Manual de producto de GFI. Guía del administrador

Transcripción

1 Manual de producto de GFI Guía del administrador

2 La información y el contenido de este documento se proporcionan sólo para fines informativos y "como están", sin garantía de ningún tipo, ya sea expresa o implícita, incluidas, sin limitarse a, las garantías implícitas de comercialización, idoneidad para un propósito particular y ausencia de infracción. GFI Software no se hace responsable por ningún daño, incluidos los daños indirectos de cualquier naturaleza que puedan deberse a la utilización de este documento. La información se ha obtenido de fuentes disponibles públicamente. A pesar de los esfuerzos razonables que se han hecho para asegurar la exactitud de los datos facilitados, GFI no afirma, promete ni garantiza la integridad, exactitud, actualidad o adecuación de la información, y no se responsabiliza por errores tipográficos, datos desactualizados o errores. GFI no ofrece ninguna garantía, expresa o implícita, y no asume ninguna responsabilidad civil o legal por la exactitud o la compleción de la información de este documento. Si cree que existe algún error objetivo en este documento, póngase en contacto con nosotros y daremos tratamiento a sus dudas tan pronto como sea posible. Todos los nombres de productos y empresas mencionados aquí pueden ser marcas comerciales de sus respectivos titulares. GFI LanGuard es propiedad de GFI SOFTWARE Ltd GFI Software Ltd. Reservados todos los derechos. Versión del documento: 11.4 Última actualización (mes/día/año): 02/02/2015

3 Índice 1 Introducción Cómo funciona GFI LanGuard Cómo funcionan los agentes de GFI LanGuard Cómo funcionan los agentes de retransmisión de GFI LanGuard Componentes de GFI LanGuard Acerca de esta guía Términos y convenciones que se utilizan en este manual 21 2 Instalación de GFI LanGuard Escenarios de implementación Implementación de GFI LanGuard en el modo mixto Implementación de GFI LanGuard mediante agentes de retransmisión Implementación de GFI LanGuard en el modo sin agente Requisitos del sistema Requisitos de hardware Requisitos de software Puertos y protocolos de cortafuegos Permisos de puertas de enlace Aplicaciones antivirus y antispyware compatibles Importación y exportación de configuraciones Exportación de configuraciones a un archivo Importación de configuraciones desde un archivo Importación de configuraciones desde otro GFI LanGuard Actualización de versiones anteriores Acciones posteriores a la instalación Prueba de la instalación 38 3 Obtención de resultados Evaluación eficaz de vulnerabilidades Administración eficaz de revisiones Utilización de GFI LanGuard para el seguimiento de recursos Análisis actualizado de redes y software Sistemas operativos Linux Cumplimiento de PCI DSS Detección de dispositivos móviles 47 4 Administración de agentes Implementación de agentes Implementación manual de agentes Propiedades de los agentes Configuración de agentes Configuración de agentes de retransmisión Configuración de un agente como relé Configuración de las opciones avanzadas de agentes de retransmisión Conexión de equipos a un agente de retransmisión 67

4 4.6 Administración de grupos de agentes Actualización de agentes Actualizaciones de definiciones de amenazas Actualizaciones de seguridad 71 5 Examen de su red Acerca de los perfiles de detección Perfiles de detección disponibles Exámenes completos o de combinación Evaluación de vulnerabilidades Auditoría de redes y software Exámenes manuales Habilitación de directivas de auditoría de seguridad Exámenes programados Creación de un examen programado Edición de parámetros de exámenes programados Configuración de propiedades de exámenes programados Exámenes programados de agentes Inicio manual de un exámenes de agentes Detección de dispositivos móviles Configuración de una fuente de información de un dispositivo móvil Adición de fuentes de de administración de dispositivos móviles Administración de directivas de retención Dispositivos no administrados Panel Obtención de resultados a partir del panel Utilización del panel Utilización del árbol de equipos Filtrado simple Filtrado avanzado Agrupando Búsqueda Sincronización con Active Directory Utilización de atributos Asignación de atributos a un equipo Asignación de atributos a un grupo Configuración de atributos Acciones del panel Exportación de la lista de problemas Vistas del panel Información general Vista Computers Vista History Vista Vulnerabilities Configuración de acciones Vista Patches 124

