McAfee Total Protection for Endpoint Guía de evaluación

Transcripción

1 McAfee Total Protection for Endpoint Guía de evaluación

2 COPYRIGHT Copyright 2009 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus empresas filiales. ATRIBUCIONES DE MARCAS COMERCIALES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. Atribuciones de licencia Consulte las Notas de versión del producto. 2

3 Contenido Introducción a McAfee Total Protection for Endpoint Antes de la instalación Requisitos para servidores Idiomas de sistemas operativos admitidos Instalación de la familia McAfee Total Protection for Endpoint Inicio de una sesión en epolicy Orchestrator Configuración del servidor de epolicy Orchestrator Cómo agregar sistemas para administrar Configuración de directivas para endpoints Configuración de directivas para servidores de correo Definición de tareas para endpoints (o extremos) Despliegue de McAfee Agent Uso de paneles y consultas Resumen Referencias

4 Introducción a McAfee Total Protection for Endpoint Bienvenido a McAfee Total Protection for Endpoint. Esta solución incorpora la mejor y más completa herramienta de seguridad de McAfee para endpoints, correo electrónico, Web y datos. En lugar de comprar y mantener varios componentes de seguridad de distintos proveedores, con McAfee Total Protection for Endpoint ahorra tiempo, dinero y disfruta de una protección más efectiva e integrada frente a las amenazas que las empresas conocen, así como las que no se ven venir. Esta guía está organizada de manera que pueda evaluar McAfee Total Protection for Endpoint en un entorno piloto formado por un servidor de epolicy Orchestrator (epo ) y varios equipos cliente. La guía cubre los pasos básicos necesarios para instalar epolicy Orchestrator de forma rápida, configurar directivas y tareas básicas, y desplegar los siguientes productos de McAfee para proteger los equipos cliente: VirusScan Enterprise 8.7i AntiSpyware Enterprise 8.7 Host Intrusion Prevention 7.0 SiteAdvisor Enterprise Plus 2.0 GroupShield 7.0 La guía incluye ejemplos de pasos que se realizan en un despliegue real. No cubre todos los escenarios de despliegue posibles ni examina cada una de las funciones. Para obtener información completa sobre todos los aspectos relacionados con estos productos incluidos en Total Protection for Endpoint, consulte las guías de los productos correspondientes. La documentación completa de los productos está disponible en la base de datos McAfee KnowledgeBase. En Support by Reading (Soporte - Leer), haga clic en Product Documentation (Documentación del producto), elija un producto y una versión y, a continuación, un documento. Descripciones de productos Los productos de Total Protection for Endpoint se clasifican en las siguientes categorías: Soluciones de administración Protección de endpoints (o extremos) Protección de servidores de correo electrónico Soluciones de administración Total Protection for Endpoint incluye los siguientes productos como soluciones de administración. 4

5 Introducción a McAfee Total Protection for Endpoint Producto McAfee epolicy Orchestrator McAfee Agent Descripción epolicy Orchestrator es la solución líder del sector para la administración de la seguridad de sistemas. Ofrece una defensa coordinada y proactiva frente a amenazas y ataques maliciosos. epolicy Orchestrator combina opciones inigualables de control global mediante directivas con un único agente y una consola central, con la generación de informes personalizados que facilitan la administración de su entorno de seguridad de los sistemas. McAfee Agent es la plataforma del lado cliente que soporta la infraestructura de administración de seguridad de McAfee. Ofrece comunicación segura entre productos individuales gestionados y epolicy Orchestrator, y entre lo servicios locales y los productos gestionados. Como plataforma, McAfee Agent permite a los productos gestionados centrarse en la implementación de sus directivas, y proporciona además un amplio conjunto de servicios que incluyen el registro, comunicación y almacenamiento de directivas. Protección de endpoints (o extremos) Total Protection for Endpoint incluye los siguientes productos para la protección de endpoints o extremos. Producto McAfee VirusScan Enterprise 8.7i McAfee AntiSpyware Enterprise 8.7 McAfee Host Intrusion Prevention 7.0 McAfee SiteAdvisor Enterprise Plus 2.0 Descripción VirusScan Enterprise, nombre de confianza en el sector de la seguridad, es líder en la protección avanzada y proactiva para equipos de sobremesa y servidores. Las empresas confían en las funciones principales de VirusScan Enterprise durante un brote, como: limpieza de la memoria, rootkits, el registro y los archivos, así como prevención de la propagación de código malicioso a otros sistemas. VirusScan Enterprise contiene además funciones antivirus, de prevención de intrusiones y de cortafuegos, para proteger frente a ataques conocidos y desconocidos. AntiSpyware Enterprise Module, la solución de software antispyware para empresas líder del sector, que utiliza análisis en tiempo real verdadero para identificar, bloquear de forma proactiva y eliminar con seguridad programas potencialmente no deseados (PUP), con el fin de mantener siempre el funcionamiento óptimo de la actividad empresarial. Administrado de forma central con epolicy Orchestrator, McAfee AntiSpyware Enterprise Module se integra perfectamente con VirusScan Enterprise, reduciendo los trastornos causados por amenazas y PUP. Host Intrusion Prevention supervisa y bloquea las intrusiones, gracias a la combinación de protección mediante análisis de comportamientos y firmas a través de un cortafuegos de sistemas. La protección de los activos mejora la disponibilidad, confidencialidad e integridad de los procesos empresariales. Un único agente simplifica el despliegue, la configuración y la administración, y la aplicación de parches es menos frecuente y menos urgente. SiteAdvisor Enterprise Plus permite a los empleados navegar y realizar búsquedas en la Web de forma segura, ya que bloquea el spyware, el adware y los timos de phishing, entre otras amenazas. Integrado en las soluciones de McAfee, la tecnología de SiteAdvisor Enterprise añade la seguridad Web a su solución de protección global, ofreciendo orientación y protección a los usuarios frente a la amenazas online. Protección de servidores de correo electrónico Total Protection for Endpoint incluye los siguientes productos para la protección de servidores de correo. 5

