amenazas, como seleccionar grupos de reglas y configurar los umbrales de reputación. Los cambios de directiva realizados desde McAfee epo sobrescriben los cambios efectuados en la página Configuración. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. Acerca de Inteligencia de amenazas Inteligencia de amenazas proporciona un ecosistema de seguridad que permite la comunicación instantánea entre los sistemas y los dispositivos del entorno. Esta comunicación es posible gracias a la estructura de Data Exchange Layer. Es posible ver el sistema concreto donde se detectó una amenaza por primera vez, a qué ubicaciones se dirigió desde allí y detenerla inmediatamente. Inteligencia de amenazas ofrece las ventajas siguientes: Detección rápida y protección frente a las amenazas de seguridad y el malware. La capacidad de saber qué sistemas o dispositivos están comprometidos, y cómo se ha propagado la amenaza por el entorno. La capacidad de bloquear o permitir inmediatamente archivos y certificados concretos en función de su reputaciones de amenaza y los criterios de riesgo. Integración en tiempo real con McAfee Advanced Threat Defense y McAfee GTI a fin de proporcionar evaluaciones y datos detallados sobre la clasificación del malware. Esta integración permite responder a las amenazas y compartir la información en todo el entorno. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. Componentes de Inteligencia de amenazas Inteligencia de amenazas incluye los componentes siguientes. Un módulo para Endpoint Security que permite crear directivas a fin de bloquear o permitir un archivo o certificado en función de su reputación. Un servidor que almacena información sobre reputaciones de archivos y certificados, para después transmitir esa información a otros sistemas. Brókers de Data Exchange Layer que permiten la comunicación bidireccional entre los sistemas gestionados de una red. Estos componentes se instalan como extensiones de McAfee epolicy Orchestrator (McAfee epo ) y agregan diversas funciones e informes nuevos. 104 McAfee Endpoint Security 10.1 Guía del producto

105 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas 6 El módulo y el servidor comunican información sobre la reputación de los archivos. La estructura de Data Exchange Layer transmite inmediatamente esa información a los endpoints gestionados. También comparte información con otros productos de McAfee que acceden a Data Exchange Layer, tales como McAfee Enterprise Security Manager (McAfee ESM) y McAfee Network Security Platform. Módulo Inteligencia de amenazas El módulo Inteligencia de amenazas permite determinar qué ocurre cuando se detecta un archivo con reputación maliciosa o desconocida en su entorno. También puede ver información sobre el historial de amenazas y las acciones realizadas. Puede llevar a cabo las tareas siguientes mediante el módulo Inteligencia de amenazas. Crear directivas para: Permitir o bloquear archivos y certificados en función de su reputación. Recibir una solicitud de confirmación cada vez que se intente ejecutar un archivo o certificado con cierta reputación. Enviar archivos automáticamente a Advanced Threat Defense para continuar con su evaluación. Ver eventos en los paneles de Inteligencia de amenazas. Puede ver los eventos de limpieza, bloqueo y permiso de los últimos treinta días o visualizarlos por tipo de evento. McAfee Endpoint Security 10.1 Guía del producto 105

106 6 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas Servidor de Inteligencia de amenazas Exchange El servidor almacena información sobre reputaciones de archivos y certificados, para después transmitir esa información a otros sistemas del entorno. Para obtener información sobre el servidor, consulte la Inteligencia de amenazas Exchange. Conexión mediante puente de servidores y bases de datos de TIE Si cuenta con servidores y bases de datos de TIE administrados por distintos sistemas de McAfee epo, puede conectarlos mediante un puente a fin de compartir la información sobre reputación. Para obtener detalles sobre la conexión mediante un puente de servidores y bases de datos de TIE, consulte la Guía del producto de Data Exchange Layer y el artículo de la base de datos de conocimiento KnowledgeBase KB Data Exchange Layer Data Exchange Layer incluye software cliente y brókers que permiten la comunicación bidireccional entre los endpoints de una red. Data Exchange Layer funciona en segundo plano gracias a la comunicación con servicios, bases de datos, endpoints y aplicaciones. Data Exchange Layer Client se instala en todos los endpoints gestionados, de forma que la información sobre amenazas de los productos de seguridad que utilizan DXL se pueda compartir de inmediato con todos los servicios y dispositivos. El hecho de compartir la información sobre reputación en cuanto está disponible reduce las asunciones de seguridad que realizan las aplicaciones y los servicios unos sobre otros cuando intercambian información. Esta información compartida reduce la propagación de amenazas. Véase la Guía del producto de Data Exchange Layer para obtener detalles sobre la instalación y el uso de Data Exchange Layer. Cómo se determina una reputación La reputación de archivos y certificados se determina cuando un archivo intenta ejecutarse en un sistema gestionado. A la hora de determinar la reputación de un archivo o certificado, se realizan los pasos siguientes. 1 Un usuario o un sistema intentan ejecutar un archivo. 2 Endpoint Security inspecciona el archivo y no puede determinar su validez ni su reputación. 3 El módulo Inteligencia de amenazas inspecciona el archivo y recopila las propiedades de interés del archivo y del sistema local. 4 El módulo comprueba la caché de reputación local en busca del hash del archivo. Si se encuentra el hash del archivo, el módulo obtiene de la caché los datos de reputación y la prevalencia de Enterprise correspondientes al archivo. 5 Si no se encuentra el hash del archivo en la caché de reputación local, el módulo envía una consulta al servidor de TIE. Si se encuentra el hash, el módulo obtiene los datos de prevalencia de Enterprise (y las reputaciones disponibles) correspondientes a ese hash de archivo. 6 Si no se encuentra el hash de archivo en la caché ni en la base de datos de TIE, el servidor envía una consulta a McAfee GTI sobre la reputación del hash del archivo. McAfee GTI envía la información disponible, por ejemplo, "reputación desconocida", y el servidor almacena esta información. 106 McAfee Endpoint Security 10.1 Guía del producto

107 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas 6 El servidor envía el archivo para su análisis en estos casos: Advanced Threat Defense está presente y el hash del archivo no se ha encontrado en McAfee GTI. La directiva del endpoint está configurada para enviar el archivo a Advanced Threat Defense. Puede consultar los pasos adicionales en Si Advanced Threat Defense está presente. 7 El servidor devuelve al módulo la antigüedad, los datos de prevalencia y la reputación de Enterprise correspondientes al hash del archivo en función de los datos encontrados. Si el archivo es nuevo en el entorno, el servidor también envía un indicador de primera instancia al módulo Inteligencia de amenazas. Si McAfee Web Gateway está presente y finalmente envía una calificación de reputación, Inteligencia de amenazas devuelve la reputación del archivo. 8 El módulo evalúa estos metadatos a fin de determinar la reputación del archivo: Propiedades del archivo y del sistema Datos de prevalencia y antigüedad de Enterprise Reputación 9 El módulo actúa de acuerdo con la directiva asignada al sistema que ejecuta el archivo. 10 El módulo actualiza el servidor con la información de reputación, además de indicar si el archivo se permite o se bloquea. También envía los eventos de amenaza a McAfee epo a través de McAfee Agent. 11 El servidor publica el evento de cambio de reputación para el hash del archivo. Si Advanced Threat Defense está presente Si Advanced Threat Defense está presente, se producen los procesos siguientes. 1 Si el sistema se ha configurado para enviar archivos a Advanced Threat Defense y el archivo es nuevo en el entorno, el sistema envía el archivo al servidor de TIE. A continuación, el servidor de TIE lo envía a Advanced Threat Defense para su análisis. 2 Advanced Threat Defense analiza el archivo y envía los resultados de reputación de archivos al servidor de TIE mediante Data Exchange Layer. El servidor también actualiza la base de datos y envía la información de reputación actualizada a todos los sistemas con Inteligencia de amenazas activado a fin de proteger su entorno de forma inmediata. Inteligencia de amenazas o cualquier otro producto de McAfee puede iniciar este proceso. En cualquier caso, Inteligencia de amenazas procesa la reputación y la guarda en la base de datos. Para obtener información sobre cómo se integra Advanced Threat Defense Inteligencia de amenazas, consulte el capítulo Detección de malware y Advanced Threat Defense en la Guía del producto de McAfee Advanced Threat Defense. Si McAfee Web Gateway está presente Si McAfee Web Gateway está presente, se producen los procesos siguientes. Al descargar archivos, McAfee Web Gateway envía un informe al servidor de TIE, el cual guarda la calificación de reputación en la base de datos. Cuando el servidor recibe una solicitud de reputación de archivos del módulo, devuelve la reputación recibida demcafee Web Gateway y otros proveedores de reputación. Para obtener información sobre cómo McAfee Web Gateway intercambia información mediante un servidor de TIE, consulte el capítulo Servidores proxy de la Guía del producto de McAfee Web Gateway. McAfee Endpoint Security 10.1 Guía del producto 107

108 6 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas Introducción Después de instalar Inteligencia de amenazas, qué hay que hacer? Para empezar a utilizar Inteligencia de amenazas, haga lo siguiente: 1 Cree directivas de Inteligencia de amenazas para determinar lo que se permite y lo que se bloquea. A continuación, ejecute Inteligencia de amenazas en el modo de evaluación para crear la prevalencia de archivos y observar lo que Inteligencia de amenazas detecta en el entorno. La prevalencia de un archivo indica la frecuencia con la que se detecta en su entorno. 2 Supervise y ajuste las directivas, o las reputaciones de archivos o certificados individuales, a fin de controlar lo que se permite en el entorno. Creación de la prevalencia de archivos y observación Tras la instalación y el despliegue, empiece a crear la prevalancia de archivos y la información sobre amenazas actual. Es posible ver lo que se ejecuta en el entorno y agregar información de reputación de archivos y certificados a la base de datos de TIE. Esta información también rellena los gráficos y paneles disponibles en el módulo donde se visualiza la información de reputación detallada sobre los archivos y los certificados. Para empezar, cree una o varias directivas de Inteligencia de amenazas a fin de ejecutarlas en unos pocos sistemas del entorno. Las directivas determinan lo siguiente: Cuándo se permite que un archivo o certificado con una reputación concreta se ejecuten en un sistema Cuándo se bloquea un archivo o certificado Cuándo se solicita confirmación al usuario sobre qué hacer Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis Mientras se crea la prevalencia de archivos, se pueden ejecutar las directivas en el modo de evaluación. Las reputaciones de archivos y certificados se agregarán a la base de datos, pero no se realizará ninguna acción. Podrá ver lo que Inteligencia de amenazas bloquea o permite si se implementa la directiva. Para obtener más información, consulte las opciones de la configuración de Inteligencia de amenazas. Supervisión y realización de ajustes A medida que las directivas se ejecutan en su entorno, se agregan datos de reputación a la base de datos. Utilice los paneles y las vistas de eventos de McAfee epo para ver los archivos y certificados permitidos o bloqueados en función de las directivas. Puede ver información detallada por sistema (equipo), archivo, regla o certificado, además de ver con rapidez el número de elementos identificados y las acciones realizadas. Puede hacer clic en un elemento y acceder a información detallada, así como ajustar la configuración de reputación para archivos o certificados concretos de manera que se realice la acción apropiada. 108 McAfee Endpoint Security 10.1 Guía del producto

109 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas 6 Por ejemplo, si la reputación predeterminada de un archivo es sospechosa o desconocida pero sabe que se trata de un archivo de confianza, puede asignarle una reputación de confianza para que se ejecute en el entorno sin ser bloqueado y sin que se solicite una acción por parte del usuario. Esto resulta especialmente útil para archivos internos o personalizados empleados en su entorno. Utilice la función Reputaciones de TIE para buscar el nombre de un archivo o certificado específicos. Es posible ver detalles sobre el archivo o certificado, incluidos el nombre de la empresa, el hash SHA-1, la descripción y la información de McAfee GTI. En el caso de los archivos, también puede acceder a los datos de VirusTotal directamente desde la página de detalles de Reputaciones de TIE a fin de obtener más información. Utilice la página Informes - Paneles para ver diversos tipos de información sobre reputación a la vez. Puede ver el número de archivos nuevos detectados en su entorno en la última semana, los archivos por reputación, los archivos cuya reputación ha cambiado recientemente, los sistemas que han ejecutado recientemente archivos nuevos, etc. Al hacer clic en un elemento en el panel, aparece información detallada. Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo han ejecutado y podrían estar comprometidos. Cambie la reputación de un archivo o certificado según proceda en su entorno. La información se actualiza de inmediato en la base de datos y se envía a todos los dispositivos del entorno. Los archivos y los certificados se bloquean o permiten en función de su reputación. Si no está seguro sobre qué hacer con un archivo o certificado concretos, puede bloquear su ejecución mientras obtiene más información sobre ellos. Al contrario que una acción de limpieza de Prevención de amenazas, que podría eliminar el archivo, al bloquearlo se conserva el archivo pero no se permite su ejecución. El archivo permanece intacto mientras lo investiga y decide qué hacer. Importe las reputaciones de archivos y certificados a la base de datos para permitir o bloquear archivos o certificados concretos en función de otros orígenes de reputación. Esto permite utilizar la configuración importada para archivos y certificados concretos sin tener que establecerla individualmente en el servidor. Envío de archivos para un análisis más detallado Si la reputación de un archivo es desconocida o incierta, puede enviarlo a Advanced Threat Defense para continuar con su análisis. Se especifica si los archivos se envían o no a Advanced Threat Defense en la directiva de Inteligencia de amenazas. Advanced Threat Defense detecta malware de tipo zero-day y combina defensas de firmas antivirus, reputación y emulación en tiempo real. Los archivos se pueden enviar desde Inteligencia de amenazas aadvanced Threat Defense automáticamente en función de su nivel de reputación y tamaño. La información de reputación de archivos enviada desde Advanced Threat Defense se agrega a la base de datos del servidor de TIE. La información sobre archivos y certificados se envía directamente a McAfee para su análisis. La información se utiliza para comprender mejor y mejorar la información sobre reputación. McAfee no recopila información de identificación personal, y no comparte la información fuera de McAfee. Información de archivos y certificados Versiones del módulo y del servidor de TIE Configuración de omisión de reputación realizada con el servidor de TIE Información de reputación externa, por ejemplo, de Advanced Threat Defense McAfee Endpoint Security 10.1 Guía del producto 109

110 6 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas Información exclusiva de archivos Nombre, ruta, tamaño, producto, publicador y prevalencia del archivo Información sobre los hashes SHA1, SHA256 y MD5 Versión del sistema operativo del equipo que ha informado del archivo Reputación máxima, mínima y promedio del archivo Si el módulo de generación de informes está en el modo de observación Si el archivo se ha permitido, bloqueado o limpiado El producto que detectó el archivo, por ejemplo, Advanced Threat Defense o Prevención de amenazas Información exclusiva de certificados Información del hash SHA El nombre del emisor del certificado y el sujeto La fecha de validez y de caducidad del certificado Configuración de las opciones de Inteligencia de amenazas Utilice la configuración para determinar cuándo se permite la ejecución de un archivo o certificado, cuándo se limpian, se bloquean, o bien si se solicita confirmación a los usuarios sobre qué hacer. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Los cambios de directiva realizados desde McAfee epo sobrescriben los cambios efectuados en la página Configuración. Procedimiento Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Abra Cliente de Endpoint Security. 2 Haga clic en Threat Intelligence Exchange en la página Estado principal. O, en el menú Acción, seleccione Configuración y haga clic en Threat Intelligence Exchange en la página Configuración. 3 Haga clic en Mostrar avanzado. 4 Haga clic en Opciones. 5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los cambios o en Cancelar. 110 McAfee Endpoint Security 10.1 Guía del producto

111 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas 6 Archivos y certificados bloqueados o permitidos Los archivos y los certificados tienen reputaciones de amenaza basadas en su contenido y sus propiedades. Las directivas de Inteligencia de amenazas determinan si los archivos y certificados se bloquean o se permiten en los sistemas de su entorno en función de los niveles de reputación. Existen tres niveles de seguridad en función de cómo se desee equilibrar las reglas correspondientes a tipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican los archivos y certificados sospechosos y maliciosos. Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalaciones de programas, y que reciben actualizaciones frecuentes. Ejemplos de este tipo de sistemas son los equipos que se utilizan en los entornos de desarrollo. Para esta configuración se emplean menos reglas con las directivas. Los usuarios ven escasos bloqueos y solicitudes de confirmación cuando se detectan nuevos archivos. Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizan cambios con poca frecuencia. Para esta configuración se emplean más reglas con las directivas. Los usuarios experimentan más bloqueos y solicitudes de confirmación. Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios. Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entorno financiero o gubernamental. Esta configuración también se usa para los servidores. Para esta configuración se emplea el número máximo de reglas con las directivas. Los usuarios experimentan aún más bloqueos y solicitudes de confirmación. Para ver las reglas específicas asociadas con cada nivel de seguridad, seleccione Menú Configuración del servidor. En la lista Categorías de configuración, seleccione Inteligencia de amenazas. A la hora de determinar qué nivel de seguridad asignar a una directiva, tenga en cuenta el tipo de sistema donde se emplea la directiva y qué cantidad de bloqueos y solicitudes quiere que experimente el usuario. Tras crear una directiva, asígnela a los equipos o dispositivos a fin de determinar qué cantidad de bloqueos y solicitudes de confirmación se producen. McAfee Endpoint Security 10.1 Guía del producto 111

112 6 Uso de Inteligencia de amenazas Administrar Inteligencia de amenazas 112 McAfee Endpoint Security 10.1 Guía del producto

113 7 Referencia a la interfaz de cliente Los temas de ayuda de referencia de la interfaz proporcionan ayuda sensible al contexto para las páginas de la interfaz de cliente. Contenido página Registro de eventos Página Poner en cuarentena Ajustes generales: Opciones Ajustes generales: Tareas Prevención de amenazas: Protección de acceso Prevención de amenazas Prevención de vulnerabilidades Prevención de amenazas: Análisis en tiempo real Prevención de amenazas: Análisis bajo demanda Ubicaciones de análisis McAfee GTI Acciones Agregar exclusión o Editar exclusión Prevención de amenazas: Opciones Revertir AMCore Content Firewall: Opciones Firewall: Reglas Control web: Opciones Control web: Acciones según contenido Inteligencia de amenazas: Opciones página Registro de eventos Muestra los eventos de actividad y depuración en el Registro de eventos. Opción Número de eventos Ver directorio de registros Mostrar todos los eventos Definición Muestra el número de eventos que Endpoint Security haya registrado en el sistema en los últimos 30 días. Actualiza la vista del Registro de eventos con cualquier información de evento reciente. Abre la carpeta que contiene los archivos de instalación de registro en el explorador de Windows. Elimina cualquier filtro. McAfee Endpoint Security 10.1 Guía del producto 113