5 6.7.7 Vista Ports Vista Software Configuración de categorías de software Adición de categorías de software nuevas Adición de software nuevo a una categoría Importación de software a una categoría Personalización del software Vista Hardware Vista System Information Interpretación de resultados Interpretación de resultados de exámenes manuales Visualización de resultados de exámenes Clasificación del nivel de vulnerabilidad Evaluación de vulnerabilidades Auditoría de red y de software Carga de resultados de la base de datos Guardado y carga de resultados XML Corrección de vulnerabilidades Corrección automática Notas acerca de la corrección automática Configuración de la implementación automática de actualizaciones faltantes Aprobación manual Configuración de la desinstalacion automática de aplicaciones no autorizadas Configuración de opciones de corrección automática Configuración de opciones de reinicio y apagado de usuarios finales Configuración de mensajes de corrección automática Configuración de la corrección automática de agentes Corrección manual Notas acerca de la corrección automática Utilización de Remediation Center Implementación de actualizaciones de software Desinstalación de actualizaciones de software Implementación de software personalizado Desinstalación de aplicaciones personalizadas Protección de malware Utilización de la asistencia de escritorios remotos Envío de notificaciones de dispositivos móviles Supervisión de actividad Supervisión de los exámenes de seguridad Filtrado de exámenes de seguridad Supervisión de la descarga de actualizaciones de software Solución de problemas de actualizaciones de software fallidas Supervisión de operaciones de corrección 188

6 9.3.1 Subficha Remediation Jobs Vista Remediation Operations Supervisión de actualizaciones de productos Generación de informes Informes disponibles Informes generales Informes de cumplimiento legal Generación de informes Programación de informes Creación de informes programados nuevos Configuración de opciones de informes programados Administración de informes programados Personalización de informes predeterminados Creación de informes personalizados Personalización de logotipos de informes Personalización del formato de informes de correo electrónico Búsqueda de texto completo Personalización de GFI LanGuard Configuración de opciones de alerta Configuración de opciones de mantenimiento de bases de datos Utilización de Access como back-end de base de datos Utilización de SQL Server como back-end de base de datos Administración de resultados de exámenes guardados Enumerar equipos examinados Configuración de opciones avanzadas de mantenimiento de bases de datos Configurar opciones de conservación de bases de datos Configuración de actualizaciones del programa Configuración de parámetros proxy Configuración de opciones de actualización automática Instalación manual de actualizaciones del programa Límite de tamaño de la base de datos Métodos para evitar problemas de limitación de bases de datos Actualice la base de datos Elimine exámenes antiguos de forma manual o automática Copia de seguridad Scanning Profile Editor Creación de un nuevo perfil de detección Configuración de vulnerabilidades Habilitación de exámenes de vulnerabilidades Personalización de la lista de vulnerabilidades que se deben examinar Personalización de propiedades de comprobaciones de vulnerabilidades Configuración de condiciones de comprobación de vulnerabilidades Configuración de revisiones 240

7 Habilitación y deshabilitación de comprobaciones de detección de revisiones faltantes Personalización de la lista de revisiones de software que se deben examinar Búsqueda de información de boletines Configuración de opciones de auditoría de redes y software Configuración de opciones de examen de puertos TCP y UDP Configuración de opciones de información del sistema Configuración de opciones de examen de dispositivos Configuración de opciones de examen de aplicaciones Configuración de opciones de detección de seguridad Utilidades Búsqueda de DNS Traceroute Whois Enumeración de equipos Inicio de un examen de seguridad Implementación de revisiones personalizadas Habilitación de directivas de auditoría Enumeración de usuarios Auditorías de SNMP SNMP Walk Auditoría de SQL Server Herramientas de línea de comandos Utilización de Insscmd.exe Utilización de deploycmd.exe Utilización de impex.exe Depurador de scripts Creación de scripts personalizados a través de VBscript Adición de una comprobación de vulnerabilidades que utilice un VBScript (.vbs) personalizado Creación de scripts personalizados a través de scripting Python Módulo SSH Palabras claves Adición de una comprobación de vulnerabilidades que utilice un script shell personalizado Miscelánea Configuración de NetBIOS Desinstalación de GFI LanGuard Solución de problemas y asistencia técnica Resolución de problemas comunes Utilización del asistente para el solucionador de problemas Uso de la herramienta de diagnóstico de agentes GFI SkyNet 292