6 Introducción a McAfee Total Protection for Endpoint Producto McAfee GroupShield 7.0 McAfee Anti-Spam for GroupShield 7.0 Descripción GroupShield protege los mensajes de correo electrónico y otros documentos cuando entran y salen de su servidor de Microsoft Exchange y Lotus Domino. GroupShield realiza análisis de virus de forma proactiva, administra los brotes automáticamente e impide que el código malicioso perturbe la actividad de sus sistemas. El filtro de contenido de GroupShield bloquea o pone en cuarentena los mensajes que contienen palabras y frases concretas que infringen las reglas de contenido. Anti-Spam for GroupShield bloquea el spam de sus servidores de correo de Microsoft Exchange y Lotus Domino. De esta forma, se mejora la productividad de los empleados, al tiempo que se evitan los timos de phishing para evitar la divulgación de la información confidencial por parte de los empleados. Anti-Spam se integra con McAfee GroupShield para limitar el uso de recursos en los servidores de correo, que suelen estar sobrecargados. Cuando esté listo para desplegar en su entorno productos como VirusScan Enterprise o Host Intrusion Prevention, utilizará epolicy Orchestrator y McAfee Agent para llevar a cabo el despliegue y realizar las actualizaciones. McAfee recomienda que utilice el flujo de trabajo que se describe en las siguientes secciones para comenzar a utilizar la solución. 6

7 Antes de la instalación Antes de comenzar la instalación de McAfee Total Protection for Endpoint, compruebe que todos los componentes cumplen los requisitos mínimos del sistema, que se detallan a continuación. Requisitos para servidores Requisitos mínimos de hardware y de red Espacio libre en disco: 1 GB como mínimo; se recomiendan 2 GB. Memoria: 1 GB de RAM disponible; se recomiendan 2-4 GB. Procesador: Intel Pentium III o superior; 1 GHz como mínimo. Monitor: monitor VGA de 1024 x 768, con 256 colores. NIC: tarjeta de interfaz de red; 100 MB como mínimo. Sistema de archivos: se recomienda una partición NTFS (sistema de archivos NT). Dirección IP: McAfee recomienda el uso de direcciones IP fijas para los servidores de epolicy Orchestrator. Requisitos de software Sistema operativo tipo servidor Windows 2000 Server con Service Pack 4 o posterior. Windows 2000 Advanced Server con Service Pack 4 o posterior. Windows Server 2003 Enterprise con Service Pack 1 o posterior. Windows Server 2003 Standard con Service Pack 1 o posterior. Windows Server 2003 Web con Service Pack 1 o posterior. Windows Server 2003 R2 Enterprise. Windows Server 2003 R2 Standard. Windows Server Navegador Microsoft Internet Explorer 6.0 con Service Pack 1 o posterior. Microsoft Internet Explorer 7.0 Si utiliza un servidor proxy, omítalo: 1 En Internet Explorer, seleccione Opciones de Internet en el menú Herramientas. 2 Seleccione la ficha Conexiones y, a continuación, haga clic en Configuración de LAN. 7

8 Antes de la instalación Idiomas de sistemas operativos admitidos 3 Seleccione Usar un servidor proxy para la LAN y después No usar servidor proxy para direcciones locales. 4 Haga clic en Aceptar cuantas veces necesite hasta cerrar Opciones de Internet. Controladoras de dominio: el software epolicy Orchestrator puede gestionar sistemas en un grupo de trabajo o bien en un dominio de Windows. En las instrucciones de instalación que se incluyen a continuación, utilizaremos los dominios de Windows. Para ello, el servidor debe ser un miembro de su dominio de Windows. Para obtener instrucciones, consulte la documentación del producto de Microsoft. Software de seguridad Instale y/o actualice el software antivirus en el servidor de epolicy Orchestrator y analice el sistema en busca de virus. ATENCIÓN: Si ejecuta VirusScan Enterprise 8.5i o 8.7i en el sistema en el que está instalando epolicy Orchestrator, debe comprobar que las reglas de protección de acceso de VSE están desactivadas durante el proceso de instalación. En caso contrario, no se realizará la instalación. Instale y/o actualice el software de cortafuegos del servidor de epolicy Orchestrator. Consideraciones acerca de la base de datos Antes de instalar epo, es necesario tener instalada una base de datos. De forma predeterminada, el programa de instalación instala la base de datos SQL Server 2005 Express y, a continuación, el software epolicy Orchestrator en el mismo servidor. Sin embargo, epo funciona también con otras bases de datos, como MSDE 2000, SQL 2000 o SQL 2005 Server. Para obtener más información, consulte la Guía de instalación de epo 4.0. Otros requisitos de software Software MSXML 6.0 Internet Explorer 6 SP1 o posterior.net Framework 2.0 MDAC 2.8 SQL Server 2005 Backward Compatibility Nota Si no se ha instalado con anterioridad, el asistente de instalación lo instala automáticamente. Se debe adquirir e instalar. Si no se ha instalado con anterioridad, el asistente de instalación lo instala automáticamente. Si no se ha instalado con anterioridad, el asistente de instalación lo instala automáticamente. Si no se ha instalado con anterioridad, el asistente de instalación lo instala automáticamente. Idiomas de sistemas operativos admitidos Esta versión del software McAfee Total Protection for Endpoint es compatible con sistemas operativos en los siguientes idiomas: Chino (simplificado) Coreano Chino (tradicional) Español Inglés Alemán (estándar) 8