114 7 Referencia a la interfaz de cliente página Registro de eventos Opción Filtrar por gravedad Definición Filtra los eventos por nivel de gravedad: Crítico Muestra solo los eventos de nivel de gravedad 1. Importante y crítico Muestra solo los eventos de nivel de gravedad 1 y 2. Mínimo, importante y crítico Advertencias y más importantes Muestra solo los eventos de nivel de gravedad 1, 2 y 3. Muestra los eventos de nivel de gravedad 1, 2, 3 y 4. Filtrar por módulo Filtra los eventos por módulo: Common Threat Prevention Firewall Web Control Muestra solo los eventos de Ajustes generales. Muestra solo los eventos de Prevención de amenazas. Muestra solo los eventos de Firewall. Muestra solo los eventos de Control web. Las funciones que aparecen en el menú desplegable dependen de las funciones instaladas en el sistema en el momento en que abrió el Registro de eventos. Buscar Eventos por página Página anterior Página siguiente Página x de x Encabezados de las columnas Fecha Función Busca una cadena en el Registro de eventos. Seleccione el número de eventos que mostrar en una página. (De forma predeterminada, 20 eventos por página) Muestra la página anterior en el Registro de eventos. Muestra la página siguiente en el Registro de eventos. Seleccione una página en el Registro de eventos a la que navegar. Introduzca un número en el campo Página y pulse Intro o haga clic en Ir para navegar hasta la página. Ordena la lista de eventos por... Fecha en la que ocurrió el evento. Función que registró el evento. 114 McAfee Endpoint Security 10.1 Guía del producto

115 Referencia a la interfaz de cliente Página Poner en cuarentena 7 Encabezados de las columnas Acción Ordena la lista de eventos por... Acción que Endpoint Security tomó, si tomó alguna, en respuesta al evento. La acción puede ajustarse en la configuración. Permitido Acceso denegado Eliminado Continuar Limpiado Movido Bloqueado Bloquearía Ha permitido el acceso al archivo. Ha denegado el acceso al archivo. Ha eliminado el archivo automáticamente. Ha quitado la amenaza del archivo detectado automáticamente. Ha movido el archivo a la cuarentena. Ha bloqueado el acceso al archivo. Una regla de protección de acceso habría bloqueado el acceso al archivo si la regla hubiera estado implementada. Gravedad Nivel de gravedad del evento. Crítico 1 Grave 2 Leve 3 Advertencia 4 Informativo 5 Véase también Ver el Registro de eventos en la página 22 Página Poner en cuarentena Administre los elementos en cuarentena. Tabla 7-1 Opciones Opción Eliminar Definición Elimina los eventos seleccionados de la cuarentena. Los archivos eliminados no se pueden restaurar. Restaurar Restaura elementos de la cuarentena. Endpoint Security restaura los elementos a su ubicación original y los quita de la cuarentena. Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a la cuarentena inmediatamente. Volver a analizar Vuelve a analizar elementos en la cuarentena. Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicación original y lo quita de la cuarentena. McAfee Endpoint Security 10.1 Guía del producto 115

116 7 Referencia a la interfaz de cliente Ajustes generales: Opciones Encabezados de las columnas Nombre de detección Tipo Hora de cuarentena Número de objetos Versión de AMCore Content Volver a analizar estado Ordena la lista de cuarentena por... Nombre de la detección. Tipo de amenaza; por ejemplo, Troyano o Adware. La cantidad de tiempo que el elemento ha estado en cuarentena. El número de objetos en la detección. El número de versión de AMCore Content que identifica la amenaza. El estado del nuevo análisis, si el elemento se ha vuelto a analizar: Limpio: el nuevo análisis no ha detectado amenazas. Infectado: Endpoint Security ha detectado una amenaza al volver a analizar. Véase también Administrar elementos en cuarentena en la página 46 Nombres de detecciones en la página 48 Volver a analizar elementos en cuarentena en la página 49 Ajustes generales: Opciones Configure los parámetros de interfaz, autoprotección, registro de actividades y depuración y servidor proxy de Cliente de Endpoint Security. Tabla 7-2 Opciones Sección Opción Definición Modo de interfaz de cliente Acceso total Permite el acceso a todas las funciones. (Predeterminado para sistemas autogestionados) Acceso estándar Muestra el estado de la protección y permite acceder a la mayoría de las funciones, como la ejecución de actualizaciones y análisis. El modo Acceso estándar requiere una contraseña para ver y modificar las opciones de la página Configuración de Cliente de Endpoint Security. La contraseña predeterminada es mcafee. (Opción predeterminada para los sistemas gestionados con McAfee epo) Bloquear interfaz de cliente Requiere una contraseña para acceder a Cliente de Endpoint Security. 116 McAfee Endpoint Security 10.1 Guía del producto

117 Referencia a la interfaz de cliente Ajustes generales: Opciones 7 Tabla 7-2 Opciones (continuación) Sección Opción Definición Establecer contraseña de administrador Para Acceso estándar y Bloquear interfaz de cliente, especifica la contraseña de administrador con que acceder a todas las funciones de la interfaz de Cliente de Endpoint Security. Contraseña Confirmar contraseña Especifica la contraseña. Confirma la contraseña. Desinstalación Requerir contraseña para desinstalar el cliente Solicita una contraseña para desinstalar Cliente de Endpoint Security y especifica la contraseña. (Opción desactivada de forma predeterminada para los sistemas autogestionados) La contraseña predeterminada es mcafee. Contraseña Confirmar contraseña Especifica la contraseña. Confirma la contraseña. Tabla 7-3 Opciones avanzadas Sección Opción Definición Idioma de la interfaz de cliente Automático Idioma Selecciona automáticamente el idioma que usar en el texto de la interfaz de Cliente de Endpoint Security basándose en el idioma de la interfaz del sistema cliente. Especifica el idioma que usar en el texto de la interfaz de Cliente de Endpoint Security. En lo que se refiere a los sistemas gestionados, los cambios realizados en Cliente de Endpoint Security anulan los cambios de directivas del servidor de administración. El cambio de idioma se aplicará después del reinicio de Cliente de Endpoint Security. El idioma del cliente no afecta a los archivos de registro. Los archivos de registro siempre aparecen en el idioma especificado en la configuración regional predeterminada del sistema. Autoprotección Activar autoprotección Acción Archivos y carpetas Registro Procesos Protege los recurso del sistema de Endpoint Security contra actividades maliciosas. Especifica la acción a realizar cuando ocurran actividades maliciosas: Bloquear e informar: bloquea la actividad e informa a McAfee epo. (Opción predeterminada) Solo bloquear: bloquea la actividad pero no informa a McAfee epo. Solo informar: informa a McAfee epo pero no bloquea la actividad. Impide que se modifiquen o eliminen carpetas y archivos de sistema de McAfee. Impide que se modifiquen o eliminen valores y claves de Registro de McAfee. Impide la detención de procesos de McAfee. McAfee Endpoint Security 10.1 Guía del producto 117

118 7 Referencia a la interfaz de cliente Ajustes generales: Opciones Tabla 7-3 Opciones avanzadas (continuación) Sección Opción Definición Excluir estos procesos Permite el acceso a los procesos especificados. Se admiten caracteres comodín. Agregar : agrega un proceso a la lista de exclusión. Haga clic en Agregar e introduzca el nombre exacto del recurso, como por ejemplo avtask.exe. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar : Elimina el elemento seleccionado. Seleccione el recurso y haga clic en Eliminar. Certificados Especifica las opciones de los certificados. Permitir Permite que un proveedor ejecute código en los procesos de McAfee. Esta configuración puede dar lugar a problemas de compatibilidad y a un nivel de seguridad reducido. Registro de cliente Proveedor Asunto Clave pública SHA-1 Ubicación de archivos de registro Especifica el nombre común (CN) de la autoridad que firmó y emitió el certificado. Especifica el nombre distintivo del firmante (SDN) que define la entidad asociada con el certificado. Esta información puede incluir: CN: nombre común OU: unidad organizativa O: organización L: localidad ST: estado o provincia C: código de país Especifica el hash SHA-1 de la clave pública asociada. Especifica la ubicación para los archivos de registro. La ubicación predeterminada es: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs Registro de actividades Activar registro de actividades Limitar tamaño (MB) de cada uno de los archivos de registro de actividades Escriba la ubicación deseada o haga clic en Examinar para llegar a ella. Activa el registro de todas las actividades de Endpoint Security. Limita cada archivo de registro de actividades al tamaño máximo especificado (entre 1 MB y 999 MB). El valor predeterminado es 10 MB. Desactive esta opción para permitir que los archivos de registro tengan cualquier tamaño. Si el archivo de registro supera este tamaño, los datos nuevos sustituyen el 25 por ciento más antiguo de las entradas en el archivo. 118 McAfee Endpoint Security 10.1 Guía del producto

119 Referencia a la interfaz de cliente Ajustes generales: Opciones 7 Tabla 7-3 Opciones avanzadas (continuación) Sección Opción Definición Registro de depuración La activación del registro de depuración para cualquier módulo también lo activa para las funciones del módulo Ajustes generales, como por ejemplo Autoprotección. Le recomendamos que active el registro de depuración durante al menos las primeras 24 horas durante las fases de prueba y piloto. Si no se producen problemas durante este tiempo, desactive el registro de depuración para evitar impactos en el rendimiento del sistema cliente. Activar para Prevención de amenazas Activa el registro detallado para Prevención de amenazas y tecnologías individuales: Activar para protección de acceso: los registros se realizan en AccessProtection_Debug.log. Activar para prevención de exploit: los registros se realizan en ExploitPrevention_Debug.log. Activar para analizador en tiempo real: los registros se realizan en OnAccessScan_Debug.log. Activar para analizador bajo demanda: los registros se realizan en OnDemandScan_Debug.log. La activación del registro de depuración para cualquier tecnología de la Prevención de amenazas también lo activa para Cliente de Endpoint Security. La activación del registro de depuración para cualquier tecnología de Prevención de amenazas también lo activa para Inteligencia de amenazas. Activar para Firewall Activar para Control web Limitar tamaño (MB) de cada uno de los archivos de registro de depuración Activa el registro detallado de actividades de Firewall. Activa el registro detallado de actividades de Control web. Limita cada archivo de registro de depuración al tamaño máximo especificado (entre 1 MB y 999 MB). El valor predeterminado es 50 MB. Desactive esta opción para permitir que los archivos de registro tengan cualquier tamaño. Si el archivo de registro supera este tamaño, los datos nuevos sustituyen el 25 por ciento más antiguo de las entradas en el archivo. Registro de eventos Enviar eventos a McAfee epo Envía todos los eventos registrados en el Registro de eventos de Cliente de Endpoint Security a McAfee epo. Esta opción solo se encuentra disponible en sistemas gestionados por McAfee epo. Registrar eventos en el registro de aplicaciones de Windows Envía todos los eventos registrados en el Registro de eventos de Cliente de Endpoint Security al registro de aplicaciones de Windows. Se puede acceder al registro de aplicaciones de Windows desde Visor de eventos Registros de Windows Aplicación. McAfee Endpoint Security 10.1 Guía del producto 119

120 7 Referencia a la interfaz de cliente Ajustes generales: Opciones Tabla 7-3 Opciones avanzadas (continuación) Sección Opción Definición Niveles de gravedad Especifica el nivel de gravedad de los eventos que registrar en el Registro de eventos en Cliente de Endpoint Security: Ninguno: no se envían alertas. Solo crítico: se envían alertas solo de nivel 1 Importante y crítico: se envían alertas de nivel 1 y 2. Mínimo, importante y crítico: se envían alertas de nivel 1 3. Todo excepto Informativo: se envían alertas de nivel 1 4. Todo: se envían alertas de nivel Crítico 2 Importante 3 Mínimo 4 Advertencia 5 Informativo Eventos de Prevención de amenazas que registrar Especifica el nivel de gravedad de los eventos para cada función de Prevención de amenazas a registrar: Protección de acceso Al activar el registro de eventos para Protección de acceso, también se activa el registro de eventos para Autoprotección. Servidor proxy para McAfee GTI Eventos de Firewall que registrar Eventos de Control web que registrar Sin servidor proxy Utilizar configuración de proxy del sistema Configurar servidor proxy Prevención de exploit Analizador en tiempo real Analizador bajo demanda Especifica el nivel de gravedad de los eventos de Firewall que registrar. Especifica el nivel de gravedad de los eventos de Control web que registrar. Especifica que los sistemas gestionados recuperan información sobre reputación de McAfee GTI directamente a través de Internet, en vez de a través de un servidor proxy. (Predeterminado) Especifica el uso de la configuración de proxy del sistema cliente, y activa opcionalmente la autenticación de proxy HTTP. Personaliza la configuración de proxy. Dirección: especifica la dirección IP o el nombre de dominio completo del servidor proxy HTTP. Puerto: limita el acceso a través del puerto especificado. Excluir estas direcciones: no usar el servidor proxy HTTP para sitios web o direcciones IP que empiecen con las entradas especificadas. Haga clic en Agregar e introduzca la dirección que excluir. 120 McAfee Endpoint Security 10.1 Guía del producto

121 Referencia a la interfaz de cliente Ajustes generales: Opciones 7 Tabla 7-3 Opciones avanzadas (continuación) Sección Opción Definición Activar autenticación de proxy HTTP Especifica que el servidor proxy HTTP requiere autenticación. (Esta opción solo está disponible cuando se ha seleccionado un servidor proxy HTTP.) Introduzca unas credenciales de proxy HTTP: Nombre de usuario: especifica el nombre de la cuenta de usuario con permisos para acceder al servidor proxy HTTP especificado. Contraseña: especifica la contraseña para el Nombre de usuario. Confirmar contraseña: confirma la contraseña especificada. Actualización de cliente predeterminada Sitios de origen para las actualizaciones Activar el botón Actualizar ahora en el cliente Qué actualizar Muestra u oculta el botón principal de Cliente de Endpoint Security. en la página Haga clic en este botón para buscar y descargar manualmente actualizaciones de archivos de contenido y componentes de software en el sistema cliente. Especifica qué actualizar al hacer clic en el botón. Contenido de seguridad, hotfixes y parches: actualiza a las versiones más recientes todo el contenido de seguridad (ya sea contenido de motor, AMCore o prevención de exploit), así como cualquier hotfix y parche. Contenido de seguridad: actualiza únicamente contenido de seguridad (opción predeterminada). Hotfixes y parches: actualiza únicamente hotfixes y parches. Configura sitios desde los que obtener actualizaciones para archivos de contenido y componentes de software. Puede activar y desactivar el sitio de origen de copia de seguridad predeterminado, McAfeeHttp, y el servidor de gestión (para sistemas gestionados), pero no podrá modificarlos ni eliminarlos. Agregar Hacer doble clic en un elemento Eliminar Importar Indica elementos que pueden moverse en la lista. Seleccione elementos y arrástrelos hasta la nueva ubicación. Una línea azul aparece entre elementos allí donde pueda colocar los elementos arrastrados. Agrega un sitio a la lista de sitios de origen. Consulte Agregar sitio o Editar sitio en la página 122para obtener información. Modifica el elemento seleccionado. Elimina el sitio seleccionado de la lista de sitios de origen. Importa sitios desde un archivo de lista de sitios de origen. Seleccione el archivo para importar y haga clic en Aceptar. El archivo de lista de sitios reemplaza la lista de sitios de origen actual. McAfee Endpoint Security 10.1 Guía del producto 121

122 7 Referencia a la interfaz de cliente Ajustes generales: Opciones Tabla 7-3 Opciones avanzadas (continuación) Sección Opción Definición Exportar todo Exporta la lista de sitios de origen al archivo SiteList.xml. Seleccione la ubicación para guardar el archivo de lista de sitios de origen y haga clic en Aceptar. Servidor proxy para sitios de origen Sin servidor proxy Utilizar configuración de proxy del sistema Configurar servidor proxy Activar autenticación de proxy HTTP/FTP Especifica que los sistemas gestionados recuperan información sobre reputación de McAfee GTI directamente a través de Internet, en vez de a través de un servidor proxy. (Predeterminado) Especifica el uso de la configuración de proxy para el sistema cliente, y activa opcionalmente la autenticación de proxy HTTP o FTP. Personaliza la configuración de proxy. Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del servidor proxy HTTP o FTP. Puerto: limita el acceso a través del puerto especificado. Excluir estas direcciones: especifica las direcciones para sistemas Cliente de Endpoint Security que no deben usar el servidor proxy para obtener calificaciones de McAfee GTI. Haga clic en Agregar e introduzca la dirección que excluir. Especifica que el servidor proxy HTTP o FTP requiere autenticación. (Esta opción solo está disponible cuando se ha seleccionado un servidor proxy HTTP o FTP.) Introduzca unas credenciales de proxy: Nombre de usuario: especifica el nombre de la cuenta de usuario con permisos para acceder al servidor proxy. Contraseña: especifica la contraseña para el Nombre de usuario especificado. Confirmar contraseña: confirma la contraseña especificada. Véase también Proteger recursos de Endpoint Security en la página 29 Configurar parámetros de registro en la página 30 Configurar parámetros para seguridad de interfaz cliente en la página 31 Configuración del servidor proxy para McAfee GTI en la página 32 Configure el comportamiento predeterminado de las actualizaciones en la página 35 Configurar sitios de origen para actualizaciones en la página 33 Agregar sitio o Editar sitio en la página 122 Agregar sitio o Editar sitio Agrega o edita un sitio en la lista de sitios de origen. Tabla 7-4 Definiciones de opciones Option Nombre Activar Recuperar archivos desde Definición Indica el nombre del sitio de origen que contiene los archivos de actualización. Activa o desactiva el uso del sitio de origen para descargar archivos de actualización. Especifica de dónde se han de recuperar los archivos. 122 McAfee Endpoint Security 10.1 Guía del producto

123 Referencia a la interfaz de cliente Ajustes generales: Opciones 7 Tabla 7-4 Definiciones de opciones (continuación) Option Repositorio HTTP Definición Recupera los archivos desde la ubicación del repositorio HTTP designada. HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red, pero admite un mayor nivel de conexiones simultáneas que FTP. URL Utilizar autenticación Nombre DNS: indica que la URL es un nombre de dominio. IPv4: indica que la dirección URL es una dirección IPv4. IPv6: indica que la dirección URL es una dirección IPv6. : especifica la dirección del servidor HTTP y de la carpeta en la que se encuentran los archivos de actualización. Puerto: especifica el número de puerto para el servidor HTTP. Se selecciona para usar autenticación y especificar las credenciales de acceso a la carpeta de archivos de actualización. Nombre de usuario: especifica el nombre de la cuenta de usuario con permisos para leer la carpeta de archivos de actualización. Contraseña: especifica la contraseña para el Nombre de usuario especificado. Confirmar contraseña: confirma la contraseña especificada. McAfee Endpoint Security 10.1 Guía del producto 123