8 16.5 Foro web Solicitud de asistencia técnica Apéndice 1: Datos procesados Estado de la aplicación de revisiones del sistema Puertos Hardware Software Información del sistema Apénice 2: Certificaciones Lenguaje abierto de vulnerabilidad y evaluación (OVAL) GFI LanGuardCompatibilidad con OVAL Acerca de la compatibilidad con OVAL Envío de informes de errores de la lista del OVAL Vulnerabilidades y exposiciones comunes (CVE) Acerca de la compatibilidad con CVE Acerca de CVE y CAN Búsqueda de entradas de CVE Obtención de nombres CVE Importación y exportación de datos de CVE Glosario Índice 314

9 Lista de figuras Captura de pantalla 1: Exportación de configuraciones a un archivo 33 Captura de pantalla 2: Importación de configuraciones desde un archivo 34 Captura de pantalla 3: Importación de configuración 35 Captura de pantalla 4: Cuadro de diálogo de comprobación de requisitos previos 36 Captura de pantalla 5: Configuraciones de importación y exportación 37 Captura de pantalla 6: Inicio de un examen 39 Captura de pantalla 7: Propiedades de Launch a scan 39 Captura de pantalla 8: Resumen de resultados de examen 40 Captura de pantalla 9: Manage agents 50 Captura de pantalla 10: Add more computers: selección del tipo de importación 52 Captura de pantalla 11: Add more computers: asignación de atributos a nuevos equipos 53 Captura de pantalla 12: Propiedades de agentes: ficha General 54 Captura de pantalla 13: Propiedades de los agentes: ficha Agent Status 55 Captura de pantalla 14: Propiedades de agentes: ficha Attributes 56 Captura de pantalla 15: Propiedades de los agentes: ficha Relays 57 Captura de pantalla 16: Configuración de agentes: ficha General 58 Captura de pantalla 17: Configuración de agentes: ficha Advanced 60 Captura de pantalla 18: Cuadro de diálogo de propiedades de agentes 62 Captura de pantalla 19: Asistente Set computer as relay 63 Captura de pantalla 20: Elija un directorio de almacenamiento en caché para el nuevo agente de retransmisión 64 Captura de pantalla 21: Paso de resumen configuración 65 Captura de pantalla 22: Propiedades de agentes de retransmisión: configuración avanzada 66 Captura de pantalla 23: Cuadro de diálogo Relay Agent Advanced Settings 66 Captura de pantalla 24: Atributos de agentes 68 Captura de pantalla 25: Agentes de retransmisión 69 Captura de pantalla 26: Configuración de exámenes manuales 75 Captura de pantalla 27: Propiedades personalizadas de los destinos 76 Captura de pantalla 28: Add new rule Captura de pantalla 29: Asistente de administración de directivas de auditoría 79 Captura de pantalla 30: Cuadro de diálogo New scheduled scan 80 Captura de pantalla 31: Frecuencia de exámenes programados 81 Captura de pantalla 32: Selección del perfil de detección 82 Captura de pantalla 33: Credenciales de inicio de sesión remoto 83 Captura de pantalla 34: Opciones de informes de exámenes programados 84 Captura de pantalla 35: Opciones de corrección automática de exámenes programados 85 Captura de pantalla 36: Opciones de informes de exámenes programados 86 Captura de pantalla 37: Opciones de informes de exámenes programados 87