9 Antes de la instalación Idiomas de sistemas operativos admitidos Francés (estándar) Japonés 9

10 Instalación de la familia McAfee Total Protection for Endpoint Esta sección le guía por el proceso de instalación de la familia McAfee Total Protection for Endpoint con las opciones predeterminadas. El programa de instalación de la familia McAfee Total Protection for Endpoint configurará el servidor de epo e incorporará el software endpoint al repositorio de epo en una sola operación. Procedimiento 1 Desde el sitio oficial de McAfee, descargue y extraiga el contenido del software McAfee Total Protection for Endpoint en un directorio temporal en el servidor de epo o en su servidor dedicado a la administración. 2 Haga doble clic en Setup.exe. Aparece la página Bienvenido al programa de instalación de McAfee epolicy Orchestrator para la familia Total Protection for Endpoint. 3 Haga clic en Siguiente. Aparece la página Licencias de evaluación de McAfee. 4 Haga clic en Aceptar. Aparece la página Acuerdo de licencia de usuario final de McAfee. 5 Lea el Acuerdo de licencia para el usuario final y haga clic en Aceptar. Aparece la página Elegir software para evaluar con las siguientes opciones, activadas de forma predeterminada: Instalación básica Host Intrusion Prevention GroupShield para servidores de correo electrónico 6 Haga clic en Siguiente. Aparece la página Definir información de administrador. 7 Escriba el nombre de usuario y la contraseña para la cuenta del administrador de epolicy Orchestrator y haga clic en Siguiente. Aparece la página Elegir tipo de instalación. NOTA: Utilizará las mismas credenciales más adelante, para iniciar una sesión en epolicy Orchestrator. 8 Seleccione Predeterminada para instalar epolicy Orchestrator y Microsoft SQL 2005 Express en la ubicación y con la configuración predeterminada, y haga clic en Siguiente. Aparece un cuadro de diálogo de confirmación. 9 Haga clic en Aceptar para instalar Microsoft SQL 2005 Express. Aparece la página Establecer información de base de datos. 10 Identifique el tipo de cuenta y los detalles de autenticación que utiliza el servidor de epolicy Orchestrator para acceder a la base de datos. 10

11 Instalación de la familia McAfee Total Protection for Endpoint En el campo Credenciales del servidor de base de datos, seleccione el dominio de Windows en la lista desplegable, escriba el nombre del usuario del dominio y la contraseña y haga clic en Siguiente. Aparece la página Iniciar copia de archivos. NOTA: La autenticación de Windows está activada, ya que SQL Express no permite la autenticación de SA, de forma predeterminada. 11 Haga clic en Siguiente para iniciar la instalación. Aparece la página Asistente InstallShield finalizado, con las siguientes opciones activadas de forma predeterminada: Seleccione Sí, deseo ver el archivo ReadMe para ver el archivo Readme. Seleccione Sí, deseo iniciar McAfee epolicy Orchestrator ahora para iniciar la interfaz de usuario de epolicy Orchestrator. NOTA: Durante la instalación, puede aparecer un mensaje que solicite que cambie uno o varios de los números de puertos predeterminados en caso de conflicto. 12 Haga clic en Finalizar. 11

12 Inicio de una sesión en epolicy Orchestrator Este procedimiento permite iniciar una sesión en epolicy Orchestrator. Para ello, debe disponer de credenciales válidas. Procedimiento 1 Para iniciar el software epolicy Orchestrator, abra un navegador de Internet y vaya a la URL del servidor (por ejemplo: Aparece el cuadro de diálogo Iniciar sesión en epolicy Orchestrator. NOTA: También puede hacer doble clic en el icono de McAfee epolicy Orchestrator en el escritorio. 2 Escriba el Nombre de usuario y la Contraseña de una cuenta válida, creada en el Paso 7 en la sección Instalación de la familia de productos McAfee Total Protection for Endpoint. NOTA: En las contraseñas se distingue entre mayúsculas y minúsculas. 3 Seleccione el Idioma en el que desee que se muestre el software. 4 Haga clic en Iniciar sesión. 12

13 Configuración del servidor de epolicy Orchestrator El repositorio de epolicy Orchestrator es la ubicación central para todas las instalaciones de productos, actualizaciones y paquetes de firmas de McAfee. El diseño modular de epolicy Orchestrator permite agregar nuevos productos como extensiones. Esto incluye versiones nuevas o actualizadas de productos de McAfee, como VirusScan Enterprise y productos que no son de McAfee, de partners de McAfee. Los paquetes son componentes que se incorporan al repositorio principal y, a continuación, se despliegan en los sistemas cliente. Para obtener más información sobre extensiones y paquetes, consulte los siguientes temas en la Guía del producto de epolicy Orchestrator: Extensiones y sus funciones Despliegue de paquetes para productos y actualizaciones En función de las selecciones realizadas durante la instalación, el software cliente Total Protection for Endpoint se agregó al repositorio principal de epo. Para verificar la instalación, vaya al Repositorio principal. Configuración de una tarea de extracción del repositorio Para que epolicy Orchestrator mantenga actualizados sus equipos cliente, debe configurar una tarea de extracción del repositorio que recupere las actualizaciones de un sitio de McAfee (HTTP o FTP) a intervalos especificados. NOTA: Durante la instalación se crea una tarea de extracción del repositorio de forma automática. Procedimiento Este procedimiento permite crear una tarea de extracción del repositorio que agrega y actualiza el software cliente. 1 Vaya a Automatización Tareas servidor. 2 En la lista, localice la tarea Actualizar repositorio principal y, en la columna Acciones, haga clic en Editar para abrir el Generador de tareas servidor. 3 En la página Descripción, seleccione Estado de planificación Activado y, continuación, haga clic en Siguiente. 4 En la página Acciones, hay una barra gris justo debajo de la descripción de la página con el número 1. Seleccione Extracción del repositorio en la lista desplegable. 5 Seleccione Mover el paquete existente a la rama Anterior y haga clic en Siguiente. NOTA: Esta opción permite a epolicy Orchestrator mantener los archivos de firmas de más de un día. Cuando se ejecute la próxima tarea de extracción, las actualizaciones del día de hoy se mueven a un directorio del servidor llamado Anterior. De esta forma, si fuese necesario, se pueden deshacer actualizaciones. 13