124 7 Referencia a la interfaz de cliente Ajustes generales: Opciones Tabla 7-4 Definiciones de opciones (continuación) Option Repositorio FTP Definición Recupera los archivos desde la ubicación del repositorio HTTP designada. Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos de seguridad de red. Dado que el FTP es menos propenso a ataques de código no deseados que HTTP, puede ofrece una mejor tolerancia. URL Utilizar inicio de sesión anónimo Nombre DNS: indica que la URL es un nombre de dominio. IPv4: indica que la dirección URL es una dirección IPv4. IPv6: indica que la dirección URL es una dirección Ipv6. ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que se encuentran los archivos de actualización. Puerto: especifica el número de puerto para el servidor HTTP. Se selecciona para usar un FTP anónimo para acceder a la carpeta de archivos de actualización. Anule la selección de esta opción para especificar las credenciales de acceso. Nombre de usuario: especifica el nombre de la cuenta de usuario con permisos para leer la carpeta de archivos de actualización. Contraseña: especifica la contraseña para el Nombre de usuario especificado. Confirmar contraseña: confirma la contraseña especificada. Ruta UNC o Ruta local Recupera los archivos de la ubicación de ruta UNC o local designada. Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entre dominios requieren permisos de seguridad para cada dominio, lo que precisa mayor configuración para la actualización. Ruta Ruta UNC: especifica la ruta mediante la notación UNC (\ \nombredeservidor\ruta\). Ruta local: especifica la ruta de una carpeta en una unidad local o de red. Utilizar cuenta de sesión iniciada Los accesos a los archivos actualizados mediante la cuenta en la que se ha iniciado sesión. Esta cuenta debe tener permisos de lectura para las carpetas que contienen los archivos de actualización. Anule la selección de esta opción para especificar las credenciales de acceso. Dominio: especifica el dominio para la cuenta de usuario. Nombre de usuario: especifica el nombre de la cuenta de usuario con permisos para leer la carpeta de archivos de actualización. Contraseña: especifica la contraseña para el Nombre de usuario especificado. Confirmar contraseña: confirma la contraseña especificada. 124 McAfee Endpoint Security 10.1 Guía del producto

125 Referencia a la interfaz de cliente Ajustes generales: Tareas 7 Ajustes generales: Tareas Configure y planifique tareas de Cliente de Endpoint Security. En sistemas gestionados, no puede iniciar, detener ni eliminar tareas de Administrador. Tabla 7-5 Opciones Sección Opción Tareas Hacer doble clic en un elemento Agregar Eliminar Definición Indica las tareas actualmente definidas y planificadas. Nombre: nombre de la tarea planificada. Función: módulo o función con los que está asociada la tarea. Planificación: cuándo está planificada la ejecución de la tarea y si está desactivada. Por ejemplo, en sistemas gestionados, la tarea Actualización de cliente predeterminada la puede desactivar el administrador. Estado: estado de la última vez que se ejecutó la tarea: (sin estado): no se ha ejecutado Ejecutar: actual en ejecución o pausada Pausado: pausado por el usuario (como por ejemplo un análisis) Aplazado: aplazado por el usuario (como por ejemplo un análisis) Finalizado: ejecución completada sin errores Finalizado (con errores): ejecución completada con errores Error: no se pudo completar Última ejecución: fecha y hora en la que la tarea se ejecutó por última vez. Origen: origen de la tarea: McAfee: proporcionado por McAfee. Administrador: (solo en sistemas gestionados) definido por el administrador. Usuario: definido en Cliente de Endpoint Security. En función del origen, algunas tareas no se pueden modificar ni eliminar. Por ejemplo, la tarea Actualización de cliente predeterminada solo se puede cambiar en sistemas autogestionados. Las tareas de Administrador, definidas por el administrador en sistemas gestionados, no se pueden modificar ni eliminar en Cliente de Endpoint Security. Modifica el elemento seleccionado. Crea una tarea de análisis, actualización o duplicación. Elimina la tarea seleccionada. McAfee Endpoint Security 10.1 Guía del producto 125

126 7 Referencia a la interfaz de cliente Ajustes generales: Tareas Tabla 7-5 Opciones (continuación) Sección Opción Duplicar Ejecutar ahora Definición Crea una copia de la tarea seleccionada. Ejecuta la tarea seleccionada. Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver. Análisis rápido: abre el cuadro de diálogo Análisis rápido e inicia el análisis. Análisis completo: abre el cuadro de diálogo Análisis completo e inicia el análisis. Análisis personalizado: abre el cuadro de diálogo Análisis personalizado e inicia el análisis. Actualización de cliente predeterminada: abre el cuadro de diálogo Actualización de cliente predeterminada e inicia la actualización. Actualizar: abre el cuadro de diálogo Actualización personalizada e inicia la actualización. Duplicar: abre el cuadro de diálogo Duplicar e inicia la replicación del repositorio. Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación para guardar la configuración. Véase también Ejecutar un Análisis completo o Análisis rápido en la página 42 Actualización manual de protección y software en la página 21 Configure, planifique y ejecute tareas de duplicación en la página 38 Agregar tarea en la página 126 Agregar tarea Agrega tareas de actualización, duplicación o análisis personalizado. Opción Nombre Seleccionar tipo de tarea Definición Especifica el nombre de la tarea. Especifica el tipo de tarea: Análisis personalizado: configura y planifica análisis personalizados, como los análisis de memoria diarios. Duplicación: replica en un sitio de duplicación en la red los archivos de contenido y de motor actualizados del primer repositorio accesible. Actualización: configura y planifica actualizaciones de producto, del motor de análisis o de archivos de contenido. Véase también Agregar tarea de análisis o Editar tarea de análisis en la página 127 Agregar tarea de duplicación o Editar tarea de duplicación en la página 128 Agregar tarea de actualización o Editar tarea de actualización en la página McAfee Endpoint Security 10.1 Guía del producto

127 Referencia a la interfaz de cliente Ajustes generales: Tareas 7 Agregar tarea de análisis o Editar tarea de análisis Planifique la tareaanálisis completo o Análisis rápido o configure y planifique tareas de análisis personalizado que se ejecutan en el sistema cliente. Tabla 7-6 Opciones Ficha Opción Definición Configuración Nombre Configura la tarea de análisis. Indica el nombre de la tarea. Opciones Consulte Prevención de amenazas: Análisis bajo demanda en la página 143 para obtener información. Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en sistemas autogestionados. Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada. Consulte Planificación en la página 128 para obtener información. Véase también Configure, planifique y ejecute tareas de análisis en la página 75 Configurar Análisis bajo demanda en la página 70 Ejecutar un Análisis completo o Análisis rápido en la página 42 Prevención de amenazas: Análisis bajo demanda en la página 143 Planificación en la página 128 Agregar tarea de actualización o Editar tarea de actualización Planifica la Actualización de cliente predeterminada o configura y planifica tareas de actualización personalizadas que se ejecutan en el sistema cliente. Ficha Opción Definición Configuración Nombre Qué actualizar Configura la tarea de actualización. Indica el nombre de la tarea. Especifica qué actualizar: Contenido de seguridad, hotfixes y parches Contenido de seguridad Hotfixes y parches Para modificar la configuración de la tareaactualización de cliente predeterminada, consulte la secciónactualización de cliente predeterminada en Ajustes generales: Opciones en la página 116. Solo puede configurar estos parámetros en sistemas autogestionados. Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada. Consulte Planificación en la página 128 para obtener información. De forma predeterminada, la tarea Actualización de cliente predeterminada se ejecuta cada día a las 12 de la noche y se repite cada cuatro horas hasta las 23:59. Véase también Configure, planifique y actualice tareas de análisis en la página 37 Planificación en la página 128 McAfee Endpoint Security 10.1 Guía del producto 127

128 7 Referencia a la interfaz de cliente Ajustes generales: Tareas Agregar tarea de duplicación o Editar tarea de duplicación Configura y planifica tareas de duplicación. Ficha Opción Definición Configuración Nombre Indica el nombre de la tarea. Planificación Ubicación de duplicación Especifica la carpeta en la que guardar la réplica del repositorio. Activa y planifica las tareas para que se ejecuten a una hora determinada. Consulte Planificación en la página 128 para obtener información. Véase también Configure, planifique y ejecute tareas de duplicación en la página 38 Planificación en la página 128 Planificación Planifique tareas de análisis, actualización y duplicación. Tabla 7-7 Opciones Categoría Opción Definición Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada. (Opción activada de forma predeterminada) Seleccione esta opción para planificar la tarea. Tipo de planificación Frecuencia Ejecutar los Especifica el intervalo para ejecutar la tarea. Diario: ejecuta la tarea a diario, ya sea a una hora específica, de forma periódica entre dos horas del día o una combinación de ambas formas. Semanal: ejecuta la tarea cada semana: Un día específico entre semana, todos los días entre semana, los fines de semana o mediante una combinación de días A una hora específica en los días seleccionados o de forma periódica entre dos horas en los días seleccionados Mensualmente: ejecuta la tarea cada mes, con dos opciones: El día del mes especificado Los días de la semana especificados: el primero, segundo, tercero, cuarto o último Una vez: inicia la tarea a la hora y en la fecha especificadas. Al iniciar el sistema: ejecuta la tarea al iniciar el sistema. Al iniciar sesión: inicia la tarea la próxima vez que el usuario inicia sesión en el sistema. Ejecutar inmediatamente: inicia la tarea de inmediato. Especifica la frecuencia para las tareas que se ejecutan a Diario y de forma Semanal. Especifica los días de la semana para tareas que se ejecutan de forma Semanal y Mensual. 128 McAfee Endpoint Security 10.1 Guía del producto

129 Referencia a la interfaz de cliente Ajustes generales: Tareas 7 Tabla 7-7 Opciones (continuación) Categoría Opción Ejecutar en Ejecutar esta tarea solo una vez al día Retrasar la tarea Fecha de inicio Fecha de finalización Hora de inicio Definición Especifica los meses del año para las tareas que se ejecutan de manera Mensual. Ejecuta la tarea una vez al día para las tareas Al iniciar el sistema yal iniciar sesión. Especifica los minutos de retraso antes de ejecutar tareas Al iniciar el sistema y Al iniciar sesión. Especifica la fecha de inicio para tareas que se ejecutan de manera Semanal, Mensual, a Diario y Una vez. Especifica la fecha de finalización de las tareas diarias, semanales y mensuales. Especifica la hora para empezar la tarea. Ejecutar una vez a esa hora: ejecuta la tarea una vez a la Hora de inicio especificada. Ejecutar a esa hora y repetir hasta: ejecuta la tarea a la Hora de inicio especificada. A continuación, inicia la tarea según el intervalo de horas/minutos especificado en Iniciar tarea cada hasta la hora de finalización especificada. Ejecutar a esa hora y repetir durante: ejecuta la tarea a la Hora de inicio especificada. A continuación, inicia la tarea según el intervalo de horas/minutos especificado en Iniciar tarea cada hasta que se haya ejecutado durante la duración especificada. Opciones Cuenta Ejecutar esta tarea de acuerdo con la hora universal coordinada (UTC) Detener la tarea si se ejecuta durante más de Hacer aleatoria la hora de inicio de la tarea Ejecutar tarea omitida Especifica si la planificación de la tarea se ejecuta en función de la hora local del sistema gestionado o según la Hora universal coordinada (UTC). Detiene la tarea una vez transcurrido el número de horas y minutos indicado. Si la tarea se interrumpe antes de completarse, la siguiente vez que comience se reanudará desde donde lo dejó. Especifica que la tarea se ejecute de forma aleatoria dentro del periodo de tiempo elegido. De lo contrario, la tarea se iniciará a la hora planificada, independientemente de si hay o no otras tareas cliente planificadas para ejecutarse a la misma hora. Ejecuta la tarea una vez haya transcurrido el tiempo en minutos especificado en Retrasar el inicio cuando se reinicia el sistema gestionado. Especifica las credenciales a utilizar para ejecutar la tarea. Si no se especifican credenciales, la tarea se ejecuta como cuenta local del administrador del sistema. Nombre de usuario Contraseña Confirmar contraseña Dominio Especifica la cuenta de usuario. Especifica la contraseña para la cuenta de usuario especificada. Confirma la contraseña para la cuenta de usuario especificada. Especifica el dominio para la cuenta de usuario especificada. McAfee Endpoint Security 10.1 Guía del producto 129

130 7 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso Véase también Agregar tarea de análisis o Editar tarea de análisis en la página 127 Agregar tarea de actualización o Editar tarea de actualización en la página 127 Agregar tarea de duplicación o Editar tarea de duplicación en la página 128 Prevención de amenazas: Protección de acceso Proteja los puntos de acceso del sistema de acuerdo con las reglas configuradas. Consulte los parámetros de Ajustes generales: Opciones en la página 116 para la configuración del registro. La protección de acceso compara una acción solicitada con una lista de reglas configuradas y actúa según la regla. Tabla 7-8 Opciones Sección Opción Definición PROTECCIÓN DE ACCESO Activar protección de acceso Activa la función Protección de acceso. 130 McAfee Endpoint Security 10.1 Guía del producto

131 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso 7 Tabla 7-9 Opciones avanzadas Sección Exclusiones Reglas Opción Descripción Permite el acceso a los procesos especificados, también llamados ejecutables, para todas las reglas. Agregar: agrega un proceso a la lista de exclusión. Consulte Agregar ejecutable o Editar ejecutable en la página 136 para obtener información. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: Elimina el elemento seleccionado. Duplicar: Crea una copia del elemento seleccionado. Configura reglas de protección de acceso. Consulte Reglas definidas por McAfee en la página 54 para obtener información. Puede activar, desactivar y cambiar las reglas definidas por McAfee, pero no puede eliminar estas reglas. Agregar: crea una regla personalizada y la agrega a la lista. Consulte Agregar regla o Editar regla en la página 131 para obtener información. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Consulte Agregar regla o Editar regla en la página 131 para obtener información. Eliminar: Elimina el elemento seleccionado. Duplicar: Crea una copia del elemento seleccionado. (Solo) Bloquear: bloquea los intentos de acceso sin registro. (Solo) Informar: advierte sobre los intentos de acceso sin bloquear. Esta configuración resulta útil cuando se desconocen las consecuencias completas de una regla. Supervise los registros e informes para decidir si se bloqueará el acceso. Bloquear e informar: bloquea y registra los intentos de acceso. Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Para desactivar la regla, anule la selección tanto de Bloquear como de Informar. Véase también Configurar reglas de protección de acceso definidas por McAfee en la página 53 Agregar regla o Editar regla en la página 131 Reglas definidas por McAfee en la página 54 Agregar regla o Editar regla Agrega o edita reglas de protección de acceso definidas por el usuario. McAfee Endpoint Security 10.1 Guía del producto 131

132 7 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso Tabla 7-10 Sección Opción Definición Opciones Nombre Especifica o indica el nombre de la regla. (Obligatorio) Reacción Especifica acciones para la regla. (Solo) Bloquear: bloquea los intentos de acceso sin registro. (Solo) Informar: advierte sobre los intentos de acceso sin bloquear. Esta configuración resulta útil cuando se desconocen las consecuencias completas de una regla. Supervise los registros e informes para decidir si se bloqueará el acceso. Bloquear e informar: bloquea y registra los intentos de acceso. Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Para desactivar la regla, anule la selección tanto de Bloquear como de Informar. Ejecutables Subreglas Especifica ejecutables para la regla. Agregar: crea un nuevo ejecutable y lo agrega a la lista. Consulte Agregar ejecutable o Editar ejecutable en la página 136 para obtener información. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Consulte Agregar ejecutable o Editar ejecutable en la página 136 para obtener información. Eliminar: Elimina el elemento seleccionado. Duplicar: Crea una copia del elemento seleccionado. Alternar estado de inclusión: alterna el estado de inclusión del ejecutable entre Incluir y Excluir. Configura las subreglas. Las subreglas solo aparecen para las reglas definidas por el usuario. Consulte Agregar subregla o Editar subregla en la página 133 para obtener información. Agregar: crea una subregla y la agrega a la lista. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: Elimina el elemento seleccionado. Duplicar: Crea una copia del elemento seleccionado. Notas Proporciona más información sobre el elemento. Véase también Agregar ejecutable o Editar ejecutable en la página 136 Agregar subregla o Editar subregla en la página McAfee Endpoint Security 10.1 Guía del producto

133 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso 7 Agregar subregla o Editar subregla Agregue o edite una subregla estándar. Tabla 7-11 Opciones Sección Opción Definición Descripción Nombre Especifica el nombre de la subregla. Propiedades Tipo de regla Especifica el tipo de regla. Archivos: protege un archivo o directorio. Por ejemplo, cree una regla personalizada para bloquear o informar si se intenta eliminar una hoja de Excel con información confidencial. Clave de Registro: protege la clave especificada. La clave de Registro es el contenedor del valor de Registro. Por ejemplo: HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Valor de Registro: protege el valor especificado. Los valores de Registro se almacenan con las claves de Registro y se hace referencia a ellos por separado de las claves de Registro. Por ejemplo: HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun. Al cambiar el tipo de subregla se eliminan las entradas definidas con anterioridad en la tabla de parámetros. McAfee Endpoint Security 10.1 Guía del producto 133

134 7 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso Tabla 7-11 Opciones (continuación) Sección Opción Definición Operaciones Indica las operaciones permitidas con el tipo de subregla. Archivos: El rendimiento se puede ver afectado si selecciona la operación Lectura. Cambiar atributos ocultos o de solo lectura Crear: bloquea la creación de archivos en la carpeta especificada. Eliminar: bloquea la eliminación de archivos en la carpeta especificada. Ejecutar: bloquea la ejecución de archivos en la carpeta especificada. Lectura: bloquea el acceso de lectura a los archivos especificados. Escritura: bloquea el acceso de escritura a los archivos especificados. Clave de Registro: Escritura: bloquea el acceso de escritura a la clave especificada. Crear: bloquea la creación de la clave especificada. Eliminar: bloquea la eliminación de la clave especificada. Lectura: bloquea el acceso de lectura a la clave especificada. Enumerar: bloquea la enumeración de las subclaves para la clave de Registro especificada. Cargar: bloquea la posibilidad de descargar la clave de Registro especificada y sus subclaves del Registro. Sustituir: bloquea la posibilidad de reemplazar la clave de Registro especificada y sus subclaves con otro archivo. Restaurar: bloquea la posibilidad de guardar información de Registro en un archivo especificado y copia la clave especificada. Valor de Registro: Escritura: bloquea el acceso de escritura al valor especificado. Crear: bloquea la creación del valor especificado. Eliminar: bloquea la eliminación del valor especificado. Lectura: bloquea el acceso de lectura al valor especificado. Parámetros Agregar: especifica parámetros para la regla. Los parámetros varían según la selección de tipo de regla. Debe proporcionar un parámetro como mínimo. Haga clic en Agregar, seleccione el estado de inclusión e introduzca o seleccione el parámetro para incluir o excluir. Consulte Parámetros en la página 135. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Consulte Parámetros en la página 135. Eliminar: Elimina el elemento seleccionado. Véase también Parámetros en la página McAfee Endpoint Security 10.1 Guía del producto

135 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso 7 Parámetros Especifica la definición y el estado de inclusión para un parámetro. Tabla 7-12 Sección Opción Definición Parámetros Determina si el parámetro es compatible con la subregla. También especifica el estado de inclusión para el parámetro. Incluir: indica que la subregla puede coincidir con el parámetro especificado. Excluir: indica que la subregla no debe coincidir con el parámetro especificado. Si ha seleccionado el tipo de reglaarchivos... Acceda al archivo para seleccionarlo. Se admiten variables de entorno del sistema. Las variables de entorno se pueden especificar en uno de estos formatos: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDriver% No todas las variables de entorno definidas por el sistema son accesibles mediante la sintaxis $(var), específicamente las que contienen los caracteres or. Para evitar este problema, puede usar la sintaxis %var%. No se admiten variables de entorno del usuario. Puede utilizar?, * y ** como caracteres comodín. Si ha seleccionado los tipos de reglaclave de Registro o Valor de Registro... Utilice claves raíz para definir claves de Registro y valores de Registro. Se admiten estas claves raíz: HKLM o HKEY_LOCAL_MACHINE HKCU o HKEY_CURRENT_USER HKCR o HKEY_CLASSES_ROOT HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/ SYSTEM/ControlSet00X HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a HKLM/Software/Wow6432Node solo en sistemas de 64 bits HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a HKCU/Software/Wow6432Node solo en sistemas de 64 bits HKULM tratada como HKLM y HKCU HKULMS tratada como HKLMS y HKCUS HKALL tratada como HKLM y HKU Puede utilizar?, * y ** como caracteres comodín, y (barra vertical) como carácter de escape. McAfee Endpoint Security 10.1 Guía del producto 135