10 Captura de pantalla 38: Propiedades de exámenes programados 89 Captura de pantalla 39: Agent activity recurrence 90 Captura de pantalla 40: Dispositivos móviles 92 Captura de pantalla 41: Configuración de una fuente de administración de dispositivos móviles: Selección del tipo de fuente 93 Captura de pantalla 42: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 94 Captura de pantalla 43: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 95 Captura de pantalla 44: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos 95 Captura de pantalla 45: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 96 Captura de pantalla 46: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 97 Captura de pantalla 47: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos 97 Captura de pantalla 48: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 99 Captura de pantalla 49: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 100 Captura de pantalla 50: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos 100 Captura de pantalla 51: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 101 Captura de pantalla 52: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 102 Captura de pantalla 53: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos 102 Captura de pantalla 54: Administración de directivas de retención 103 Captura de pantalla 55: Dispositivos móviles no administrados 104 Captura de pantalla 56: Visualización de Dashboard 106 Captura de pantalla 57: Filtrado simple 107 Captura de pantalla 58: Adición de propiedades de filtro 108 Captura de pantalla 59: Agrupando 109 Captura de pantalla 60: Búsqueda de equipos y grupos específicos 110 Captura de pantalla 61: Asignación de atributos: Equipo único 112 Captura de pantalla 62: Asignación de atributos: varios equipos 113 Captura de pantalla 63: Cuadro de diálogo de nuevo atributo 113 Captura de pantalla 64: Sección Actions de Dashboard 114 Captura de pantalla 65: Información general del panel 115 Captura de pantalla 66: Resultados de análisis por equipo 118 Captura de pantalla 67: Vista History de Dashboard 121

11 Captura de pantalla 68: Vista Vulnerabilities de Dashboard 122 Captura de pantalla 69: Vista Patches de Dashboard 124 Captura de pantalla 70: Vista Ports de Dashboard 125 Captura de pantalla 71: Vista Software de Dashboard 126 Captura de pantalla 72: Software Categories 127 Captura de pantalla 73: Nombre de categoría de software 128 Captura de pantalla 74: Adición de software a una categoría 128 Captura de pantalla 75: Importación de software a una categoría 129 Captura de pantalla 76: Edición de detalles de software 130 Captura de pantalla 77: Vista Hardware de Dashboard 131 Captura de pantalla 78: Vista System Information de Dashboard 132 Captura de pantalla 79: Información general de resultados 134 Captura de pantalla 80: Medidor del nivel de vulnerabilidad 135 Captura de pantalla 81: Medidor de vulnerabilidad de Dashboard 136 Captura de pantalla 82: Modo de evaluación de vulnerabilidades 137 Captura de pantalla 83: Cuadro de diálogo de información de boletín 138 Captura de pantalla 84: Nodo de auditoría de redes y software 139 Captura de pantalla 85: Estado de las revisiones del sistema 140 Captura de pantalla 86: Todos los puertos UDP y TCP hallados durante un examen 141 Captura de pantalla 87: Resultados de exámenes recargados 144 Captura de pantalla 88: Implementación automática de revisiones: Aprobación manual 148 Captura de pantalla 89: Implementación automática de revisiones: Aprobación automática 149 Captura de pantalla 90: Opciones avanzadas de implementación automática de revisiones 150 Captura de pantalla 91: Configuración de las propiedades de descarga automática de revisiones 151 Captura de pantalla 92: Configuración de la descarga automática de revisiones - Propiedades de Todas las revisiones 152 Captura de pantalla 93: Patch Repository settings 153 Captura de pantalla 94: Aplicación no autorizada 154 Captura de pantalla 95: Asistente del inventario de aplicaciones 155 Captura de pantalla 96: Validación de la desinstalación automática de aplicaciones 156 Captura de pantalla 97: Propiedades de equipos 157 Captura de pantalla 98: Configuración general de corrección automática 158 Captura de pantalla 99: Opciones previas a la implementación 159 Captura de pantalla 100: Opciones posteriores a la implementación 160 Captura de pantalla 101: Opciones avanzadas de implementación 161 Captura de pantalla 102: Opciones de reinicio y apagado 163 Captura de pantalla 103: Remediation Center: Deploy Software Updates 164 Captura de pantalla 104: Cuadro de diálogo de opciones de implementación 165 Captura de pantalla 105: Opciones de mensajes previos a la implementación 166 Captura de pantalla 106: Personalización de mensajes de advertencia 167