14 Configuración del servidor de epolicy Orchestrator 6 En la página Planificación, elija cuándo desea que epolicy Orchestrator compruebe si hay actualizaciones disponibles en el sitio de McAfee. Planifique la tarea para que se ejecute Cada día y Sin fecha de finalización. Defina el campo Planificación como entre las 9:00 y las 23:00. En cada, seleccione dos o tres horas. SUGERENCIA: McAfee recomienda comprobar si hay actualizaciones varias veces al día para asegurarse de que se dispone del contenido más reciente. 7 Haga clic en Siguiente. 8 En la página Resumen, haga clic en Guardar. La consola vuelve a la página Tareas servidor. 9 Localice la tarea Actualizar repositorio principal y en la columna Acciones, haga clic en Ejecutar. De esta forma, se recuperan de manera inmediata las actualizaciones actuales y se abre el Registro de tareas servidor. Comprobación del estado de la tarea de extracción El Registro de tareas servidor permite ver el estado de la tarea de extracción de McAfee. Este procedimiento permite verificar que la tarea Actualizar repositorio principal ha finalizado de extraer las actualizaciones del sitio de McAfee. Procedimiento 1 Vaya a Informes Registro de tareas servidor. 2 En la lista de tareas, localice la tarea Actualizar repositorio principal. 3 La tarea ha finalizado cuando la columna Estado muestra Finalizado. 14

15 Cómo agregar sistemas para administrar El árbol de sistemas de epolicy Orchestrator organiza los sistemas gestionados en unidades para facilitar la supervisión, asignación de directivas, planificación de tareas y ejecución de acciones. Estas unidades se llaman grupos, que crean y administran los administradores globales o los usuarios con los permisos adecuados, y que pueden incluir tanto sistemas como otros grupos. Antes de comenzar a administrar las directivas para endpoints de los sistemas cliente de su red, debe agregar dichos sistemas a su árbol de sistemas. Hay varios métodos de organizar y llenar el árbol de sistemas: Organizar manualmente su árbol de sistemas; cree sus propios grupos y agregue los sistemas que desee. Sincronizar con Active Directory o con un domino NT como origen para los sistemas. En el caso de Active Directory, la sincronización también proporciona la estructura del árbol de sistemas. Crear sus propios grupos basados en intervalos de direcciones IP o subredes. Esto se conoce como clasificación basada en criterios. Importar sistemas y grupos desde un archivo de texto. El flujo de trabajo de esta sección utiliza el método manual para crear una estructura simple para evaluación. Aunque este método puede ser demasiado lento para desplegar epolicy Orchestrator en una red real, es una forma útil de agregar un número pequeño de sistemas a su red de prueba. Puede intentar otros métodos cuando se haya familiarizado con epolicy Orchestrator. Creación de grupos del árbol de sistemas Este procedimiento permite agregar grupos a su árbol de sistemas. Para este ejercicio, vamos a crear dos grupos: Servidores y Estaciones de trabajo. 1 Vaya a Sistemas Árbol de sistemas y, a continuación, haga clic en Grupo en la barra de menús. 2 Resalte Mi organización y, a continuación, haga clic en Nuevo subgrupo. 3 Escriba Grupo de prueba y haga clic en Aceptar. El nuevo grupo aparece en el árbol de sistemas. 4 Resalte Grupo de prueba, haga clic en Nuevo subgrupo, escriba Servidores y, por último, haga clic en Aceptar. 5 Repita el paso 4, pero escriba como nombre de grupo Estaciones de trabajo. Cuando vuelva a la página Grupo, resalte Grupo de prueba. Los grupos Servidores y Estaciones de trabajo aparecen en la página Grupo. El orden de clasificación debe ser igual al utilizado para crear los grupos. Cómo agregar sistemas a los grupos del árbol de sistemas Este procedimiento permite agregar manualmente algunos sistemas de prueba a su árbol de sistemas de epo. 15

16 Cómo agregar sistemas para administrar 1 En el árbol de sistemas, resalte el grupo Estación de trabajo y haga clic en Sistemas nuevos. 2 En Cómo agregar sistemas, seleccione Agregar sistemas al grupo actual, pero no desplegar los agentes. 3 Junto a Sistemas que se van a añadir, escriba en el cuadro de texto los nombres NetBIOS de cada sistema separados por comas, espacios o saltos de línea. También puede hacer clic en Examinar para seleccionar sistemas. 4 Compruebe que la opción Clasificación del árbol de sistemas está desactivada. 5 Haga clic en Aceptar. 6 En caso necesario, repita estos pasos para agregar sistemas al grupo Servidores. Organización de los nuevos sistemas en los grupos Los procedimientos descritos en las secciones anteriores le han permitido tener varios grupos y sistemas en su árbol de directorios. En un entorno de producción real, los nuevos sistemas contactan con el servidor de epolicy Orchestrator y es necesario situarlos en el árbol de sistemas. Esto ocurre si ha instalado McAfee Agent en los nuevos sistemas, mediante Rogue System Detection o a través de otro método. En estos casos, los sistemas se sitúan en el grupo Recolector. epolicy Orchestrator dispone de una magnífica función de clasificación de grupos que permite definir reglas sobre la forma en la que se clasifican los sistemas en el árbol de sistemas la primera vez que contactan con el servidor de epo. Para obtener más información sobre esta función, consulte Clasificación basada en criterios en la Guía del producto de epolicy Orchestrator 4.0. En este ejercicio, creará una regla de clasificación de sistemas basada en etiquetas. epolicy Orchestrator crea dos etiquetas predeterminadas, Servidor y Estación de trabajo, que puede utilizar. La regla de clasificación no funciona hasta que un sistema que no se encuentra en el árbol de sistemas contacta con el servidor de epo. Asimismo, puede planificar la regla de clasificación o ejecutarla manualmente. Procedimiento Este procedimiento permite crear una regla de clasificación basada en etiquetas personalizadas. 1 Vaya a Sistemas Árbol de sistemas y, a continuación, haga clic en Grupo en la barra de menús. 2 Resalte Grupo de prueba. 3 En la parte superior de la página Grupo, localice la etiqueta Criterios de clasificación y haga clic en Editar. 4 Seleccione Sistemas que coinciden con alguno de los criterios (direcciones IP y/o etiquetas). La página se amplía y aparecen otras opciones. 5 Haga clic en Agregar etiqueta. 6 En el menú desplegable, seleccione Servidor, haga clic en el signo más (+) y, a continuación, seleccione Estación de trabajo. 7 Haga clic en Guardar. 8 En el árbol de sistemas, resalte Mi organización. 9 En la lista Orden de clasificación, busque la entrada para Grupo de prueba. En la columna Acciones, haga clic en Subir hasta que el grupo se encuentre al principio de la lista. A partir de este momento, este grupo es el primero que se evaluará cuando se incorporen nuevos sistemas al árbol de sistemas. 16