136 7 Referencia a la interfaz de cliente Prevención de amenazas: Protección de acceso Agregar ejecutable o Editar ejecutable Agrega o edita un ejecutable. Tabla 7-13 Opción Nombre Estado de inclusión Definición Especifica el nombre que le da al ejecutable. Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo, Hash MD5 o Firmante. Determina el estado de inclusión para el ejecutable. Estado de inclusión solo aparece al agregar un ejecutable a una regla. Incluir: indica que el ejecutable puede coincidir con el parámetro especificado. Excluir: indica que el ejecutable no debe coincidir con el parámetro especificado. Ruta o nombre de archivo Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar. Haga clic en Examinar para seleccionar el ejecutable. La ruta del archivo puede incluir caracteres comodín. Hash MD5 Firmante Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos). Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado desde que se firmó con un hash criptográfico. Si esta opción está activada, especifique: Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso. Firmado por: permite solo los archivos firmados por el firmante de proceso especificado. Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente con las entradas en el campo adjunto, incluidos comas y espacios. Para obtener el nombre distintivo del firmante de un ejecutable: 1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades. 2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles. 3 En la ficha General haga clic en Ver certificado. 4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del firmante: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Notas Proporciona más información sobre el elemento. Véase también Agregar regla o Editar regla en la página McAfee Endpoint Security 10.1 Guía del producto

137 Referencia a la interfaz de cliente Prevención de amenazas Prevención de vulnerabilidades 7 Prevención de amenazas Prevención de vulnerabilidades Activa y configura Prevención de vulnerabilidades para impedir que las vulnerabilidades de desbordamiento del búfer ejecuten código arbitrario en el equipo. Consulte la configuración de Ajustes generales: Opciones en la página 116 para la configuración del registro. Tabla 7-14 Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security Si McAfee Host IPS está activado, se desactiva la Prevención de exploit aunque esté activada en la configuración de directiva. Sección Opción Definición PREVENCIÓN DE EXPLOIT Activar Prevención de exploit Activa la función Prevención de exploit. Si no se activa esta función, el sistema queda desprotegido ante los ataques de malware. Tabla 7-15 Opciones avanzadas Sección Opción Definición Nivel de protección Estándar Especifica el nivel de protección de Prevención de exploit. Detecta y bloquea solo exploits de desbordamiento del búfer de gravedad alta identificados en el archivo de contenido de prevención de exploits y detiene la amenaza detectada. Use la función en el modo Estándar durante un tiempo breve. Revise el archivo de registro durante este tiempo para determinar si quiere cambiar a un nivel de protección Máximo. Máximo Detecta y bloquea los exploits de desbordamiento del búfer de gravedad alta y mediana que se han identificado en el archivo de contenido de prevención de exploits y detiene la amenaza detectada. Este parámetro puede producir falsos positivos. Prevención de ejecución de datos de Windows Acción Activar la Prevención de ejecución de datos de Windows Activar la Prevención de ejecución de datos de Windows. (Opción desactivada de forma predeterminada) La desactivación de esta opción no afecta a ningún proceso que tenga la Prevención de ejecución de datos activada como resultado de esta directiva de Windows. Especifica las acciones Bloquear o Informar para Prevención de exploit. La configuración de los informes no se aplica si está activada la Prevención de ejecución de datos de Windows. Bloquear Bloquea el proceso especificado. Seleccione Bloquear para activar Prevención de exploit o anule la selección para desactivar Prevención de exploit. Para bloquear los intentos de acceso sin registrarlos, seleccione Bloquear pero no seleccione Informe. McAfee Endpoint Security 10.1 Guía del producto 137

138 7 Referencia a la interfaz de cliente Prevención de amenazas: Análisis en tiempo real Tabla 7-15 Opciones avanzadas (continuación) Sección Opción Definición Informar Activa los informes sobre los intentos de infracción de prevención de exploit. Cuando se detecta una infracción, la información se incluye en el registro de actividades. Para recibir una advertencia sin bloquear los intentos de acceso, seleccione Informe, pero no seleccione Bloquear. Esto resulta útil cuando se desconocen las consecuencias completas de una regla. Supervise los registros e informes durante un breve periodo de tiempo para decidir si bloqueará el acceso. Exclusiones Especifica el nombre del proceso al que pertenece la memoria de escritura que está realizando la llamada. Las exclusiones con elmódulo autor de llamada o la API no se aplican a la prevención de ejecución de datos. Agregar Agrega un proceso a la lista de exclusión. Introduzca el nombre del proceso o este nombre con su ruta. Las exclusiones no distinguen entre mayúsculas y minúsculas, y no se permiten caracteres comodín. Hacer doble clic en un elemento Eliminar Modifica el elemento seleccionado. Elimina el elemento seleccionado. Proceso Módulo autor de llamada API Especifica el nombre del proceso a excluir. La prevención de exploit excluye el proceso, sea cual sea su ubicación. Especifica el nombre del módulo al que pertenece la memoria con permiso de escritura que realiza la llamada. Especifica la API (interfaz de programación de aplicaciones) a la que se llama. Véase también Configurar Prevención de exploit en la página 61 Prevención de amenazas: Análisis en tiempo real Active y configure el análisis en tiempo real. Consulte los parámetros de Ajustes generales: Opciones en la página 116 para la configuración del registro. Tabla 7-17 Opciones Sección Opción Definición ANÁLISIS EN TIEMPO REAL Activar análisis en tiempo real Activa la función Análisis en tiempo real. Activada de forma predeterminada. Activar análisis en tiempo real al iniciar el sistema Activa la función Análisis en tiempo real cada vez que se inicia el equipo. Activada de forma predeterminada. 138 McAfee Endpoint Security 10.1 Guía del producto

139 Referencia a la interfaz de cliente Prevención de amenazas: Análisis en tiempo real 7 Tabla 7-17 Opciones (continuación) Sección Opción Definición Especificar el número máximo de segundos para el análisis de los archivos Limita el análisis de cada archivo al número especificado de segundos. Activada de forma predeterminada. Si un análisis excede el límite de tiempo, se detiene y se registra un mensaje. Analizar sectores de arranque Analiza el sector de arranque del disco. Activada de forma predeterminada. Cuando un disco contenga un sector de arranque único o poco común que no pueda analizarse, puede ser conveniente desactivar el análisis del sector de arranque. Analizar los procesos al iniciar servicios y actualizar contenido Vuelve a analizar todos los procesos que se encuentran en memoria cada vez que: Vuelve a activar análisis en tiempo real. Los archivos de contenido se actualizan. El sistema se inicia. Se inicia el proceso mcshield.exe. Como algunos programas o ejecutables se inician automáticamente al iniciarse el sistema, la activación de esta opción puede ralentizar el sistema y aumentar el tiempo de inicio del sistema. Desactivada de forma predeterminada. Cuando se activa el analizador en tiempo real, este analiza siempre todos los procesos cuando se ejecutan. Analizar instaladores de confianza Analiza los archivos MSI (instalados por msiexec.exe y firmados por McAfee o Microsoft) o los archivos del servicio Instalador de confianza de Windows. Desactivada de forma predeterminada. Desactive esta opción para mejorar el rendimiento de los instaladores de aplicaciones de Microsoft de gran tamaño. Analizar al copiar entre carpetas locales Analiza los archivos cuando el usuario copia de una carpeta local a otra. Si esta opción está: Desactivada: solo se analizan los elementos de la carpeta de destino. Activada: se analizan los elementos tanto en la carpeta de origen (lectura) como en la de destino (escritura). Desactivada de forma predeterminada. McAfee Endpoint Security 10.1 Guía del producto 139

140 7 Referencia a la interfaz de cliente Prevención de amenazas: Análisis en tiempo real Tabla 7-17 Opciones (continuación) Sección Opción Definición McAfee GTI Consulte McAfee GTI en la página 148 para obtener información. ScriptScan Activar ScriptScan Activa el análisis de scripts JavaScript y VBScript para impedir que se ejecuten scripts no deseados. Activada de forma predeterminada. Si ScriptScan está desactivado al iniciar Internet Explorer y a continuación se activa, no detectará scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts maliciosos. Tabla 7-18 Opciones avanzadas Sección Opción Definición Mensajería de usuario de detección de amenazas Mostrar la ventana de análisis en tiempo real a los usuarios cuando se detecta una amenaza Muestra la página de Análisis en tiempo real con el mensaje especificado a los usuarios cliente cuando se produce una detección. Activada de forma predeterminada. Cuando se selecciona esta opción, los usuarios pueden abrir esta página desde la página Analizar ahora en cualquier momento en que la lista de detecciones incluya al menos una amenaza. La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema. Configuración de procesos Análisis Mensaje Usar la configuración Estándar para todos los procesos Configurar opciones distintas para procesos de Riesgo alto y Riesgo bajo Estándar Riesgo alto Riesgo bajo Agregar Eliminar Cuándo analizar Al escribir en el disco Especifica el mensaje que se mostrará a los usuarios cliente cuando se produzca una detección. El mensaje predeterminado es: McAfee Endpoint Security ha detectado una amenaza. Aplica la misma configuración a todos los procesos cuando se realiza un análisis en tiempo real. Configura diferentes parámetros de análisis para cada tipo de proceso que se identifique. Configura parámetros de procesos que no se identifican como de riesgo alto o bajo. Activada de forma predeterminada. Configura parámetros de procesos que son de riesgo alto. Configura parámetros de procesos que son de riesgo bajo. Agrega un proceso a la lista Riesgo alto o Riesgo bajo. Quita un proceso de la lista Riesgo alto o Riesgo bajo. Intenta analizar todos los archivos a medida que se escriban o se cambien en el equipo o en otro dispositivo de almacenamiento de datos. Puesto que es posible que el análisis no se realice con éxito al escribir el archivo en el disco, recomendamos encarecidamente activar Al leer el disco. 140 McAfee Endpoint Security 10.1 Guía del producto

141 Referencia a la interfaz de cliente Prevención de amenazas: Análisis en tiempo real 7 Tabla 7-18 Opciones avanzadas (continuación) Sección Opción Definición Al leer el disco Analiza todos los archivos a medida que se leen en el equipo o en otro dispositivo de almacenamiento de datos. Recomendamos encarecidamente la activación de esta opción. Dejar que McAfee decida No analizar al leer o escribir en el disco Qué analizar Todos los archivos Permite que McAfee decida si se debe analizar un archivo mediante la lógica de confianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento al evitar análisis innecesarios. Especifica que no se analicen procesos de Riesgo bajo. Analiza todos los archivos, independientemente de su extensión. Le recomendamos encarecidamente la activación de Todos los archivos. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware. Tipos de archivo predeterminados y especificados Solo tipos de archivos especificados En unidades de red Analiza: Lista predeterminada de extensiones de archivos definida en el archivo de AMCore Content actual, incluyendo los archivos sin extensión Las extensiones de archivos adicionales que especifique Separe las extensiones con una coma. (Opcional) Amenazas de macros conocidas en la lista de extensiones de archivo predeterminadas y especificadas Para acceder a la lista de tipos de archivo predeterminados para sistemas Macintosh, consulte el artículo KB84411 de la base de datos KnowledgeBase. Analiza una de las opciones siguientes o ambas: Solo los archivos con las extensiones (separadas por comas) que especifique Todos los archivos sin extensión Analiza recursos en unidades de red asignadas. El análisis de los recursos de red podría afectar al rendimiento. Abierto para copia de seguridad Analiza los archivos al acceder mediante el software de copia de seguridad. No le recomendamos activar esta configuración en la mayoría de los entornos. McAfee Endpoint Security 10.1 Guía del producto 141

142 7 Referencia a la interfaz de cliente Prevención de amenazas: Análisis en tiempo real Tabla 7-18 Opciones avanzadas (continuación) Sección Opción Definición Archivos de almacenamiento comprimidos Archivos comprimidos codificados mediante MIME Opciones de análisis adicionales Detectar programas no deseados Examina el contenido de archivos de almacenamiento (comprimidos), incluidos los archivos.jar. Puesto que el análisis de archivos comprimidos puede afectar negativamente al rendimiento del sistema, le recomendamos el uso de esta opción en análisis durante horas extraordinarias cuando el sistema no está en uso. Detecta, descodifica y analiza archivos cifrados con extensiones Multipurpose Internet Mail Extensions (MIME) (mensajes de correo de Apple en sistemas Macintosh). Permite que el analizador detecte programas potencialmente no deseados. El analizador utiliza la información que ha configurado en los parámetros de Opciones de Prevención de amenazas para detectar programas potencialmente no deseados. Acciones Exclusiones Detectar amenazas de programas desconocidos Detectar amenazas de macros desconocidas Utiliza McAfee GTI para detectar archivos ejecutables que tengan código similar al malware. Utiliza McAfee GTI para detectar virus de macros desconocidos. Consulte Acciones en la página 149 para obtener información. Especifica archivos, carpetas y unidades que excluir del análisis. Consulte Agregar exclusión o Editar exclusión en la página 151 para obtener información. Agregar Eliminar Agrega un elemento a la lista de exclusión. Quita un elemento de la lista de exclusión. ScriptScan Excluir estas URL Especifica exclusiones de ScriptScan por URL. Agregar : agrega una URL a la lista de exclusiones. Eliminar : quita una URL de la lista de exclusiones. Las URL no pueden incluir caracteres comodín. Sin embargo, cualquier URL que contenga una cadena de una URL excluida también se excluirá. Por ejemplo, si se excluye la URL msn.com, también se excluirán las siguientes URL: En los sistemas Windows Server 2008, las exclusiones de URL de ScriptScan no funcionan con Internet Explorer a menos que se activen las extensiones de navegador de terceros y se reinicie el sistema. Consulte el artículo KB69526 de la base de datos KnowledgeBase. Véase también Configure Análisis en tiempo real en la página 65 McAfee GTI en la página 148 Acciones en la página 149 Agregar exclusión o Editar exclusión en la página McAfee Endpoint Security 10.1 Guía del producto

143 Referencia a la interfaz de cliente Prevención de amenazas: Análisis bajo demanda 7 Prevención de amenazas: Análisis bajo demanda Configure los parámetros de Análisis bajo demanda para los análisis personalizados y preconfigurados que se ejecutan en el sistema. Consulte los parámetros de Ajustes generales: Opciones en la página 116 para la configuración del registro. Estos parámetros especifican el comportamiento del analizador al: Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Cliente de Endpoint Security. Como administrador, ejecutar una tarea de análisis bajo demanda desde Configuración Ajustes generales Tareas desde Cliente de Endpoint Security. Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca de amenazas en el menú emergente. Tabla 7-19 Opciones Sección Opción Definición Qué analizar Sectores de arranque Analiza el sector de arranque del disco. Cuando un disco contenga un sector de arranque único o poco común que no pueda analizarse, puede ser conveniente desactivar el análisis del sector de arranque. Opciones de análisis adicionales Archivos que se han migrado al almacenamiento Archivos comprimidos codificados mediante MIME Archivos de almacenamiento comprimidos Subcarpetas (solo Análisis con el botón derecho del ratón) Detectar programas no deseados Detectar amenazas de programas desconocidos Detectar amenazas de macros desconocidas Analiza archivos que gestiona el Almacenamiento remoto. Algunas soluciones de almacenamiento de datos offline sustituyen archivos con un archivo stub. Cuando el analizador se encuentra un archivo stub que indica que el archivo se ha migrado, el analizador restaura el archivo al sistema local antes del análisis. Le recomendamos que desactive esta opción. Detecta, descodifica y analiza archivos cifrados con extensiones Multipurpose Internet Mail Extensions (MIME) (mensajes de correo de Apple en sistemas Macintosh). Examina el contenido de archivos de almacenamiento (comprimidos), incluidos los archivos.jar. Puesto que el análisis de archivos comprimidos puede afectar negativamente al rendimiento del sistema, le recomendamos el uso de esta opción en análisis durante horas extraordinarias cuando el sistema no está en uso. Examina todas las subcarpetas de la carpeta especificada. Permite que el analizador detecte programas potencialmente no deseados. El analizador utiliza la información que ha configurado en los parámetros de Opciones de Prevención de amenazas para detectar programas potencialmente no deseados. Utiliza McAfee GTI para detectar archivos ejecutables que tengan código similar al malware. Utiliza McAfee GTI para detectar virus de macros desconocidos. McAfee Endpoint Security 10.1 Guía del producto 143

144 7 Referencia a la interfaz de cliente Prevención de amenazas: Análisis bajo demanda Tabla 7-19 Opciones (continuación) Sección Opción Definición Ubicaciones de análisis (solo Análisis completo y Análisis rápido) Consulte Ubicaciones de análisis en la página 146 para obtener información. Estas opciones solo se aplican a Análisis completo, Análisis rápido y a los análisis personalizados. Tipos de archivos a analizar Todos los archivos Analiza todos los archivos, independientemente de su extensión. McAfee recomienda encarecidamente la activación de Todos los archivos. Le recomendamos encarecidamente la activación de Todos los archivos. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware. McAfee GTI Exclusiones Tipos de archivo predeterminados y especificados Solo tipos de archivos especificados Analiza: Lista predeterminada de extensiones de archivos definida en el archivo de AMCore Content actual, incluyendo los archivos sin extensión Las extensiones de archivos adicionales que especifique Separe las extensiones con una coma. (Opcional) Amenazas de macros conocidas en la lista de extensiones de archivo predeterminadas y especificadas Para acceder a la lista de tipos de archivo predeterminados para sistemas Macintosh, consulte el artículo KB84411 de la base de datos KnowledgeBase. Analiza una de las opciones siguientes o ambas: Solo los archivos con las extensiones (separadas por comas) que especifique Todos los archivos sin extensión Consulte McAfee GTI en la página 148 para obtener información. Especifica archivos, carpetas y unidades que excluir del análisis. Consulte Agregar exclusión o Editar exclusión en la página 151 para obtener información. Acciones Agregar Eliminar Agrega un elemento a la lista de exclusión. Quita un elemento de la lista de exclusión. Consulte Acciones en la página 149 para obtener información. Rendimiento Usar caché de análisis Permite que el analizador utilice los resultados de análisis existentes. Seleccione esta opción para reducir la duplicación de los análisis y mejorar el rendimiento. 144 McAfee Endpoint Security 10.1 Guía del producto