12 Captura de pantalla 107: Remediation Center 170 Captura de pantalla 108: Implementación de actualizaciones de software 171 Captura de pantalla 109: Opciones de Deploy software updates 172 Captura de pantalla 110: Desinstalación de actualizaciones de software 173 Captura de pantalla 111: Opciones de Uninstall software updates 174 Captura de pantalla 112: Lista de software que se implementará 176 Captura de pantalla 113: Uninstall Applications 177 Captura de pantalla 114: Protección de malware 179 Captura de pantalla 115: Conexión a un escritorio remoto 180 Captura de pantalla 116: Envío de notificaciones por correo: Tipo de notificación 181 Captura de pantalla 117: Envío de notificaciones por correo: Selección de un dispositivo 182 Captura de pantalla 118: Envío de notificaciones por correo: Plantilla de notificación predeterminada 183 Captura de pantalla 119: Envío de notificaciones por correo: Plantilla de notificación predeterminada 183 Captura de pantalla 120: Supervisión de los exámenes de seguridad 184 Captura de pantalla 121: Cuadro de diálogo de filtrado de exámenes de seguridad 185 Captura de pantalla 122: Descarga de actualizaciones de seguridad 186 Captura de pantalla 123: Supervisión de tareas desde la subficha Remediation Jobs 189 Captura de pantalla 124: Supervisión de tareas desde la vista Remediation Operations 190 Captura de pantalla 125: Actividad de las actualizaciones del producto - Actualizaciones de GFI LanGuard191 Captura de pantalla 126: Actividad de las actualizaciones del producto - Actualizaciones del agente de GFI LanGuard 192 Captura de pantalla 127: Muestra de informe: Parte Captura de pantalla 128: Muestra de informe: Parte Captura de pantalla 129: Muestra de informe: Parte Captura de pantalla 130: Selección de una plantilla de informe programado 202 Captura de pantalla 131: Adición o eliminación de dominios o equipos de destino 202 Captura de pantalla 132: Edición de opciones de informes programados 205 Captura de pantalla 133: Control de la actividad de los informes programados 205 Captura de pantalla 134: Edición de parámetros de informes desde la vista previa de la muestra de informe 206 Captura de pantalla 135: Configuración de elementos de informes 206 Captura de pantalla 136: Configuración de las opciones de filtrado de informes 207 Captura de pantalla 137: Configure las opciones de agrupamiento y clasificación de informes 207 Captura de pantalla 138: Personalización de parámetros de informes 210 Captura de pantalla 139: Navegación a través de enlaces de informes 211 Captura de pantalla 140: Configuración de opciones de alerta 213 Captura de pantalla 141: Cuadro de diálogo de propiedades de mantenimiento de bases de datos 215 Captura de pantalla 142: Opciones de back-end de base de datos de SQL Server 216 Captura de pantalla 143: Propiedades de mantenimiento de bases de datos: ficha Saved Scan Results administrada 218