17 Cómo agregar sistemas para administrar Información adicional sobre el árbol de sistemas Puede utilizar muchos tipos de agrupaciones para organizar su árbol de sistemas. Además de los grupos, puede agregar etiquetas a los sistemas para identificarlos mejor, empleando una característica basada en las propiedades de los sistemas. 17

18 Configuración de directivas para endpoints Las directivas se utilizan para definir la configuración de los distintos productos de Total Protection for Endpoint que se ejecutan en los sistemas cliente, como el agente McAfee Agent y VirusScan Enterprise. Para que las directivas reflejen las opciones de configuración y las exclusiones que necesita, McAfee recomienda crearlas antes de realizar las asignaciones de directivas. Resulta útil asignarle a la directiva un nombre que describa su función. La creación de "directivas con nombre" facilita su aplicación en función del papel o función de los sistemas. En esta sección se incluyen procedimientos para realizar algunos cambios de directivas, que pueden resultar útiles en un entorno de producción, para el agente McAfee Agent, VirusScan Enterprise, Host Intrusion Prevention y SiteAdvisor Enterprise. Los procedimientos representan las configuraciones mínimas de directivas recomendadas. Cuando conozca mejor estas aplicaciones, hay muchas otras opciones de directivas que debería contemplar. Si ha instalado todos los productos de Total Protection for Endpoint, McAfee recomienda que realice todos los procedimientos que se incluyen en esta sección. Creación de directivas para el agente McAfee Agent A la hora de evaluar McAfee Total Protection for Endpoint, resulta útil cambiar la directiva del agente McAfee Agent para ver el icono de la bandeja del sistema en los sistemas cliente. De esta forma, podrá ver el Monitor de estado del agente. Otra razón por la que conviene cambiar la directiva del agente McAfee Agent podría ser la presencia de conexiones WAN lentas a oficinas remotas o un gran número de nodos gestionados. Por ejemplo, podría determinar que los sistemas que se comunican a través de vínculos más lentos contacten con epolicy Orchestrator cada 180 minutos, lo que supone hacerlo ocho veces al día en lugar de 24, que es el valor predeterminado. Para este caso, podría crear una directiva llamada "Ancho de banda bajo" o "Sondeo cada 3 horas", y cambiar la opción Intervalo de comunicación agente-servidor a 180 en lugar de 60, que es el valor predeterminado. Procedimiento Este procedimiento permite crear una directiva que muestra el agente McAfee Agent en los sistemas cliente: 1 Vaya a Sistemas Catálogo de directivas. 2 En el menú desplegable Producto, seleccione McAfee Agent. 3 En la línea que incluye McAfee Default, haga clic en Duplicar. 4 En el campo Nombre, escriba Mostrar icono del agente y haga clic en Aceptar. 5 En la línea que muestra la nueva directiva, haga clic en Editar. 6 Seleccione el cuadro junto a Mostrar el icono de McAfee en la bandeja del sistema (sólo Windows) y haga clic en Guardar. 18

19 Configuración de directivas para endpoints epolicy Orchestrator ofrece la opción de acceder al registro del agente McAfee Agent en cada sistema de forma remota. Consulte la Guía del producto de epolicy Orchestrator para obtener detalles sobre esta útil herramienta de solución de problemas. Creación de directivas para VirusScan Enterprise En esta sección se incluyen tres ejemplos de directivas de VirusScan Enterprise. El primero está diseñado para impedir que los usuarios realicen cambios en la configuración de VirusScan en sus sistemas gestionados. El segundo establece exclusiones de base de datos en los servidores. El tercero modifica de forma temporal las directivas de programas no deseados. Boqueo de la consola local de VirusScan Este procedimiento permite modificar las directivas de la interfaz de usuario de VirusScan Enterprise para impedir que lo usuarios alteren la interfaz local de VirusScan. VirusScan Enterprise se ejecuta tanto en estaciones de trabajo como en servidores; por lo tanto, las directivas de VirusScan tienen configuraciones distintas para cada plataforma. En este caso, suponemos que únicamente desea realizar cambios en la configuración de estaciones de trabajo. 1 Vaya a Sistemas Catálogo de directivas. 2 En el menú desplegable Producto, seleccione VirusScan Enterprise En el menú desplegable Categoría, seleccione Directivas de la interfaz de usuario. 4 En la línea que incluye McAfee Default, haga clic en Duplicar. 5 En el campo Nombre, escriba Bloquear consola de VSE y haga clic en Aceptar. 6 En la línea que muestra la nueva directiva, haga clic en Editar. 7 En la barra de menús, haga clic en Opciones de contraseña. 8 Asegúrese de que la opción Configuración para es Estación de trabajo. 9 En Contraseña de la interfaz de usuario, seleccione Protección con contraseña para todos los elementos de la lista. 10 Indique una contraseña en los campos correspondientes y haga clic en Guardar. Creación de exclusiones de archivos en un servidor Este procedimiento permite crear una directiva de VirusScan que excluye dos archivos de bases de datos hipotéticos en un servidor. La creación de estos tipos de exclusiones de análisis es una práctica habitual en muchas bases de datos y servidores de correo. 1 Vaya a Sistemas Árbol de sistemas y, a continuación, haga clic en Directivas en la barra de menús. 2 En el menú desplegable Producto, seleccione VirusScan Enterprise Amplíe Grupo de prueba y haga clic en el grupo Servidores. Esta directiva puede configurarse antes de agregar sistemas a este grupo. 4 A la derecha de Directivas de procesos predeterminados en tiempo real, haga clic en Editar asignación. 5 En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. 6 En Directiva asignada, haga clic en Nueva directiva. 7 En el cuadro de diálogo Crear una nueva directiva, escriba Exclusiones AV de base de datos y haga clic en Aceptar. Se abre el editor de directivas. 8 En el menú desplegable Configuración para, seleccione Servidor. 9 En la barra de menús, haga clic en Exclusiones. 10 En Elementos excluidos del análisis, haga clic en Agregar. 19