145 Referencia a la interfaz de cliente Prevención de amenazas: Análisis bajo demanda 7 Tabla 7-19 Opciones (continuación) Sección Opción Definición Utilización del sistema Permite al sistema operativo especificar la cantidad de tiempo de CPU que el analizador recibe durante el análisis. Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas. Bajo: proporciona un rendimiento mejorado del resto de las aplicaciones en ejecución. Seleccione esta opción para sistemas con actividad del usuario final. Por debajo de lo normal: establece la utilización del sistema para el análisis en el valor predeterminado de McAfee epo. Normal (predeterminado): permite que el análisis finalice más rápido. Seleccione esta opción para sistemas que tienen grandes volúmenes y poca actividad del usuario final. Opciones del análisis planificado Estas opciones solo se aplican a Análisis completo, Análisis rápido y a los análisis personalizados. Analizar solo cuando el sistema está inactivo Realiza el análisis solo cuando el usuario está inactivo. Prevención de amenazas pausa el análisis cuando el usuario accede al sistema mediante el teclado o ratón. Prevención de amenazas reanuda el análisis cuando el usuario (y la CPU) está inactivo durante cinco minutos. McAfee recomienda desactivar esta opción solo en los sistemas servidor y en los sistemas en que los usuarios acceden mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante Escritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta. Para evitar este problema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Program Files \McAfee\Agent\mctray.exe) manualmente cuando inicie sesión en el escritorio remoto. Analizar en cualquier momento Ejecuta el análisis incluso si el usuario está activo y especifica opciones para el análisis. McAfee Endpoint Security 10.1 Guía del producto 145

146 7 Referencia a la interfaz de cliente Ubicaciones de análisis Tabla 7-19 Opciones (continuación) Sección Opción Definición Los usuarios pueden aplazar el análisis: permite al usuario aplazar análisis planificados y especificar opciones de aplazamiento de análisis. Máximo número de veces que el usuario puede aplazar el análisis una hora: especifica el número de veces (de 1 a 23) que el usuario puede aplazar el análisis durante una hora. Mensaje de usuario: especifica el mensaje que aparecerá cuando un análisis esté a punto de comenzar. El mensaje predeterminado es: McAfee Endpoint Security va a analizar el sistema. Duración del mensaje (segundos): especifica cuánto tiempo (en segundos) aparece el mensaje de usuario cuando un análisis está a punto de comenzar. El intervalo válido de duración es entre 30 y 300; la duración predeterminada es de 45 segundos. No analizar si el sistema funciona mediante la batería No analizar si el sistema está en modo de presentación: pospone el análisis mientras el sistema está en modo de presentación. Pospone el análisis cuando el sistema está alimentándose con batería. Véase también Configurar Análisis bajo demanda en la página 70 Configure, planifique y ejecute tareas de análisis en la página 75 Ejecutar un Análisis completo o Análisis rápido en la página 42 Analizar un archivo o carpeta en la página 44 Ubicaciones de análisis en la página 146 McAfee GTI en la página 148 Acciones en la página 149 Agregar exclusión o Editar exclusión en la página 151 Ubicaciones de análisis Especifique las ubicaciones que analizar. Estas opciones solo se aplican a Análisis completo, Análisis rápido y a los análisis personalizados. 146 McAfee Endpoint Security 10.1 Guía del producto

147 Referencia a la interfaz de cliente Ubicaciones de análisis 7 Tabla 7-20 Opciones Sección Opción Definición Ubicaciones de análisis Analizar subcarpetas Examina todas las subcarpetas en los volúmenes especificados cuando se selecciona alguna de estas opciones: Carpeta de inicio Carpeta de perfil del usuario Carpeta Archivos de programa Carpeta Temp Unidad o carpeta Cancele la selección de esta opción para analizar solo el nivel raíz de los volúmenes. Especificar ubicaciones Especifica las ubicaciones que analizar. Agregar Agrega una ubicación al análisis. Haga clic en Agregar y seleccione la ubicación en el menú desplegable. Hacer doble clic en un elemento Eliminar Modifica el elemento seleccionado. Quita una ubicación del análisis. Seleccione la ubicación y haga clic en Eliminar. Memoria para rootkits Analiza la memoria del sistema para buscar rootkits instalados, procesos ocultos y otros comportamientos que puedan sugerir que un malware está intentando ocultarse. Este análisis se produce antes que los demás análisis. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware. Procesos en ejecución Analiza la memoria de todos los procesos en ejecución. Las acciones que no sean Limpiar archivos se tratan como Continuar analizando. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware. Archivos registrados Mi equipo Todas las unidades locales Todas las unidades de disco duro Todas las unidades extraíbles Todas las unidades asignadas Carpeta de inicio Analiza archivos a los que hace referencia el Registro de Windows. El analizador busca nombres de archivo en el registro, determina si el archivo existe, crea una lista de archivos para analizar y analiza los archivos. Analiza todas las unidades conectadas físicamente al equipo o asignadas de forma lógica a una letra de unidad en el equipo. Analiza todas las unidades y las subcarpetas del equipo. Analiza todas las unidades conectadas físicamente al equipo. Analiza todas las unidades extraíbles o demás dispositivos de almacenamiento conectados al equipo. Analiza las unidades de red asignadas lógicamente a una unidad de red del equipo. Analiza la carpeta de inicio del usuario que inicie el análisis. McAfee Endpoint Security 10.1 Guía del producto 147

148 7 Referencia a la interfaz de cliente McAfee GTI Tabla 7-20 Opciones (continuación) Sección Opción Definición Carpeta de perfil del usuario Carpeta Windows Carpeta Archivos de programa Carpeta Temp Papelera de reciclaje Archivo o carpeta Analiza el perfil del usuario que empieza el análisis, incluida la carpeta Mis documentos del usuario. Analiza el contenido de la carpeta Windows. Analiza el contenido de la carpeta Archivos de programa. Analiza el contenido de la carpeta Temp. Analiza el contenido de la papelera de reciclaje. Analiza el archivo o carpeta especificados. Véase también Prevención de amenazas: Análisis bajo demanda en la página 143 McAfee GTI Activa y configura parámetros de McAfee GTI. Tabla 7-21 Sección Activar McAfee GTI Nivel de sensibilidad Opción Definición Activa y desactiva las comprobaciones heurísticas. Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a McAfee Labs para determinar si se trata de malware. Al enviar hashes, la detección podría estar disponible antes que la próxima publicación de archivos de AMCore content, cuando McAfee Labs publique la actualización. Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs. Configura el nivel de sensibilidad que se debe utilizar para determinar si una muestra detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitir más detecciones, también podrían obtenerse más resultados falsos positivos. Muy bajo Bajo Las detecciones y el riesgo de falsos positivos son iguales que con archivos de AMCore content normales. Puede disponer de una detección para Prevención de amenazas cuando McAfee Labs la publique en lugar de esperar a la siguiente actualización de archivos de AMCore content. Utilice esta configuración para equipos de sobremesa y servidores con derechos de usuario restringidos y un espacio de utilización con un nivel alto de seguridad. Esta configuración da lugar a una media de entre 10 y 15 consultas al día por equipo. Esta configuración es la recomendación mínima para portátiles o equipos de sobremesa y para servidores con un espacio de utilización con un nivel alto de seguridad. Esta configuración da lugar a una media de entre 10 y 15 consultas al día por equipo. 148 McAfee Endpoint Security 10.1 Guía del producto

149 Referencia a la interfaz de cliente Acciones 7 Tabla 7-21 (continuación) Sección Opción Definición Medio Utilice este nivel cuando el riesgo normal de exposición a malware sea mayor que el riesgo de un falso positivo. McAfee Labs realiza comprobaciones heurísticas propias que producen detecciones de probable malware. Sin embargo, algunas detecciones podrían producir un falso positivo. Con este parámetro, McAfee Labs comprueba que las aplicaciones habituales y los archivos del sistema operativo no produzcan falsos positivos. Esta configuración es la recomendación mínima para portátiles o equipos de sobremesa y para servidores. Esta configuración da lugar a una media de entre 20 y 25 consultas al día por equipo. Alto Muy alto Utilice esta configuración para el despliegue en sistemas o áreas que se infectan con frecuencia. Esta configuración da lugar a una media de entre 20 y 25 consultas al día por equipo. McAfee recomienda utilizar este nivel solamente para analizar volúmenes y directorios que no admitan la ejecución de programas ni sistemas operativos. Las detecciones encontradas con este nivel son supuestamente malintencionadas, pero no se han comprobado totalmente para confirmar que no se trata de falsos positivos. Utilice esta configuración para análisis bajo demanda en volúmenes de sistemas que no se encuentren en funcionamiento. Utilice esta configuración en volúmenes de sistemas que no se encuentren en funcionamiento. Esta configuración da lugar a una media de entre 20 y 25 consultas al día por equipo. Véase también Prevención de amenazas: Análisis en tiempo real en la página 138 Prevención de amenazas: Análisis bajo demanda en la página 143 Control web: Opciones en la página 165 Acciones Especifique cómo responde el analizador al detectar una amenaza. Tabla 7-22 Opciones Sección Opción Definición Tipo de análisis Primera respuesta al detectar una amenaza Negar el acceso a los archivos Continuar con el análisis Análisis en tiempo real Análisis bajo demanda Especifica la primera acción que debe realizar el analizador al detectar una amenaza. Impide que los usuarios accedan a archivos con amenazas potenciales. Continúa con el análisis de archivos cuando se detecta una amenaza. El analizador no pone elementos en cuarentena. McAfee Endpoint Security 10.1 Guía del producto 149

150 7 Referencia a la interfaz de cliente Acciones Tabla 7-22 Opciones (continuación) Sección Opción Definición Tipo de análisis Si la primera respuesta falla Primera respuesta al detectar programa no deseado Limpiar archivos Eliminar archivos Negar el acceso a los archivos Continuar con el análisis Eliminar archivos Quita la amenaza del archivo detectado, si es posible. Elimina los archivos con amenazas potenciales. Análisis en tiempo real Análisis bajo demanda Especifica la acción que desea que realice el analizador al detectarse una amenaza si la primera acción no resuelve el problema. Impide que los usuarios accedan a archivos con amenazas potenciales. Continúa con el análisis de archivos cuando se detecta una amenaza. El analizador no pone elementos en cuarentena. Elimina los archivos con amenazas potenciales. Especifica la primera acción que el analizador debe realizar al detectarse un programa potencialmente no deseado. Esta opción solo está disponible si se ha seleccionado Detectar programas no deseados. Si la primera respuesta falla Negar el acceso a los archivos Permitir el acceso a los archivos Continuar con el análisis Limpiar archivos Eliminar archivos Impide que los usuarios accedan a archivos con amenazas potenciales. Permite que los usuarios accedan a archivos con amenazas potenciales. Continúa con el análisis de archivos cuando se detecta una amenaza. El analizador no pone elementos en cuarentena. Quita la amenaza del archivo de programa potencialmente no deseado, si es posible. Quita archivos de programas potencialmente no deseados. Especifica la acción que el analizador debe realizar al detectarse un programa potencialmente no deseado si la primera acción no resuelve el problema. Esta opción solo está disponible si se ha seleccionado Detectar programas no deseados. Negar el acceso a los archivos Permitir el acceso a los archivos Impide que los usuarios accedan a archivos con amenazas potenciales. Permite que los usuarios accedan a archivos con amenazas potenciales. 150 McAfee Endpoint Security 10.1 Guía del producto

151 Referencia a la interfaz de cliente Agregar exclusión o Editar exclusión 7 Tabla 7-22 Opciones (continuación) Sección Opción Definición Tipo de análisis Continuar con el análisis Eliminar archivos Continúa con el análisis de archivos cuando se detecta una amenaza. El analizador no pone elementos en cuarentena. Elimina automáticamente archivos de programas potencialmente no deseados. Véase también Prevención de amenazas: Análisis en tiempo real en la página 138 Prevención de amenazas: Análisis bajo demanda en la página 143 Análisis en tiempo real Análisis bajo demanda Agregar exclusión o Editar exclusión Agregue o edite una definición de exclusión. Tabla 7-23 Opciones Sección Opción Definición Tipo de análisis Qué excluir Ruta o nombre de archivo En tiempo real Especifica el tipo de exclusión y los detalles de la misma. Especifica el nombre de archivo o la ruta que se debe excluir. La ruta del archivo puede incluir caracteres comodín. Bajo demanda Para excluir una carpeta en sistemas Windows, añada una barra invertida (\) al final de la ruta. Para excluir una carpeta en sistemas Mac, añada una barra (/) al final de la ruta. Seleccione Excluir también subcarpetas si es necesario. Cuándo excluir Tipo de archivo Antigüedad del archivo Al escribir o leer del disco Especifica tipos de archivo (extensiones de archivo) que excluir. Especifica el tipo de acceso (Modificación, Con acceso (solo Análisis bajo demanda) o Creación) de los archivos que excluir y la Antigüedad mínima en días. Especifica cuándo excluir el elemento seleccionado. Excluye del análisis cuando los archivos se escriban o lean en el disco u otro dispositivo de almacenamiento de datos. McAfee Endpoint Security 10.1 Guía del producto 151

152 7 Referencia a la interfaz de cliente Prevención de amenazas: Opciones Tabla 7-23 Opciones (continuación) Sección Opción Definición Tipo de análisis Al leer el disco Al escribir en el disco Excluye del análisis cuando los archivos se lean en el equipo u otro dispositivo de almacenamiento de datos. Excluye del análisis cuando los archivos se escriban o modifiquen en el disco u otro dispositivo de almacenamiento de datos. Véase también Prevención de amenazas: Análisis en tiempo real en la página 138 Prevención de amenazas: Análisis bajo demanda en la página 143 Caracteres comodín en exclusiones en la página 51 Configurar exclusiones en la página 50 En tiempo real Bajo demanda Prevención de amenazas: Opciones Configure los parámetros que se aplican a la función Prevención de amenazas, como cuarentena, programas potencialmente no deseados y exclusiones. Consulte los parámetros de Ajustes generales: Opciones en la página 116 para la configuración del registro. Esta sección solo incluye opciones avanzadas. Tabla 7-24 Opciones avanzadas Sección Opción Definición Administrador de cuarentena Carpeta de cuarentena Especifica la ubicación de la carpeta de cuarentena o acepta la ubicación predeterminada: c:\quarantine La carpeta de cuarentena tiene un límite de 190 caracteres. Exclusiones por nombre de detección Especifique el número máximo de días que se guardarán los datos en cuarentena Excluir estos nombres de detección Especifica el número de días (entre 1 y 999) que se guardan los elementos en cuarentena antes de eliminarlos automáticamente. El valor predeterminado es 30 días. Especifica exclusiones de detección por nombre de detección. Por ejemplo, para especificar que los analizadores en tiempo real y bajo demanda no detecten amenazas de Comprobación de instalación, introduzca Comprobación de instalación. Agregar : agrega un nombre de detección a la lista de exclusiones. Haga clic en Agregar; a continuación, introduzca el nombre de detección. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar : quita un nombre de detección de la lista de exclusión. Seleccione el nombre y haga clic en Eliminar. 152 McAfee Endpoint Security 10.1 Guía del producto

153 Referencia a la interfaz de cliente Prevención de amenazas: Opciones 7 Tabla 7-24 Opciones avanzadas (continuación) Sección Opción Definición Detecciones de programas potencialmente no deseados Excluir los programas no deseados personalizados Especifica los archivos o programas individuales que se consideran programas potencialmente no deseados. Los analizadores detectan tanto los programas que especifique como los especificados en los archivos de AMCore content. El analizador no detecta un programa no deseado de cero bytes definido por el usuario. Agregar: define un programa no deseado personalizado. Haga clic en Agregar, introduzca el nombre y pulse la tecla Tab para introducir la descripción. Nombre: especifica el nombre de archivo del programa potencialmente no deseado. Descripción: especifica la información que se mostrará como nombre de detección cuando se produzca una detección. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: quita de la lista un programa potencialmente no deseado. Seleccione el programa de la lista y haga clic en Eliminar. Análisis proactivo de datos Comentarios sobre McAfee GTI Comprobación regular de la seguridad Reputación de AMCore Content Envía datos de uso y diagnóstico anónimos a McAfee. Permite los comentarios de telemetría relacionados con McAfee GTI para recopilar datos anónimos de archivos y procesos que se ejecutan en el sistema cliente. Efectúa una comprobación de la salud del sistema cliente antes y después de las actualizaciones de archivos de AMCore Content, así como a intervalos regulares, y envía los resultados a McAfee. Los resultados se cifran y se envían a McAfee mediante SSL. A continuación, McAfee agrega y analiza los datos de estos informes para identificar anomalías que pudieran suponer problemas potenciales relativos al contenido. La identificación precoz de dichos problemas es fundamental para proporcionar la contención y la corrección oportunas. Comprobación regular de la seguridad recopila los tipos de datos siguientes: Versión del sistema operativo y configuración regional Versión del producto de McAfee Versión del motor y de AMCore Content Información de procesos de ejecución de McAfee y Microsoft Efectúa una búsqueda de reputación de McAfee GTI en el archivo de AMCore Content antes de actualizar el sistema cliente. Si McAfee GTI permite el acceso al archivo, Endpoint Security actualiza AMCore Content. Si McAfee GTI no permite el acceso al archivo, Endpoint Security no actualiza AMCore Content. Véase también Configurar parámetros de análisis de ajustes generales en la página 64 McAfee Endpoint Security 10.1 Guía del producto 153

154 7 Referencia a la interfaz de cliente Revertir AMCore Content Revertir AMCore Content Cambia AMCore content a una versión anterior. Opción Seleccione la versión que cargar Definición Especifica el número de versión de un archivo de AMCore content anterior que hay que cargar. Endpoint Security conserva las dos versiones previas en el sistema cliente. Cuando cambia a una versión anterior, Endpoint Security elimina la versión actual de AMCore content del sistema. Véase también Cambiar versión de AMCore content en la página 27 Firewall: Opciones Active y desactive el módulo Firewall y establezca las opciones de protección. Consulte los parámetros de Ajustes generales: Opciones en la página 116 para la configuración del registro. El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como administrador. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security Si McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint Security aunque esté activado en la configuración de directiva. Tabla 7-25 Opciones Sección Opción Definición Opciones de protección Activar Firewall Permitir tráfico de protocolos incompatibles Permitir tráfico saliente hasta que los servicios de firewall se hayan iniciado Activa y desactiva el módulo Firewall. Permite el tráfico que usa protocolos no admitidos. Si esta opción está desactivada, todo el tráfico que use protocolos no admitidos se bloqueará. Permite el tráfico saliente, pero no el tráfico entrante, hasta que el servicio Firewall se haya iniciado. Si se desactiva esta opción, Firewall permite todo el tráfico antes de iniciar los servicios. Permitir tráfico mediante puentes Activar la protección contra falsificación de direcciones IP Activar reglas de bloqueo dinámicas Permite el tráfico con una dirección MAC en el ámbito de software de VM compatible que no sea la dirección MAC del sistema local. Permite: Paquetes entrantes con la dirección MAC de destino. Paquetes salientes con la dirección MAC de origen. Bloquea el tráfico de red de direcciones IP no locales del host, o de los procesos locales que intenten falsificar sus direcciones IP. Permite que otros módulos de Endpoint Security creen y agreguen reglas de bloqueo de manera dinámica al grupo de Reglas dinámicas de Cliente de Endpoint Security. (Opción desactivada de forma predeterminada) 154 McAfee Endpoint Security 10.1 Guía del producto