13 Captura de pantalla 144: Propiedades de mantenimiento de bases de datos: ficha Advanced 219 Captura de pantalla 145: Configuración de parámetros de servidores proxy 221 Captura de pantalla 146: Configuración de actualizaciones al iniciarse la aplicación 222 Captura de pantalla 147: Asistente de comprobación de actualizaciones 223 Captura de pantalla 148: Eliminación manual de exámenes antiguos 225 Captura de pantalla 149: Eliminación automática de exámenes antiguos 226 Captura de pantalla 150: Base de datos de Microsoft Access 227 Captura de pantalla 151: Base de datos de Microsoft SQL Server/SQL Server Express 228 Captura de pantalla 152: Scanning Profiles Editor 230 Captura de pantalla 153: Habilitación de exámenes de vulnerabilidades para el perfil de detección seleccionado 231 Captura de pantalla 154: Seleccione las comprobaciones de vulnerabilidades que se deben ejecutar a través de este perfil de detección 232 Captura de pantalla 155: Cuadro de diálogo de propiedades de vulnerabilidades: ficha General 233 Captura de pantalla 156: Ficha de configuración de condiciones de vulnerabilidad 234 Captura de pantalla 157: Asistente Check properties: selección del tipo de comprobación 235 Captura de pantalla 158: Asistente Check properties: definición del objeto que se examinará 236 Captura de pantalla 159: Asistente Check properties: determinación de las opciones requeridas 237 Captura de pantalla 160: Asistente Check properties: definición de operadores condicionales 238 Captura de pantalla 161: Opciones avanzadas de vulnerabilidades 239 Captura de pantalla 162: Cuadros de diálogo avanzados de examen de vulnerabilidades 240 Captura de pantalla 163: Propiedades de perfiles de detección: Opciones de la ficha Patches 241 Captura de pantalla 164: Selección de las revisiones faltantes que se enumerarán 242 Captura de pantalla 165: Búsqueda de información de boletines 242 Captura de pantalla 166: Información de boletín extendida 243 Captura de pantalla 167: Propiedades de perfiles de detección: Opciones de la ficha TCP Ports 244 Captura de pantalla 168: Propiedades de perfiles de detección: Opciones de la fucha System Information 245 Captura de pantalla 169: Página de configuración de dispositivos de red 246 Captura de pantalla 170: Página de configuración de aplicaciones 249 Captura de pantalla 171: Propiedades de perfiles de detección: Ficha Scanner Options 252 Captura de pantalla 172: Herramienta DNS Lookup 256 Captura de pantalla 173: Opciones de la herramienta DNS Lookup 257 Captura de pantalla 174: Herramienta Traceroute 258 Captura de pantalla 175: Herramienta Whois 259 Captura de pantalla 176: Herramienta Enumerate Computers 260 Captura de pantalla 177: Cuadro de diálogo de la herramienta Enumerate Users 262 Captura de pantalla 178: Herramienta SNMP Audit 263 Captura de pantalla 179: Herramienta SNMP Walk 264 Captura de pantalla 180: SQL Server Audit 265 Captura de pantalla 181: Cuadro de diálogo Add vulnerability 274

14 Captura de pantalla 182: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación 275 Captura de pantalla 183: Adición de comprobaciones de vulnerabilidades: selección del archivo de VBScript 276 Captura de pantalla 184: Adición de comprobaciones de vulnerabilidades: definición de condiciones 277 Captura de pantalla 185: Cuadro de diálogo Add vulnerability 278 Captura de pantalla 186: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación 279 Captura de pantalla 187: Adición de comprobaciones de vulnerabilidades: selección del archivo de script Python 280 Captura de pantalla 188: Adición de comprobaciones de vulnerabilidades: definición de condiciones 281 Captura de pantalla 189: Cuadro de diálogo Add vulnerability 283 Captura de pantalla 190: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación 284 Captura de pantalla 191: Adición de comprobaciones de vulnerabilidades: selección del archivo SSH 285 Captura de pantalla 192: Adición de comprobaciones de vulnerabilidades: definición de condiciones 286 Captura de pantalla 193: Asistente para el solucionador de problemas: detalles de información 291 Captura de pantalla 194: Asistente para el solucionador de problemas: recopilación de información sobre problemas conocidos 292 Captura de pantalla 195: Búsqueda de información de CVE 304