20 Configuración de directivas para endpoints 11 En el cuadro de diálogo, seleccione Por patrón y escriba data.mdf y, a continuación, haga clic en Aceptar. Haga clic en Agregar de nuevo y escriba data.ldf como otra exclusión y, a continuación, haga clic en Aceptar. En este procedimiento únicamente se especifica el nombre de archivo. En un entorno real, es posible que desee especificar la ruta completa para restringir las exclusiones. 12 Cuando ambas exclusiones aparezcan en la lista, haga clic en Guardar. 13 En el menú desplegable, Directiva asignada, seleccione Exclusiones AV de base de datos y, a continuación, haga clic en Guardar. Utilice el ejemplo de Microsoft Exchange Server; el vínculo lleva a las exclusiones recomendadas de Microsoft al ejecutar un análisis antivirus a nivel de archivos en Exchange 2007: Aunque un poco más extensa en cuanto al número de exclusiones, una directiva de VirusScan para el caso de Microsoft Exchange Server se configuraría de la misma forma que se ilustra en este ejemplo. Creación de directivas para el módulo AntiSpyware Enterprise Cuando se instala el módulo AntiSpyware, se activa de forma inmediata, y limpia o elimina los programas potencialmente no deseados (PUP) que encuentra. Aunque detecta y limpia el spyware y el adware, es posible que haya otros PUP que no desee que elimine como, por ejemplo, las herramientas administrativas del departamento de informática. Por ejemplo, es posible que disponga de herramientas administrativas remotas, analizadores de puertos o utilidades de descifrado de contraseñas que el personal informático utiliza. Muchas de estas herramientas son de uso legítimo en la red por parte de los administradores. En esta sección se presenta una metodología para la detección de programas potencialmente no deseados en la red con objeto de descubrir los que hay, crear exclusiones para todos los que tengan fines legítimos y configurar el analizador para bloquear el resto. En este procedimiento se modifica la configuración de análisis en tiempo real de VirusScan para registrar los PUP que encuentra, pero sin eliminarlos. VirusScan sigue detectando y limpiando virus, gusanos, caballos de Troya y otros programas potencialmente no deseados. El objetivo es buscar los PUP en "modo de auditoría" durante unos días o una semana, examinar los informes de detecciones de PUP en epolicy Orchestrator e identificar las exclusiones necesarias. Más adelante, tendrá la oportunidad de modificar la asignación de la directiva de manera que vuelva a limpiar los PUP. Procedimiento Este procedimiento permite modificar la directiva de análisis en tiempo real de VirusScan de manera que se auditen los PUP en los sistemas gestionados. 1 Vaya a Sistemas Catálogo de directivas. 2 En el menú desplegable Producto, seleccione VirusScan Enterprise En la columna Categoría, seleccione Directivas de procesos predeterminados en tiempo real. 4 En la línea que incluye McAfee Default, haga clic en Duplicar. 5 En el campo Nombre, escriba Auditoría para PUP y haga clic en Aceptar. 6 En la línea que muestra la nueva directiva, haga clic en Editar. 7 En el menú desplegable Configuración para, seleccione Estación de trabajo. 8 En la barra de menús, haga clic en Acciones. 20