155 Referencia a la interfaz de cliente Firewall: Opciones 7 Tabla 7-25 Opciones (continuación) Sección Opción Definición Activar alertas de intrusión de firewall Muestra las alertas automáticamente cuando Firewall detecta un posible ataque. Bloqueo de DNS Nombre de dominio Define nombres de dominio a bloquear. Cuando se aplica, esta opción agrega una regla cerca de la parte superior de las reglas de firewall que bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio. Agregar: agrega un nombre de dominio a la lista de bloqueados. Separe las direcciones URL entre sí con una coma (,) o un retorno de carro. Puede usar los caracteres comodín * y?. Por ejemplo, *dominio.com. Las entradas duplicadas se eliminan automáticamente. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: elimina el nombre de dominio seleccionado de la lista de bloqueados. Tabla 7-26 Opciones avanzadas Sección Opción Definición Opciones de ajuste Activar el modo de adaptación Crea reglas automáticamente para permitir el tráfico. Active el modo de adaptación de modo temporal únicamente en algunos sistemas mientras configura el Firewall. Puesto que la activación de este modo puede generar varias reglas de cliente, que el servidor de McAfee epo debe procesar, el rendimiento puede verse afectado de modo negativo. Desactivar las reglas de redes principales de McAfee Desactiva las reglas de red integradas de McAfee (en el grupo de reglas de Redes principales de McAfee). (Opción desactivada de forma predeterminada) Activar esta opción podría deteriorar las comunicaciones de red en el cliente. Registrar todo el tráfico bloqueado Registrar todo el tráfico permitido Registra todo el tráfico bloqueado en el registro de eventos de Firewall (FirewallEventMonitor.log) en Cliente de Endpoint Security. (Opción activada de forma predeterminada) Registra todo el tráfico permitido en el registro de eventos de Firewall (FirewallEventMonitor.log) en Cliente de Endpoint Security. (Opción desactivada de forma predeterminada) Activar esta opción puede tener un efecto negativo en el rendimiento. McAfee Endpoint Security 10.1 Guía del producto 155

156 7 Referencia a la interfaz de cliente Firewall: Opciones Tabla 7-26 Opciones avanzadas (continuación) Sección Opción Definición Reputación de red McAfee GTI Tratar coincidencia de McAfee GTI como intrusión El tráfico que coincide con la configuración del umbral de bloqueo de McAfee GTI se trata como una intrusión. Al activar esta opción, se muestra una alerta, se envía un evento al servidor de administración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. (Opción activada de forma predeterminada) Cualquier dirección IP de una red de confianza queda excluida de la búsqueda de McAfee GTI. Registrar tráfico coincidente El tráfico que coincide con la configuración del umbral de bloqueo de McAfee GTI se trata como una detección. Al activar esta opción, se envía un evento al servidor de administración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. (Opción activada de forma predeterminada) Cualquier dirección IP de una red de confianza queda excluida de la búsqueda de McAfee GTI. Firewall con seguimiento de estado Umbral de reputación de red saliente/ entrante Usar inspección de protocolo FTP Especifica el umbral de riesgo de McAfee GTI a partir del cual debe bloquearse el tráfico entrante o saliente desde una conexión de red. No bloquear: este sitio web es una fuente o un destino legítimo de contenido/tráfico. Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que McAfee considera de riesgo. Riesgo medio: este origen/destino muestra un comportamiento que McAfeeMcAfee considera sospechoso. Cualquier contenido/tráfico procedente del sitio web requiere un escrutinio especial. Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico, pero también muestra algunas propiedades que sugieren la necesidad de una inspección adicional. Permite rastrear conexiones FTP, de modo que solo se requiera una regla de firewall para el tráfico FTP de cliente saliente y el tráfico FTP de servidor entrante. Si esta opción no está seleccionada, las conexiones FTP requerirán una regla adicional para el tráfico FTP de cliente entrante y otra para el tráfico FTP de servidor saliente. Número de segundos (1 a 240) antes de que la conexión TCP agote el tiempo de espera Número de segundos (1 a 300) antes de que las conexiones virtuales de eco UDP e ICMP agoten el tiempo de espera Véase también Configurar opciones defirewall en la página 78 Especifica el tiempo en segundos durante el cual sigue activa una conexión TCP no establecida si no se envían ni reciben más paquetes que coincidan con la conexión. El intervalo válido es de 1 a 240. Especifica el tiempo en segundos durante el cual sigue activa una conexión virtual de eco UDP o ICMP si no se envían ni reciben más paquetes que coincidan con la conexión. Esta opción restablece el valor configurado cada vez que se envía o recibe un paquete que coincide con la conexión virtual. El intervalo válido es de 1 a McAfee Endpoint Security 10.1 Guía del producto

157 Referencia a la interfaz de cliente Firewall: Reglas 7 Firewall: Reglas Administre grupos y reglas de firewall. Solo puede agregar y eliminar reglas y grupos en el grupo Agregado por usuario. Firewall mueve de manera automática a este grupo las reglas que se acaban de agregar. Tabla 7-27 Opciones Sección Opción Definición Regla Grupo REGLAS Agregar regla Crea una regla de firewall. Consulte Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 157 para obtener información. Agregar grupo Hacer doble clic en un elemento Duplicar Eliminar Crea un grupo de firewall. Modifica el elemento seleccionado. Crea una copia del elemento seleccionado. Elimina un elemento de firewall seleccionado. Indica elementos que pueden moverse en la lista. Seleccione elementos y arrástrelos hasta la nueva ubicación. Una línea azul aparece entre elementos allí donde se pueden colocar los elementos arrastrados. Véase también Creación y administración de directivas y grupos de Firewall en la página 87 Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 157 Agregar regla o Editar regla, Agregar grupo o Editar grupo Agregue o edite grupos y reglas de firewall. Tabla 7-28 Opciones Sección Opción Definición Regla Grupo Descripción Nombre Especifica el nombre descriptivo del elemento (obligatorio). Estado Especificar acciones Activa o desactiva el elemento. Permitir: permite el tráfico a través del firewall si el elemento coincide. Bloquear: impide el tráfico a través del firewall si el elemento coincide. Tratar coincidencia como intrusión: el tráfico que coincide con la regla se trata como una intrusión. Al activar esta opción, se muestra una alerta, se envía un evento al servidor de administración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. No se recomienda activar esta opción para una regla Permitir porque da lugar a numerosos eventos. McAfee Endpoint Security 10.1 Guía del producto 157

158 7 Referencia a la interfaz de cliente Firewall: Reglas Tabla 7-28 Opciones (continuación) Sección Opción Definición Regla Grupo Dirección Registrar tráfico coincidente: el tráfico que coincide con la regla se trata como una detección. Al activar esta opción, se envía un evento al servidor de administración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. Especifica la dirección: Cualquiera: supervisa tanto el tráfico entrante como el saliente. En: supervisa el tráfico entrante. Salida: supervisa el tráfico saliente. Ubicación Notas Activar detección de ubicación Nombre Activar aislamiento de conexión Proporciona más información sobre el elemento. Activa o desactiva la información de ubicación para el grupo. Especifica el nombre de la ubicación (obligatorio). Bloquea el tráfico en los adaptadores de red que no coincidan con el grupo cuando haya un adaptador que sí coincida con él. La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión. Uno de los usos de esta opción consiste en bloquear el tráfico generado por fuentes potencialmente no deseadas fuera de la red corporativa y evitar que acceda a ella. Solo se puede bloquear el tráfico de esta manera si no hay una regla anterior al grupo en el firewall que sí le permita el acceso. Cuando el aislamiento de conexión se activa y una tarjeta de interfaz de red coincide con el grupo, el tráfico se permite únicamente en estos casos: El tráfico coincide con una regla Permitir anterior al grupo. El tráfico que se mueve por una tarjeta de interfaz de red coincide con el grupo y hay una regla en dicho grupo (o posterior a este) que permite el tráfico. Si no hay ninguna tarjeta de interfaz de red que coincida con el grupo, este se omitirá y se proseguirá con la coincidencia de reglas. Requerir el acceso a McAfee epo Permite al grupo que coincida solamente si hay comunicación con el servidor McAfee epo y se ha resuelto el nombre de dominio completo del servidor. 158 McAfee Endpoint Security 10.1 Guía del producto

159 Referencia a la interfaz de cliente Firewall: Reglas 7 Tabla 7-28 Opciones (continuación) Sección Opción Definición Regla Grupo Criterios de ubicación Sufijo DNS específico de conexión: especifica un sufijo DNS específico de la conexión en el formato: ejemplo.com. Gateway predeterminada: especifica una dirección IP única para una gateway predeterminada en formato IPv4 o IPv6. Servidor DHCP: especifica una dirección IP única para un servidor DHCP en formato IPv4 o IPv6. Servidor DNS: especifica una dirección IP única para un servidor de nombre de dominio en formato IPv4 o IPv6. Servidor WINS principal: especifica una dirección IP única para un servidor WINS principal en formato IPv4 o IPv6. Servidor WINS secundario: especifica una dirección IP única para un servidor WINS secundario en formato IPv4 o IPv6. Posibilidad de alcance del dominio (HTTPS): exige que el dominio especificado sea accesible mediante HTTPS. Clave de Registro: especifica la clave de Registro y el valor de Registro. 1 Haga clic en Agregar. 2 En la columna Valor, introduzca una clave de Registro con el formato: <ROOT>\<KEY>\[VALUE_NAME] En <ROOT>, debe utilizar el nombre completo de la raíz, como por ejemplo HKEY_LOCAL_MACHINE y no la abreviación HKLM. <KEY> es el nombre de clave bajo la raíz. [VALUE_NAME] es el nombre del valor de clave. Si no se incluye el nombre del valor, se presupone que tiene el valor predeterminado. Formatos de ejemplo: IPv4: IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Las direcciones IPv6 no son compatibles con sistemas operativos Macintosh. Redes Protocolo de red Cualquier protocolo Especifica las opciones de host de red que se aplican al elemento. Especifica el protocolo de red que se aplica al elemento. Permite tanto protocolo IP como protocolo distinto de IP. Si se especifica un protocolo de transporte o una aplicación, solo se permiten protocolos IP. McAfee Endpoint Security 10.1 Guía del producto 159

160 7 Referencia a la interfaz de cliente Firewall: Reglas Tabla 7-28 Opciones (continuación) Sección Opción Definición Regla Grupo Protocolo IP Excluye cualquier protocolo distinto de IP. Protocolo IPv4 Protocolo IPv6 Si no se activa ninguna casilla, se aplica cualquier protocolo IP. Se puede seleccionar tanto IPv4 como IPv6. Protocolo distinto de IP Tipos de conexión Solo incluye protocolos distintos de IP. Seleccionar EtherType de la lista: especifica un EtherType. Especificar EtherType personalizado: especifica los cuatro caracteres de valor hexadecimal EtherType del protocolo distinto de IP. Consulte los números de Ethernet para ver los valores EtherType. Por ejemplo, escriba 809B para AppleTalk, 8191 para NetBEUI u 8037 para IPX. Indica si se aplica uno o todos los tipos de conexión: Con cable Inalámbrico Virtual Una conexión de tipo Virtual es un adaptador presentado por un VPN o una aplicación de máquina virtual, como VMware, en lugar de un adaptador físico. Especificar redes Especifica las redes que se aplican al elemento. Agregar: crea y agrega una red. Consulte Agregar red o Editar red en la página 164 para obtener información. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: elimina la red de la lista. Transporte Especifica las opciones de transporte que se aplican al elemento. 160 McAfee Endpoint Security 10.1 Guía del producto

161 Referencia a la interfaz de cliente Firewall: Reglas 7 Tabla 7-28 Opciones (continuación) Sección Opción Definición Regla Grupo Protocolo de transporte Especifica el protocolo de transporte asociado al elemento. Seleccione el protocolo, haga clic en Agregar para agregar puertos. Todos los protocolos: permite protocolos IP, distintos de IP y no admitidos. TCP y UDPSeleccione en el elemento desplegable: Puerto local: especifica el puerto o servicio de tráfico local al que se aplica el elemento. Puerto remoto: especifica el puerto o servicio de tráfico en otro equipo al que se aplica el elemento. Puerto local y Puerto remoto pueden ser: Un único servicio. Por ejemplo, 23. Un intervalo. Por ejemplo, Una lista separada por comas con los puertos individuales y los intervalos de puertos. Por ejemplo: 80, 8080, 1 10, 8443 (hasta 4 elementos). De manera predeterminada, las reglas se aplican a todos los servicios y puertos. ICMP: en el elemento desplegable Tipo de mensaje, especifique un tipo de mensaje ICMP. Consulte ICMP. ICMPv6: en el elemento desplegable Tipo de mensaje, especifique un tipo de mensaje ICMP. Consulte ICMPv6. Otros: ofrece una lista de protocolos menos comunes. Ejecutables Planificación Especifica los ejecutables que se aplican a la regla. Agregar: crea y agrega un ejecutable. Consulte Agregar ejecutable o Editar ejecutable en la página 163 para obtener información. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: elimina un ejecutable de la lista. Especifica la configuración de la planificación para la regla o el grupo. McAfee Endpoint Security 10.1 Guía del producto 161

162 7 Referencia a la interfaz de cliente Firewall: Reglas Tabla 7-28 Opciones (continuación) Sección Opción Definición Regla Grupo Activar planificación Activa la planificación para la regla o el grupo temporizado. Cuando la planificación está desactivada, la regla o las reglas del grupo no se aplican. Hora de inicio: especifica la hora de inicio para la activación de la planificación. Hora de finalización:: especifica la hora para la desactivación de la planificación. Días de la semana: especifica los días de la semana para la activación de la planificación. Para las horas de inicio y finalización, utilice el formato de 24 horas. Por ejemplo, 13:00 = 1:00 p.m. Puede planificar grupos temporizados de Firewall o permitir al usuario activarlos desde el icono de la bandeja del sistema de McAfee. Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee Especifica que el usuario puede activar el grupo temporizado durante un número de minutos determinado desde el icono de la bandeja del sistema de McAfee en lugar de usar la planificación. Utilice esta opción para permitir un amplio acceso a la red, como por ejemplo en un hotel, antes de que se pueda establecer una conexión a una red privada virtual (VPN). Al seleccionar esta opción se muestran más opciones de menú en Configuración rápida en el icono de la bandeja del sistema de McAfee: Activar grupos temporizados de firewall: permite a los grupos temporizados el acceso no de red a Internet durante un tiempo determinado, antes de que se apliquen las reglas que restringen el acceso. Cada vez que selecciona esta opción, se restablece el tiempo de los grupos. Ver grupos temporizados de firewall: muestra los nombres de los grupos temporizados y el tiempo restante de activación de cada grupo. Puede planificar grupos temporizados de Firewall o permitir al usuario activarlos desde el icono de la bandeja del sistema de McAfee. Número de minutos (1-60) para activar el grupo Especifica el número de minutos (1-60) que debe estar activado el grupo temporizado después de seleccionar Activar grupos temporizados de firewall desde el icono de la bandeja del sistema de McAfee. Véase también Creación y administración de directivas y grupos de Firewall en la página 87 Crear grupos temporizados en la página 90 Activar o ver grupos temporizados de Firewall en la página 77 Agregar red o Editar red en la página 164 Agregar ejecutable o Editar ejecutable en la página McAfee Endpoint Security 10.1 Guía del producto

163 Referencia a la interfaz de cliente Firewall: Reglas 7 Agregar ejecutable o Editar ejecutable Agregue o edite un ejecutable asociado a una regla o un grupo. Tabla 7-29 Opciones Opción Nombre Ruta o nombre de archivo Definición Especifica el nombre que le da al ejecutable. Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo, Descripción del archivo, Hash MD5 o firmante. Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar. Haga clic en Examinar para seleccionar el ejecutable. La ruta del archivo puede incluir caracteres comodín. Descripción del archivo Hash MD5 Firmante Indica la descripción del archivo. Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos). Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado desde que se firmó con un hash criptográfico. Si esta opción está activada, especifique: Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso. Firmado por: permite solo los archivos firmados por el firmante de proceso especificado. Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente con las entradas en el campo adjunto, incluidos comas y espacios. Para obtener el nombre distintivo del firmante de un ejecutable: 1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades. 2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles. 3 En la ficha General haga clic en Ver certificado. 4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del firmante: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Notas Proporciona más información sobre el elemento. McAfee Endpoint Security 10.1 Guía del producto 163

164 7 Referencia a la interfaz de cliente Firewall: Reglas Agregar red o Editar red Agrega o edita una red asociada a una regla o un grupo. Tabla 7-30 Opción Definición Regla Grupo Nombre Especifica el nombre de la dirección de la red (obligatorio). Tipo Agregar Hacer doble clic en un elemento Eliminar Tipo de dirección Dirección Selecciona una de esta opciones: Red local: crea y agrega una red local. Red remota: crea y agrega una red remota. Agrega un tipo de red a la lista de redes. Modifica el elemento seleccionado. Elimina el elemento seleccionado. Especifica el origen o el destino del tráfico. Realice una selección en la lista desplegable Tipo de dirección. Consulte Tipo de dirección en la página 164 para ver la lista de tipos de dirección. Especifica la dirección IP que agregar a la red. Se aceptan caracteres comodín. Véase también Tipo de dirección en la página 164 Tipo de dirección Especifique el tipo de dirección de una red definida. Las direcciones IPv6 no son compatibles con sistemas operativos Macintosh. Tabla 7-31 Opciones Opción Dirección IP única Definición Especifica una dirección IP concreta. Por ejemplo: IPv4: IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Subred Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo: IPv4: /24 IPv6: 2001:db8::0/32 Subred local Intervalo Especifica la dirección de subred del adaptador local. Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final del intervalo. Por ejemplo: IPv4: IPv6: 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Nombre de dominio completo Especifica el FQDN. Por ejemplo, 164 McAfee Endpoint Security 10.1 Guía del producto