21 Configuración de directivas para endpoints 9 En Cuando se detecte un programa no deseado, seleccione Permitir el acceso a los archivos en el menú desplegable, como primera acción que se va a realizar. Esto desactiva la acción secundaria. 10 Haga clic en Guardar. Creación de directivas para SiteAdvisor Enterprise Plus En esta sección, tendrá la oportunidad de crear una directiva Acciones de clasificación y una directiva Mensaje de aplicación de SiteAdvisor Enterprise Plus. Creación de una directiva Acciones de clasificación Este procedimiento permite crear una nueva directiva para bloquear el acceso de los usuarios a sitios que contengan amenazas, o advertir sobre amenazas potenciales en los sitios. Las opciones para la directiva de Acciones de clasificación permiten utilizar las clasificaciones de SiteAdvisor (verde, amarillo, rojo o no clasificado) para determinar si los usuarios pueden acceder a un sitio o a los recursos de un sitio, como a la descarga de archivos. Para cada sitio amarillo, rojo o no clasificado, especifique permitir, bloquear o advertir sobre este sitio. Para cada archivo de descarga amarillo, rojo o no clasificado, especifique permitir, bloquear o advertir sobre la descarga. Esto proporciona un gran nivel de precisión a la hora de proteger a los usuarios contra archivos individuales que podrían suponer una amenaza en sitios con una clasificación general verde. Para cada página de phishing, especifique si se bloquea o se permite el acceso. Esto proporciona un gran nivel de precisión a la hora de proteger a los usuarios contra páginas que emplean técnicas de phishing en sitios con una clasificación general verde. Procedimiento 1 Vaya a Sistemas Catálogo de directivas. 2 En el menú desplegable Producto, seleccione SiteAdvisor Enterprise Plus. 3 En el menú desplegable Categoría, seleccione Acciones de clasificación. 4 En la línea que incluye McAfee Default, haga clic en Duplicar. 5 En el campo Nombre, escriba Directiva de acciones de clasificación y haga clic en Aceptar. 6 En la línea que muestra la nueva directiva, haga clic en Editar. 7 Para la directiva de acciones de clasificación en lo relativo a la navegación de sitios, defina Advertir para los sitios clasificados como amarillo, Bloquear para los clasificados como rojo y Advertir para los sitios no clasificados. 8 Haga clic en Guardar. Creación de una directiva Mensaje de aplicación Este procedimiento permite crear una nueva directiva para personalizar los mensajes que ven los usuarios cuando intentan acceder a un sitio en el que se ha asociado una acción mediante la clasificación de sitios. Este mensaje aparece en globos de seguridad y en páginas asignadas con la acción Advertir o Bloquear. Procedimiento 1 Vaya a Sistemas Catálogo de directivas. 2 En el menú desplegable Producto, seleccione SiteAdvisor Enterprise Plus. 3 En el menú desplegable Categoría, seleccione Mensajes de aplicación. 4 En la línea que incluye McAfee Default, haga clic en Duplicar. 5 En el campo Nombre, escriba Directiva de mensajes de aplicación y haga clic en Aceptar. 21

22 Configuración de directivas para endpoints 6 En la línea que muestra la nueva directiva, haga clic en Editar. 7 Haga clic en la ficha Sitio. 8 Seleccione un idioma. 9 Escriba un mensaje de un máximo de 50 caracteres para estas circunstancias: Para los sitios que ha configurado con la acción Advertir, escriba un mensaje de advertencia. Para los sitios que ha configurado con la acción Bloquear, escriba un mensaje de "acceso bloqueado". Para los sitios que ha configurado con la acción Permitir, escriba un mensaje de "acceso permitido". 10 Haga clic en Guardar. Asignación de directivas a sistemas Ya dispone de varias directivas para asignar a los sistemas del árbol de sistemas. Ahora tendrá la oportunidad de asignar todas las directivas desde la interfaz del árbol de sistemas. 1 Vaya a Sistemas Árbol de sistemas y, a continuación, haga clic en Directivas en la barra de menús. 2 Resalte Grupo de prueba. 3 Asigne la directiva de McAfee Agent: En el menú desplegable Producto, seleccione McAfee Agent. En la línea que incluye My Default, haga clic en Editar asignación. En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. En el menú desplegable Directiva asignada, seleccione Mostrar icono del agente. Haga clic en Guardar. 4 Asigne las directivas de SiteAdvisor Enterprise Plus: En el menú desplegable Producto, seleccione SiteAdvisor Enterprise Plus. En la línea que incluye Acciones de clasificación, haga clic en Editar asignación. En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. En el menú desplegable Directiva asignada, seleccione Directiva de acciones de clasificación. Haga clic en Guardar. En la línea que incluye Mensajes de aplicación, haga clic en Editar asignación. En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. En el menú desplegable Directiva asignada, seleccione Directiva de mensajes de aplicación. Haga clic en Guardar. 5 Asigne las directivas de VirusScan Enterprise: NOTA: Cuando creó la directiva Exclusiones AV de base de datos, la asignó al grupo Servidores. 22

23 Configuración de directivas para endpoints En el menú desplegable Producto, seleccione VirusScan Enterprise En la línea que incluye Directivas de la interfaz de usuario, haga clic en Editar asignación. En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. En el menú desplegable Directiva asignada, seleccione Bloquear consola de VSE. Haga clic en Guardar. En el menú desplegable Directiva asignada, seleccione Directivas de procesos predeterminados en tiempo real y, continuación, seleccione Auditoría para PUP. Haga clic en Guardar. Cuando vuelva a la página Directivas, verá que Directivas de procesos predeterminados en tiempo real tiene una entrada en al columna Herencia interrumpida. La razón es que ya ha asignado la directiva Exclusiones AV de base de datos al grupo Servidores. Directivas de Host Intrusion Prevention McAfee Host Intrusion Prevention ofrece tres tipos de protección: IPS, Cortafuegos y Bloqueo de aplicaciones. En la instalación predeterminada, la protección IPS está definida para Prevenir intrusiones de gravedad alta, y las directivas de cortafuegos y de bloqueo de aplicaciones están desactivadas. Esto proporciona protección inmediata que amplía las capacidades básicas de desbordamiento del búfer devirusscan Enterprise y protege contra muchas de las vulnerabilidades de Microsoft, sin obstaculizar el funcionamiento de la empresa. En esta sección se describe la utilización de una directiva de cortafuegos básica y se ofrece ayuda sobre otras reglas que podría aplicar o ajustar. Las directivas de reglas de cortafuegos contienen las reglas Permitir o Bloquear que controlan el flujo de tráfico en los equipos protegidos. McAfee facilita los procedimientos iniciales relacionados con la protección de cortafuegos para endpoints; para ello incluye varias directivas preconfiguradas en Host Intrusion Prevention. La directiva "Entorno empresarial típico" se puede utilizar como directiva de cortafuegos de base. Se trata de una directiva completa que cubre las necesidades de la mayoría de las organizaciones. Utilice esta directiva como punto de partida y, más adelante, combine los resultados de aplicar el modo "Adaptación" para conocer y comprobar otras reglas. Esta directiva debe generar menos reglas cliente aprendidas en modo "Adaptación" en comparación con las directivas de cortafuegos predeterminadas. La primera vez que despliegue una directiva de cortafuegos, es posible que desee permitir que los clientes aprendan las necesidades de comunicación de las distintas aplicaciones de sus equipos protegidos. Este proceso de aprendizaje se conoce como modo Adaptación. En este modo, el cortafuegos añade automáticamente reglas a la directiva para permitir el tráfico que no controla la directiva Reglas del cortafuegos. Esto se lleva a cabo sin intervención de los usuarios. En cada comunicación entre el agente y el servidor, el agente McAfee Agent envía las reglas aprendidas en el equipo cliente a epolicy Orchestrator. Puede revisar estas "reglas aprendidas por el cliente" en Informes IPS de Host. Desde esta pantalla, puede ver qué reglas han agregado los clientes de Host Intrusion Prevention, y ascender reglas a directivas. Para obtener información detallada sobre el ajuste de las funciones IPS a partir de los valores predeterminados, consulte el informe Adopting McAfee Host Intrusion Prevention: Best practices for quick success (Adopción de McAfee Host Intrusion Prevention: mejores prácticas para un éxito rápido) disponible a través de su representante de ventas y su contacto de soporte de McAfee. Los siguientes procedimientos permiten definir reglas de cortafuegos en función de la plantilla Entorno empresarial típico y definir las opciones de cortafuegos para utilizar el modo Adaptación. 23

24 Configuración de directivas para endpoints Asignación de una directiva de reglas del cortafuegos 1 Vaya a Sistemas Árbol de sistemas y, a continuación, haga clic en Directivas en la barra de menús. 2 En el árbol de sistemas, amplíe Grupo de prueba y resalte el grupo Estaciones de trabajo. 3 En el menú desplegable Producto, seleccione Host Intrusion Prevention 7.X.X:Cortafuegos. 4 En la columna Categoría, localice Reglas del cortafuegos (Windows) y haga clic en Editar asignación. 5 En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. 6 En el menú desplegable Directiva asignada, seleccione Entorno empresarial típico. 7 Haga clic en Editar directiva y revise la configuración actual de la regla. 8 Haga clic en Cancelar para salir de la página de edición de la directiva. 9 Cuando vuelva a la página Asignación de directiva, haga clic Guardar. Si desea cambiar la configuración de la reglas de la directiva Entorno empresarial típico, puede duplicarla y realizar los ajustes necesarios. Configuración de las opciones del cortafuegos 1 Vaya a Sistemas Árbol de sistemas y, a continuación, haga clic en Directivas en la barra de menús. 2 En el árbol de sistemas, amplíe Grupo de prueba y resalte el grupo Estaciones de trabajo. 3 En el menú desplegable Producto, seleccione Host Intrusion Prevention 7.X.X:Cortafuegos. 4 En la columna Categoría, localice Opciones del cortafuegos (Windows) y haga clic en Editar asignación. 5 En Heredar de, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente. 6 En el menú desplegable Directiva asignada, seleccione Adaptación para permitir que el cortafuegos cree reglas para el tráfico que no gestione la directiva Reglas del cortafuegos. 7 Haga clic en Guardar. Para obtener más información sobre la gestión del cortafuegos de Host Intrusion Prevention, consulte la Guía del producto de Host Intrusion Prevention. En la sección Referencias se incluyen vínculos a informes técnicos y a otro tipo de documentación. 24

25 Configuración de directivas para servidores de correo McAfee GroupShield ofrece protección para servidores de Microsoft Exchange y Lotus Domino. Protege frente a virus, contenido no deseado, programas potencialmente no deseados, mensajes/tipos de archivos prohibidos y, además, permite el filtrado de contenido en los mensajes de correo. GroupShield también admite funciones antispam y antiphishing para mensajes entrantes a través de un paquete de complemento. Compara un amplio conjunto de reglas con cada mensaje de correo y, a continuación, computa la puntuación de spam total. Directivas de GroupShield for Exchange En las siguientes secciones, creará directivas de ejemplo de GroupShield para Microsoft Exchange para los analizadores de contenido prohibido, antispam y antiphishing. McAfee recomienda que utilice las directivas antivirus predeterminadas tal y como están definidas. Empiece por las directivas antispam predeterminadas y ajuste los umbrales según sus necesidades. Los ejemplos se proporcionan con fines ilustrativos solamente. Configuración de directivas de contenido prohibido En esta sección se incluye un ejemplo de filtrado de contenido prohibido. Este procedimiento permite crear una directiva que estipula que los mensajes de correo electrónico con las palabras "Información confidencial de la empresa" en un documento adjunto sean sustituidos por una alerta, y que se envíe una notificación al administrador. 1 Vaya a Sistemas Catálogo de directivas. 2 En el menú desplegable Producto, seleccione GroupShield for Exchange En el menú desplegable Categoría, seleccione Configuración del analizador. 4 En la línea que incluye My Default, haga clic en Duplicar. 5 En el campo Nombre, escriba Mi directiva Exchange y haga clic en Aceptar. 6 En la línea que incluye Mi directiva Exchange, haga clic en Editar. 7 En Gestor de directivas, haga clic en Recurso compartido. 8 Haga clic en la ficha Filtrar reglas. 9 Para crear una nueva categoría de regla de analizador de contenido, haga clic en Nueva categoría. 10 En Nombre, escriba Contenido y haga clic en Aceptar. 11 Para crear una nueva regla para la categoría, haga clic en Crear nueva bajo Reglas del analizador de contenido. 12 En Nombre de la regla, escriba Contenido bloqueado. 13 Especifique una descripción y active la opción Agregar esta regla al grupo de reglas de esta categoría. 25