165 Referencia a la interfaz de cliente Control web: Opciones 7 Tabla 7-31 Opciones (continuación) Opción Cualquier dirección IP local Cualquier dirección IPv4 Cualquier dirección IPv6 Definición Especifica cualquier dirección IP local. Especifica cualquier dirección IPv4. Especifica cualquier dirección IPv6. Control web: Opciones Configure las opciones generales de Control web, que incluyen activar, especificar implementación de acciones, Búsqueda segura y anotaciones de correo electrónico. Consulte los parámetros de Ajustes generales: Opciones en la página 116 para la configuración del registro. Tabla 7-32 Opciones Sección Opción Definición OPCIONES Activar Control web Activa o desactiva Control web. (Opción activada de forma predeterminada) Registro de eventos Ocultar la barra de herramientas en el navegador del cliente Registrar categorías web para sitios web con calificación verde Oculta la barra de herramientas de Control web en el navegador sin desactivar su funcionalidad. (Opción desactivada de forma predeterminada) Registra categorías de contenido para todos los sitios web con calificación verde. Activar esta función podría afectar negativamente al rendimiento del servidor McAfee epo. Implementación de acciones Registrar eventos de iframe de Control web Aplicar esta acción a sitios aún no verificados por McAfee GTI Permitir compatibilidad con iframe de HTML Bloquear sitios de forma predeterminada si el servidor de calificaciones McAfee GTI no está accesible Crea entradas de registro cuando se bloquea el acceso a sitios web maliciosos (rojos) y de advertencia (amarillos) que aparecen en un iframe de HTML. Especifica la acción predeterminada que aplicar a sitios web que McAfee GTI todavía no ha calificado. Permitir (opción predeterminada): permite que los usuarios tengan acceso al sitio web. Advertir: muestra una advertencia que informa a los usuarios sobre los peligros potenciales asociados con el sitio web. Los usuarios deben descartar la advertencia antes de continuar. Bloquear: evita que los usuarios tengan acceso al sitio web y muestra un mensaje que indica que el sitio de descargas está bloqueado. Bloquea el acceso a sitios web maliciosos (rojos) y de advertencia (amarillos) que aparecen en un iframe HTML. (Opción activada de forma predeterminada) Bloquea el acceso a sitios web de forma predeterminada si Control web no puede acceder al servidor de McAfee GTI. McAfee Endpoint Security 10.1 Guía del producto 165

166 7 Referencia a la interfaz de cliente Control web: Opciones Tabla 7-32 Opciones (continuación) Sección Opción Definición Bloquear páginas de phishing para todos los sitios Permitir análisis de archivos para las descargas de archivos Bloquea todas las página de phishing, independientemente de las acciones de calificaciones de contenido. (Opción activada de forma predeterminada) Analiza todos los archivos (.zip,.exe,.ecx,.cab,.msi,.rar,.scr y.com) antes de su descarga. (Opción activada de forma predeterminada) Esta opción impide que los usuarios accedan a un archivo descargado hasta que Control web y Prevención de amenazas lo marquen como limpio. Control web realiza una búsqueda de McAfee GTI del archivo. Si McAfee GTI permite el archivo, Control web envía el archivo a Prevención de amenazas para su análisis. Si un archivo descargado se identifica como una amenaza, Endpoint Security realiza una acción en el archivo y alerta al usuario. Nivel de sensibilidad de McAfee GTI Intervalo de direcciones IP privadas Especifica el nivel de sensibilidad de McAfee GTI que se debe utilizar cuando Control web se utilice para análisis de descargas de archivos. Consulte McAfee GTI en la página 148 para obtener información. Configura Control web para que no califique o actúe en el intervalo de direcciones IP privadas especificado. Agregar: agrega una dirección IP a la lista de direcciones que excluir de la calificación o el bloqueo. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar: elimina una dirección IP de la lista de direcciones a excluir de la calificación o el bloqueo. Búsqueda segura Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente los sitios web maliciosos de los resultados de búsqueda según su calificación de seguridad. Establezca el motor de búsqueda predeterminado en los navegadores compatibles Especifica el motor de búsqueda predeterminado en los navegadores compatibles: Yahoo Google Bing Ask Bloquear vínculos a sitios peligrosos en los resultados de la búsqueda Evita que los usuarios hagan clic en vínculos a sitios web peligrosos en los resultados de la búsqueda. Tabla 7-33 Opciones avanzadas Sección Opción Definición Anotaciones de correo electrónico Activar anotaciones en correo electrónico basado en navegador Activar anotaciones en clientes de correo electrónico no basados en Web Anota direcciones URL en clientes de correo electrónico basados en el navegador (p. ej. Yahoo Mail y Gmail). Anota direcciones URL en herramientas de administración de correo electrónico de 32 bits, como Microsoft Outlook o Outlook Express. 166 McAfee Endpoint Security 10.1 Guía del producto

167 Referencia a la interfaz de cliente Control web: Acciones según contenido 7 Véase también Configuración de las opciones de Control web en la página 98 Cómo se analizan las descargas de archivos en la página 100 McAfee GTI en la página 148 Control web: Acciones según contenido Defina las acciones a tomar para los sitios web calificados y las categorías de contenido web. Para los sitios web y las descargas de archivos en las categorías desbloqueadas, Control web aplica las acciones de calificación. McAfee Endpoint Security 10.1 Guía del producto 167

168 7 Referencia a la interfaz de cliente Control web: Acciones según contenido Tabla 7-35 Opciones Sección Opción Definición Acciones de calificación Acciones de calificación para sitios Especifica acciones para sitios web que estén calificados como rojo, amarillo o sin calificar. Los sitios web y las descargas con calificación verde se permiten automáticamente. Permitir: permite que los usuarios tengan acceso al sitio web. (Opción predeterminada para los sitios web Sin calificar) Advertir: muestra una advertencia que informa a los usuarios sobre los peligros potenciales asociados con el sitio web. Los usuarios deben hacer clic en Cancelar para volver al sitio que habían visitado antes o en Continuar para acceder al sitio. Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible. (Opción predeterminada para los sitios web Amarillos) Bloquear: evita que los usuarios tengan acceso al sitio web y muestra un mensaje que indica que el sitio web está bloqueado. Los usuarios deben hacer clic en Aceptar para volver al sitio que habían visitado antes. Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible. (Opción predeterminada para los sitios web Rojos) Acciones de calificación para descargas de archivos Especifica acciones para las descargas de archivos que estén calificados como rojo, amarillo o sin calificar. Estas acciones de calificación solo se aplican cuando Permitir análisis de archivos para las descargas de archivos está activado en la configuración deopciones. Permitir: permite que los usuarios continúen con la descarga. (Opción predeterminada para los sitios web Sin calificar) Advertir: muestra una advertencia que informa a los usuarios sobre los peligros potenciales asociados con la descarga del archivo. Los usuarios deben descartar la advertencia para finalizar o continuar la descarga. (Opción predeterminada para los sitios web Amarillos) Bloquear: muestra un mensaje que indica que la descarga se ha bloqueado y que evita que los usuarios descarguen el archivo. (Opción predeterminada para los sitios web Rojos) Use la configuración de Mensajes de implementación para personalizar el mensaje. 168 McAfee Endpoint Security 10.1 Guía del producto

169 Referencia a la interfaz de cliente Inteligencia de amenazas: Opciones 7 Tabla 7-36 Opciones avanzadas Sección Opción Definición Bloqueo de categorías web Activar bloqueo de categorías web Bloquear Categorías web Activa el bloqueo de sitios web basado en la categoría de contenido. Evita que los usuarios tengan acceso a cualquier sitio web en esta categoría y muestra un mensaje que indica que el sitio web está bloqueado. Lista las categorías web. Véase también Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web en la página 101 Uso de calificaciones de seguridad para controlar el acceso en la página 102 Uso de categorías web para el control de acceso en la página 101 Inteligencia de amenazas: Opciones Configura parámetros para Inteligencia de amenazas. Inteligencia de amenazas solo es compatible con sistemas gestionados por McAfee epo. Tabla 7-37 Opciones Sección Opción Definición Opciones Activar Inteligencia de amenazas Permitir al servidor de Inteligencia de amenazas recopilar datos anónimos de diagnóstico y de uso Usar la reputación de archivos de McAfee GTI si el servidor de Inteligencia de amenazas no está disponible Impedir que los usuarios cambien la configuración (solo clientes de Inteligencia de amenazas 1.0) Activa el módulo Inteligencia de amenazas. Permite que el servidor de Inteligencia de amenazas envíe información anónima sobre archivos a McAfee. Obtiene información sobre reputación de archivos de Global Threat Intelligence Proxy si el servidor de Inteligencia de amenazas no está disponible. Impide que los usuarios de los sistemas endpoint gestionados cambien la configuración deinteligencia de amenazas. Asignación de regla Productividad Asigna el grupo de reglas Productividad a la directiva. Utilice este grupo para sistemas con muchos cambios con actualizaciones e instalaciones de software frecuentes. Este grupo es el que emplea menos reglas. El usuario recibe un mínimo de solicitudes y bloqueos cuando se detectan nuevos archivos. Equilibrado Asigna el grupo de reglas Equilibrado a la directiva. Utilice este grupo para sistemas empresariales típicos en los que el software nuevo y las modificaciones son puntuales. Este grupo emplea más reglas (y los usuarios reciben más solicitudes y bloqueos) que el grupo Productividad. McAfee Endpoint Security 10.1 Guía del producto 169

170 7 Referencia a la interfaz de cliente Inteligencia de amenazas: Opciones Tabla 7-37 Opciones (continuación) Sección Opción Definición Seguridad Asigna el grupo de reglas Seguridad a la directiva. Utilice este grupo para sistemas con pocos cambios, tales como servidores y sistemas gestionados por el departamento de TI con un nivel alto de control. El usuario recibe más solicitudes y bloqueos que con el grupo Equilibrado. Implementación de acciones Activar modo de evaluación Bloquear cuando el umbral de reputación alcance Limpiar cuando el umbral de reputación alcance Recopila datos y los envía al servidor, pero no implementa la directiva. Esta opción permite ver el efecto de la directiva sin ejecutarla. Bloquea archivos cuando la reputación de archivos alcanza un umbral determinado y especifica el umbral: Conocido malicioso Probablemente malicioso Posiblemente malicioso (opción predeterminada) Desconocido Posiblemente de confianza Probablemente de confianza Cuando un archivo con esta reputación intente ejecutarse en su entorno, se le impedirá la ejecución pero se conservará en su lugar. Si un archivo es seguro y desea que se ejecute, cambie su reputación a un nivel que permita su ejecución, como Probablemente de confianza. Limpia archivos cuando la reputación de archivos alcanza un umbral determinado y especifica el umbral: Conocido malicioso (opción predeterminada) Probablemente malicioso Posiblemente malicioso Desconocido Utilice esta opción con reputaciones de archivos de tipo Conocido malicioso, ya que se puede eliminar un archivo al limpiarlo. 170 McAfee Endpoint Security 10.1 Guía del producto

Guía del producto. McAfee Endpoint Security 10

Guía del producto. McAfee Endpoint Security 10 Guía del producto McAfee Endpoint Security 10 COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee, McAfee

Más detalles

McAfee Endpoint Security 10.1.0

McAfee Endpoint Security 10.1.0 Notas de la versión McAfee Endpoint Security 10.1.0 Para su uso con el software epolicy Orchestrator Contenido Acerca de esta versión Nuevas funciones y mejoras Problemas solucionados Problemas conocidos

Más detalles

McAfee Endpoint Security 10.0.0 Software

McAfee Endpoint Security 10.0.0 Software Guía de instalación McAfee Endpoint Security 10.0.0 Software Para su uso con el software epolicy Orchestrator 5.1.1 5.2.0 y McAfee SecurityCenter COPYRIGHT Copyright 2014 McAfee, Inc. Queda prohibida la

Más detalles

Antivirus PC. Manual de usuario

Antivirus PC. Manual de usuario Antivirus PC Página 1 de 55 McAfee 2009 Índice 1. McAfee Online Antivirus o Antivirus PC... 6 2. McAfee Security Center... 6 2.1. Funciones de Security Center... 6 2.1.1. Estado de protección simplificado...6

Más detalles

Administración de cuentas

Administración de cuentas Guía de administración Revisión E Administración de cuentas COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

McAfee SiteAdvisor Enterprise 3.5 Patch1

McAfee SiteAdvisor Enterprise 3.5 Patch1 Guía de instalación McAfee SiteAdvisor Enterprise 3.5 Patch1 Para uso con el software epolicy Orchestrator 4.5, 4.6 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa.

Más detalles

Guía de instalación de McAfee SiteAdvisor Enterprise Plus 3.0

Guía de instalación de McAfee SiteAdvisor Enterprise Plus 3.0 Guía de instalación de McAfee SiteAdvisor Enterprise Plus 3.0 COPYRIGHT Copyright 2009 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento

Más detalles

Guía de administración Revisión D. SaaS Email Protection

Guía de administración Revisión D. SaaS Email Protection Guía de administración Revisión D SaaS Email Protection COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Sophos Control Center Ayuda

Sophos Control Center Ayuda Sophos Control Center Ayuda Versión: 4.1 Edición: marzo de 2010 Contenido 1 Acerca de Sophos Control Center...3 2 Introducción a Sophos Control Center...4 3 Comprobar que la red se encuentra protegida...8

Más detalles

http://www.trendmicro.com/download/emea/?lng=es

http://www.trendmicro.com/download/emea/?lng=es Manual del usuario Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a utilizar

Más detalles

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Notas de la versión McAfee Advanced Threat Defense 3.0 Revision A Contenido Acerca de este documento Funciones de McAfee Advanced Threat Defense 3.0 Problemas resueltos Notas de instalación y ampliación

Más detalles

Guía del usuario PN:10432163-SL

Guía del usuario PN:10432163-SL Guía del usuario PN:10432163-SL Norton Personal Firewall 2006 User Guide Documentación de la versión 9.0 Copyright 2005 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec,

Más detalles

Guía del producto. McAfee SaaS Endpoint Protection (versión de octubre de 2012)

Guía del producto. McAfee SaaS Endpoint Protection (versión de octubre de 2012) Guía del producto McAfee SaaS Endpoint Protection (versión de octubre de 2012) COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES

Más detalles

Pack Seguridad PC. Manual de usuario

Pack Seguridad PC. Manual de usuario Pack Seguridad PC Página 1 de 97 McAfee 2009 Índice 1. McAfee Online Security o Pack Seguridad PC... 10 2. McAfee Security Center... 10 2.1. Funciones de Security Center...10 2.1.1. Estado de protección

Más detalles

Software Anti-Spyware Enterprise Module

Software Anti-Spyware Enterprise Module Software Anti-Spyware Enterprise Module versión 8.0 Guía Qué es Anti-Spyware Enterprise Module? Anti-Spyware Enterprise Module de McAfee es un complemento del producto VirusScan Enterprise 8.0i que amplía

Más detalles

McAfee GroupShield versión 7.0.2 para Microsoft Exchange 2010 Guía del usuario: Anexo

McAfee GroupShield versión 7.0.2 para Microsoft Exchange 2010 Guía del usuario: Anexo McAfee GroupShield versión 7.0.2 para Microsoft Exchange 2010 Guía del usuario: Anexo COPYRIGHT Copyright 2009 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión,

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.2 Edición: enero de 2013 Contenido 1 Acerca de Enterprise Console...3 2 Descripción de la ventana de Enterprise Console...4 3 Empezar a usar Sophos Enterprise

Más detalles

Guía de instalación para teléfonos inteligentes. McAfee All Access

Guía de instalación para teléfonos inteligentes. McAfee All Access Guía de instalación para teléfonos inteligentes McAfee All Access COPYRIGHT Copyright 2010 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento

Más detalles

GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013

GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013 GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013 Tabla de contenido: 1. PANEL INICIO MCAFEE:... 4 1.1 INICIO:... 4 2. CENTRO DE NAVEGACIÓN:... 5 2.1 CONFIGURACIÓN:... 6 2.1.1 SUSCRIPCIÓN:...

Más detalles

Pack Seguridad Autónomos Consola de gestión del programa agente

Pack Seguridad Autónomos Consola de gestión del programa agente Manual de Usuario Consola de gestión del programa agente Índice 1 Introducción... 2 2 Acceso al agente instalado... 3 3 La consola de gestión... 4 4 Estado de los componentes instalados... 5 5 Barra de

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for File Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

Guía del producto Revisión A. McAfee Secure Web Mail Client 7.0.0 Software

Guía del producto Revisión A. McAfee Secure Web Mail Client 7.0.0 Software Guía del producto Revisión A McAfee Secure Web Mail Client 7.0.0 Software COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción,

Más detalles

Contenido. McAfee Total Protection 3

Contenido. McAfee Total Protection 3 Guía del usuario i Contenido McAfee Total Protection 3 McAfee SecurityCenter... 5 Funciones de SecurityCenter... 6 Uso de SecurityCenter... 7 Actualización de SecurityCenter... 13 Solucionar u omitir

Más detalles

Boot Camp Manual de instalación y configuración

Boot Camp Manual de instalación y configuración Boot Camp Manual de instalación y configuración Contenido 3 Introducción 3 Requisitos 4 Visión general de la instalación 4 Paso 1: Comprobar si hay actualizaciones disponibles 4 Paso 2: Preparar el Mac

Más detalles

Contenido. McAfee Internet Security 3

Contenido. McAfee Internet Security 3 Guía del usuario i Contenido McAfee Internet Security 3 McAfee SecurityCenter...5 Funciones de SecurityCenter...6 Uso de SecurityCenter...7 Solucionar u omitir problemas de protección...17 Trabajar con

Más detalles

McAfee Total Protection Service Guía del producto

McAfee Total Protection Service Guía del producto McAfee Total Protection Service Guía del producto COPYRIGHT Copyright 2009 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un

Más detalles

Guía del usuario Revisión A. McAfee Web Reporter 5.2.1

Guía del usuario Revisión A. McAfee Web Reporter 5.2.1 Guía del usuario Revisión A McAfee Web Reporter 5.2.1 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee,

Más detalles

NetSupport Protect Guía del usuario

NetSupport Protect Guía del usuario NetSupport Protect Guía del usuario Reservados todos los derechos 2011 NetSupport Ltd 1 Índice Bienvenido a NetSupport Protect...3 Descripción general...4 Resumen de las funciones principales...5 Instalación...7

Más detalles

Sophos Endpoint Security and Control Ayuda

Sophos Endpoint Security and Control Ayuda Sophos Endpoint Security and Control Ayuda Versión: 10.3 Edición: junio de 2014 Contenido 1 Acerca de Sophos Endpoint Security and Control...3 2 Acerca de la página de inicio...4 3 Grupos de Sophos...5

Más detalles

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET NOD32

Más detalles

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Microsoft Windows 8 / 7 / Vista / XP / Home Server ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor de

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.4 Edición: abril de 2016 Contenido 1 Acerca de Sophos Enterprise Console 5.4...6 2 Descripción de la ventana de Enterprise Console...7 2.1 Ventana principal...7

Más detalles

McAfee Security-as-a-Service

McAfee Security-as-a-Service Guía de solución de problemas McAfee Security-as-a-Service Para utilizar con el software epolicy Orchestrator 4.6.0 Esta guía proporciona información complementaria relacionada con la instalación y el

Más detalles

Ayuda de Active System Console

Ayuda de Active System Console Ayuda de Active System Console Introducción... 1 Instalación... 2 Visualización de la información del sistema... 4 Umbrales de monitoreo del sistema... 5 Configuración de notificaciones por correo electrónico...

Más detalles

Mac OS X 10.6 Snow Leopard Guía de instalación y configuración

Mac OS X 10.6 Snow Leopard Guía de instalación y configuración Mac OS X 10.6 Snow Leopard Guía de instalación y configuración Lea este documento antes de instalar Mac OS X, ya que contiene información importante acerca del proceso de instalación de Mac OS X. Requisitos

Más detalles

Guía del producto Revisión A. McAfee Quarantine Manager 7.1.0

Guía del producto Revisión A. McAfee Quarantine Manager 7.1.0 Guía del producto Revisión A McAfee Quarantine Manager 7.1.0 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Guía Rápida de Instalación

Guía Rápida de Instalación Microsoft Windows Vista / XP / 2000 / 2003 Guía Rápida de Instalación Protegemos su Mundo Digital ESET Smart Security ESET Smart Security ofrece protección de última generación para su equipo contra códigos

Más detalles

Sophos Anti-Virus para NetApp Storage Systems Guía de inicio. Para Windows 2000 y posterior

Sophos Anti-Virus para NetApp Storage Systems Guía de inicio. Para Windows 2000 y posterior Sophos Anti-Virus para NetApp Storage Systems Guía de inicio Para Windows 2000 y posterior Versión: 1 Edición: marzo de 2010 Contenido 1 Acerca de esta guía...3 2 Acerca de Sophos Anti-Virus para NetApp

Más detalles

McAfee SiteAdvisor Enterprise 3.5 Patch1

McAfee SiteAdvisor Enterprise 3.5 Patch1 Guía del producto McAfee SiteAdvisor Enterprise 3.5 Patch1 Para uso con el software epolicy Orchestrator 4.5, 4.6 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa.

Más detalles

Bitdefender Total Security 2016 Guía de Usuario

Bitdefender Total Security 2016 Guía de Usuario GUÍA DE USUARIO Bitdefender Total Security 2016 Guía de Usuario fecha de publicación 09/23/2015 Copyright 2015 Bitdefender Advertencia legal Todos los derechos reservados. Ninguna parte de este libro puede

Más detalles

GUIA ILUSTRADA: McAfee PC Security Suite Plus

GUIA ILUSTRADA: McAfee PC Security Suite Plus GUIA ILUSTRADA: McAfee PC Security Suite Plus Tabla de contenido PANEL INICIO DE MCAFEE...2 DESCRIPCIÓN DEL PANEL DE INICIO...3 ESTADO DE LA PROTECCIÓN...3 ACTUALIZACIONES AUTOMÁTICAS...4 ALERTAS EN TIEMPO

Más detalles

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET

Más detalles

Guía de Inicio Rápido de McAfee Personal Firewall Plus

Guía de Inicio Rápido de McAfee Personal Firewall Plus Protección confiable contra hackers. McAfee Personal Firewall Plus ofrece protección firewall de entrada y salida. Personal Firewall Plus se puede configurar y administrar utilizando McAfee SecurityCenter.

Más detalles

La instalación del antivirus es muy sencilla. Se debe acceder a la url:

La instalación del antivirus es muy sencilla. Se debe acceder a la url: 1 QUÉ ES AVAST!? avast! es un programa antivirus con funciones completas que detecta y elimina software malicioso (malware) y virus del ordenador o dispositivo móvil. Aunque avast! es gratuito para uso

Más detalles

Guía de instalación para PC. McAfee All Access

Guía de instalación para PC. McAfee All Access Guía de instalación para PC McAfee All Access COPYRIGHT Copyright 2010 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema

Más detalles

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Haga un clic aquí para descargar la versión más reciente de este documento. ESET NOD32 Antivirus le proporciona

Más detalles

Ayuda de instalación (Español) Primeros pasos

Ayuda de instalación (Español) Primeros pasos Primeros pasos Ayuda de instalación (Español) Nos alegramos de que se haya decidido por nuestro producto y esperamos que esté totalmente satisfecho(a) con su nuevo software G DATA. Si algo no funcionara

Más detalles

Bienvenido a la Guía de inicio - seguridad

Bienvenido a la Guía de inicio - seguridad Bienvenido a la Guía de inicio - seguridad Contenido Bienvenido a la Guía de inicio - Security... 1 PC Tools Internet Security... 3 Introducción a PC Tools Internet Security... 3 Instalación... 3 Introducción...

Más detalles

Extensión de McAfee Security-as-a-Service

Extensión de McAfee Security-as-a-Service Guía del usuario Extensión de McAfee Security-as-a-Service Para su uso con el software epolicy Orchestrator 4.6.0 COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la

Más detalles

Sophos Anti-Virus para Mac OS X Ayuda

Sophos Anti-Virus para Mac OS X Ayuda Sophos Anti-Virus para Mac OS X Ayuda Para ordenadores en red o independientes con Mac OS X versión 10.4 o posterior Versión: 8 Edición: abril de 2012 Contenido 1 Acerca de Sophos Anti-Virus...3 2 Detectar

Más detalles

Symantec Endpoint Protection Guía de inicio

Symantec Endpoint Protection Guía de inicio Symantec Endpoint Protection Guía de inicio Symantec Endpoint Protection Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según los

Más detalles

Contenido. McAfee Total Protection 7. McAfee SecurityCenter 9. McAfee QuickClean 41. McAfee Shredder 47

Contenido. McAfee Total Protection 7. McAfee SecurityCenter 9. McAfee QuickClean 41. McAfee Shredder 47 Guía del usuario i Contenido McAfee Total Protection 7 McAfee SecurityCenter 9 Características... 10 Uso de SecurityCenter... 11 Encabezado... 11 Columna izquierda... 11 Panel principal... 12 Descripción

Más detalles

Symantec Enterprise Vault

Symantec Enterprise Vault Symantec Enterprise Vault Guía para usuarios de Microsoft Outlook 2003/2007 10.0 Complemento de Outlook completo Symantec Enterprise Vault: Guía para usuarios de Microsoft Outlook 2003/2007 El software

Más detalles

Guía de Inicio Rápido de McAfee Wireless Protection

Guía de Inicio Rápido de McAfee Wireless Protection Bloqueo de piratas informáticos ante posibles ataques de la red inalámbrica McAfee Wireless Protection evita que los piratas informáticos ataquen a su red inalámbrica. Puede configurar y acceder a Wireless

Más detalles

Guía de Inicio Rápido de McAfee VirusScan

Guía de Inicio Rápido de McAfee VirusScan Protección confiable contra virus y software espía McAfee VirusScan ofrece protección para su equipo contra virus y software espía. VirusScan se puede configurar y administrar utilizando McAfee SecurityCenter.

Más detalles

Consulte la parte posterior para obtener información sobre la instalación rápida.

Consulte la parte posterior para obtener información sobre la instalación rápida. TM Norton AntiVirus Online Guía del usuario Consulte la parte posterior para obtener información sobre la instalación rápida. Cuida el medio ambiente: "Es lo que hay que hacer". Symantec ha quitado la

Más detalles

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guía de inicio rápido Haga un clic aquí para descargar la versión más reciente de este documento. ESET Smart Security es un software

Más detalles

Guía del producto Revisión A. McAfee Web Reporter 5.2.1

Guía del producto Revisión A. McAfee Web Reporter 5.2.1 Guía del producto Revisión A McAfee Web Reporter 5.2.1 COPYRIGHT Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de

Más detalles

Guía del producto. McAfee Security for Microsoft SharePoint 3.0.0

Guía del producto. McAfee Security for Microsoft SharePoint 3.0.0 Guía del producto McAfee Security for Microsoft SharePoint 3.0.0 COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo

Más detalles

Boot Camp Manual de instalación y configuración

Boot Camp Manual de instalación y configuración Boot Camp Manual de instalación y configuración Contenido 3 Introducción 3 Requisitos 5 Visión general de la instalación 5 Paso 1: Comprobar si hay actualizaciones disponibles 5 Paso 2: Preparar el Mac

Más detalles

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga un clic aquí para descargar la versión más reciente de este documento.

Más detalles

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guía de inicio rápido ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor

Más detalles

Guía de instalación. McAfee epolicy Orchestrator 5.3.0 Software

Guía de instalación. McAfee epolicy Orchestrator 5.3.0 Software Guía de instalación McAfee epolicy Orchestrator 5.3.0 Software COPYRIGHT Copyright 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

Bitdefender Antivirus Plus 2016 Guía de Usuario

Bitdefender Antivirus Plus 2016 Guía de Usuario GUÍA DE USUARIO Bitdefender Antivirus Plus 2016 Guía de Usuario fecha de publicación 01/29/2016 Copyright 2016 Bitdefender Advertencia legal Todos los derechos reservados. Ninguna parte de este libro puede

Más detalles

Symantec Endpoint Protection Guía de inicio

Symantec Endpoint Protection Guía de inicio Symantec Endpoint Protection Guía de inicio Symantec Endpoint Protection Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según los

Más detalles

Sophos Enterprise Manager Ayuda

Sophos Enterprise Manager Ayuda Sophos Enterprise Manager Ayuda Versión: 4.7 Edición: julio de 2011 Contenido 1 Acerca de Sophos Enterprise Manager...3 2 Descripción de la ventana de Enterprise Manager...4 3 Para empezar...12 4 Configurar

Más detalles

Sophos Anti-Virus para Mac: Home Edition. Para equipos Mac independientes con Mac OS X

Sophos Anti-Virus para Mac: Home Edition. Para equipos Mac independientes con Mac OS X Sophos Anti-Virus para Mac: Home Edition Para equipos Mac independientes con Mac OS X Versión: 9C Edición: junio de 2013 Contenido 1 Acerca de Sophos Anti-Virus...3 2 Detectar amenazas...5 3 Tratar amenazas...26

Más detalles

Symantec Network Access Control Guía de inicio

Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según

Más detalles

ESET SMART SECURITY 6

ESET SMART SECURITY 6 ESET SMART SECURITY 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Smart

Más detalles

Boot Camp Manual de instalación y configuración

Boot Camp Manual de instalación y configuración Boot Camp Manual de instalación y configuración Contenido 3 Introducción 3 Requisitos 4 Visión general de la instalación 4 Paso 1: Comprobar si hay actualizaciones 4 Paso 2: Preparar el Mac para la instalación

Más detalles

http://www.trendmicro.com/download/emea/?lng=es

http://www.trendmicro.com/download/emea/?lng=es Manual del usuario Manual del usuario Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar

Más detalles

Manual de Usuario Pack Seguridad Total

Manual de Usuario Pack Seguridad Total Manual de Usuario Pack Seguridad Total Sitúe el cursor sobre la funcionalidad que desee consultar y pulse: Antivirus PC Anti Intrusos PC Canguro Net Filtro de Correo Electrónico olvidó sus datos de acceso?

Más detalles

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guía de inicio rápido Haga un clic aquí para descargar la versión más reciente de este documento. ESET NOD32 Antivirus le proporciona

Más detalles

Guía del usuario de IRM Client for Outlook Versión 5.0 SP1

Guía del usuario de IRM Client for Outlook Versión 5.0 SP1 Guía del usuario de IRM Client for Outlook Versión 5.0 SP1 EMC Corporation Oficina central: Hopkinton, MA 01748 9103 1.508.435.1000 www.emc.com Copyright EMC Corporation. Todos los derechos reservados.

Más detalles

Manual de instalación de Kaspersky Internet Security

Manual de instalación de Kaspersky Internet Security Manual de instalación de Kaspersky Internet Security A continuación se describe paso a paso la descarga e instalación del antivirus KIS (Kaspersky Internet Security). DESCARGAR EL INSTALADOR Abrir el navegador

Más detalles

Formación del Usuario Manual de Windows XP

Formación del Usuario Manual de Windows XP Formación del Usuario Manual de Windows XP Índice ÍNDICE... 2 1. INTRODUCCIÓN... 3 2. PANTALLA... 3 2.1. TEMAS... 3 2.2. ESCRITORIO... 4 2.3. PROTECTOR DE PANTALLA... 4 2.4. APARIENCIA... 5 2.5. CONFIGURACIÓN...

Más detalles

ESET CYBER SECURITY PRO para Mac Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento.

ESET CYBER SECURITY PRO para Mac Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento. ESET CYBER SECURITY PRO para Mac Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento. ESET Cyber Security Pro proporciona protección de última generación para

Más detalles

Uso de Avaya Aura Messaging

Uso de Avaya Aura Messaging Uso de Avaya Aura Messaging 6.0 Junio de 2010 2010 Avaya Inc. Todos los derechos reservados. Aviso Si bien se hicieron esfuerzos razonables para asegurar que la información contenida en este documento

Más detalles

Norton Security. Manual del producto

Norton Security. Manual del producto Norton Security Manual del producto Cuida el medio ambiente: "Es lo que hay que hacer". Symantec ha quitado la cubierta de este manual para reducir el impacto de nuestros productos en el medio ambiente.

Más detalles

McAfee Data Loss Prevention Discover 9.4.0

McAfee Data Loss Prevention Discover 9.4.0 Notas de la versión Revisión B McAfee Data Loss Prevention Discover 9.4.0 Para uso con McAfee epolicy Orchestrator Contenido Acerca de esta versión Funciones Productos compatibles Instrucciones de instalación

Más detalles

Kaspersky Anti-Virus 2013 Guía del usuario

Kaspersky Anti-Virus 2013 Guía del usuario Kaspersky Anti-Virus 2013 Guía del usuario VERSIÓN DE LA APLICACIÓN: 13.0 Estimado usuario: Gracias por escoger nuestro producto. Esperamos que este documento le sea de ayuda en su trabajo y le ofrezca

Más detalles

Ontinet.com, S.L. - Teléfono: +34 902.33.48.33 - Fax: +34 96.191.03.21 - www.eset.es - Página:

Ontinet.com, S.L. - Teléfono: +34 902.33.48.33 - Fax: +34 96.191.03.21 - www.eset.es - Página: 2 3 4 5 6 7 Páginas de ayuda Apreciado usuario, nos complace darle la bienvenida a nuestra comunidad de usuarios de ESET NOD32 Antivirus. Creemos que la información que encontrará en nuestras páginas de

Más detalles

Introducción. Introducción a NTI Shadow. Información general de la pantalla de Bienvenida

Introducción. Introducción a NTI Shadow. Información general de la pantalla de Bienvenida Introducción Introducción a NTI Shadow Bienvenido a NTI Shadow. Nuestro software permite a los usuarios programar trabajos de copia de seguridad continuos que copian el contenido de una o más carpetas

Más detalles

Guía del usuario para Norton 360 Online

Guía del usuario para Norton 360 Online Guía del usuario Guía del usuario para Norton 360 Online Versión de la documentación 1.0 Copyright 2007 Symantec Corporation. Reservados todos los derechos. El Software y la Documentación otorgados bajo

Más detalles

Guía de Instalación y Administración

Guía de Instalación y Administración Guía de Instalación y Administración Contenido Introducción...2 Instalación del programa... 3 Confirmación de los requisitos de instalación... 5 Instalación en una PC... 6 Instalación en red... 7 Instalación

Más detalles

Sophos Endpoint Security and Control Ayuda

Sophos Endpoint Security and Control Ayuda Sophos Endpoint Security and Control Ayuda Versión: 10,6 Edición: febrero de 2016 Contenido 1 Acerca de Sophos Endpoint Security and Control...5 2 Acerca de la página de inicio...6 3 Grupos de Sophos...7

Más detalles

Consulte la parte posterior para obtener información sobre la instalación rápida.

Consulte la parte posterior para obtener información sobre la instalación rápida. Guía del usuario Consulte la parte posterior para obtener información sobre la instalación rápida. Somos los líderes mundiales en protección contra amenazas online. Cuida el medio ambiente: Es lo que hay

Más detalles

Sophos Mobile Control Ayuda de usuario

Sophos Mobile Control Ayuda de usuario Sophos Mobile Control Ayuda de usuario Versión: 6.1 Edición: mayo de 2016 Contenido 1 Acerca de esta ayuda...4 2 Acerca de Sophos Mobile Control...5 3 Iniciar sesión en el portal de autoservicio...6 3.1

Más detalles

Antivirus PC (motor BitDefender) Manual de Usuario

Antivirus PC (motor BitDefender) Manual de Usuario Antivirus PC (motor BitDefender) Manual de Usuario Índice 1. Introducción... 3 2. Qué es Antivirus PC?... 3 a. Eficacia... 3 b. Actualizaciones... 4 3. Requisitos técnicos... 4 a. Conocimientos técnicos...

Más detalles

Worry-Free TM Remote Manager TM 1

Worry-Free TM Remote Manager TM 1 Worry-Free TM Remote Manager TM 1 for Small and Medium Business Guía de instalación del agente Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que

Más detalles

Boot Camp Beta 1.0.2 Guía de instalación y configuración

Boot Camp Beta 1.0.2 Guía de instalación y configuración Boot Camp Beta 1.0.2 Guía de instalación y configuración 1 Contenido 4 Introducción 5 Paso 1: Actualización del software de sistema y el firmware del ordenador 6 Paso 2: Utilización del Asistente Boot

Más detalles

Symantec Enterprise Vault

Symantec Enterprise Vault Symantec Enterprise Vault Guía para usuarios de Microsoft Outlook 2003/2007 10.0 Complemento de Outlook Light Symantec Enterprise Vault: Guía para usuarios de Microsoft Outlook 2003/2007 El software descrito

Más detalles

Guía de producto. Seguridad Negocios. Triara.com SA de CV. Todos los derechos reservados

Guía de producto. Seguridad Negocios. Triara.com SA de CV. Todos los derechos reservados Guía de producto Seguridad Negocios Triara.com SA de CV Todos los derechos reservados Esta guía no puede ser reproducido ni distribuida en su totalidad ni en parte, en cualquier forma o por cualquier medio,

Más detalles

Guía Rápida de Instalación

Guía Rápida de Instalación Microsoft Windows Vista / XP / 2000 / 2003 Guía Rápida de Instalación Protegemos su Mundo Digital ESET NOD32 Antivirus ESET NOD32 Antivirus ofrece protección de última generación para su equipo contra

Más detalles

Guía del administrador 2015-04-30

Guía del administrador 2015-04-30 Guía del administrador 2015-04-30 Contents Capítulo 1: Introducción a Mozy...7 Descripción de Mozy...7 Conceptos clave de Mozy...8 Funciones y prestaciones...9 Consola de administración...10 Iniciar sesión

Más detalles

Manual de inicio para Windows

Manual de inicio para Windows Intralinks VIA Versión 2.0 Manual de inicio para Windows Soporte técnico de Intralinks a cualquier hora de cualquier día del año EE. UU.: +1 212 543 7800 Reino Unido: +44 (0) 20 7623 8500 Consulte los

Más detalles

Guía rápida de instalación

Guía rápida de instalación Guía rápida de instalación Microsoft Windows Vista / XP / 2000 / 2003 / 2008 Protegemos su Mundo Digital ESET NOD32 Antivirus le provee a su computadora protección de última generación contra códigos maliciosos.

Más detalles

McAfee Total Protection for Endpoint Guía de evaluación

McAfee Total Protection for Endpoint Guía de evaluación McAfee Total Protection for Endpoint Guía de evaluación COPYRIGHT Copyright 2009 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento

Más detalles

Guía del producto. McAfee Enterprise Security Manager 9.5.0

Guía del producto. McAfee Enterprise Security Manager 9.5.0 Guía del producto McAfee Enterprise Security Manager 9.5.0 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES

Más detalles

BlackBerry Link para Windows. Versión: 1.1.1. Guía del usuario

BlackBerry Link para Windows. Versión: 1.1.1. Guía del usuario BlackBerry Link para Windows Versión: 1.1.1 Guía del usuario Publicado: 2013-07-22 SWD-20130722150052226 Contenido Introducción... 5 Acerca deblackberry Link... 5 Conozca BlackBerry Link...5 Conectar a

Más detalles