15 Lista de tablas Tabla 1: Componentes de GFI LanGuard 20 Tabla 2: Términos y convenciones que se utilizan en este manual 21 Tabla 3: Requisitos de hardware: GFI LanGuard Server 26 Tabla 4: Requisitos de hardware: agente de GFI LanGuard 26 Tabla 5: Requisitos de hardware: agente de retransmisión de GFI LanGuard 27 Tabla 6: Sistemas operativos compatibles 27 Tabla 7: Características admitidas por dispositivo, sistemas operativos y aplicaciones 28 Tabla 8: Back-end de base de datos compatibles 30 Tabla 9: Requisitos de software: componentes adicionales 30 Tabla 10: Puertos y protocolos 31 Tabla 11: Opciones de invalidación 35 Tabla 12: Opciones de invalidación de importación 38 Tabla 13: Selección de destinos 50 Tabla 14: Opciones de reglas personalizadas 50 Tabla 15: Deploy Agents: Configuración avanzada 51 Tabla 16: Asistente Add more computers 52 Tabla 17: Configuración de atributos 53 Tabla 18: Opciones de agentes de retransmisión 57 Tabla 19: Configuración avanzada de agentes de retransmisión 58 Tabla 20: Configuración de agentes 58 Tabla 21: Agentes de retransmisión: opciones avanzadas 67 Tabla 22: Estado del grupo de agentes 67 Tabla 23: Detección de red de grupos de agentes 68 Tabla 24: Opciones de agentes de retransmisión 69 Tabla 25: Perfiles de detección completos o de combinación 73 Tabla 26: Perfiles de detección de evaluación de vulnerabilidades 73 Tabla 27: Auditoría de redes y software 74 Tabla 28: Opciones de destinos durante auditorías 75 Tabla 29: Propiedades personalizadas de los destinos 77 Tabla 30: Opciones de inicio de sesión y auditoría 78 Tabla 31: Opciones de examen 78 Tabla 32: Tipo de examen programado nuevo 81 Tabla 33: Credenciales de inicio de sesión remoto 83 Tabla 34: Opciones de ahorro de energía 84 Tabla 35: Opciones de corrección automática 85 Tabla 36: Reporting options 86 Tabla 37: Opciones para administrar perfiles de detección 88 Tabla 38: Propiedades de exámenes programados 89

16 Tabla 39: Opciones de búsqueda 110 Tabla 40: Acciones del panel 114 Tabla 41: Información de software de una auditoría 116 Tabla 42: Vista según la información de los equipos 118 Tabla 43: Acciones del panel 122 Tabla 44: Acciones 126 Tabla 45: Iconos de tiempo de respuesta 134 Tabla 46: Puntuaciones de ponderación de nivel de vulnerabilidad 135 Tabla 47: Grupos de vulnerabilidades 137 Tabla 48: Información sobre hardware de una auditoría 141 Tabla 49: Información de software de una auditoría 141 Tabla 50: Información de sistema de una auditoría 142 Tabla 51: Etapas de corrección automática 147 Tabla 52: Opciones avanzadas de implementación automática de revisiones 150 Tabla 53: Manage applicable scheduled scans Tabla 54: Antes de la implementación 159 Tabla 55: Después de la implementación 160 Tabla 56: Opciones avanzadas de implementación 162 Tabla 57: Opciones avanzadas de implementación 163 Tabla 58: Mensajes de advertencia 167 Tabla 59: Acciones de corrección 170 Tabla 60: Opciones de Deploy software updates 172 Tabla 61: Opciones de Uninstall software updates 174 Tabla 62: Opciones disponibles en Deploy Custom Software 176 Tabla 63: Opciones de implementación 176 Tabla 64: Desinstalación de aplicaciones 178 Tabla 65: Opciones de implementación 179 Tabla 66: Cuadro de diálogo de filtrado de exámenes de seguridad 186 Tabla 67: Estado de las descargas de actualizaciones 187 Tabla 68: Descarga de actualizaciones de seguridad 187 Tabla 69: Solución de problemas de actualizaciones de software fallidas 188 Tabla 70: Informes generales disponibles 194 Tabla 71: Informes de cumplimiento legal disponibles 197 Tabla 72: Opciones de plantillas de informes programados 202 Tabla 73: Opciones de dominios y equipos de destino 203 Tabla 74: Opciones de programación 203 Tabla 75: Alerting & Saving Settings 204 Tabla 76: Marcadores de informes 208 Tabla 77: Parámetros de configuración de correo 213

17 Tabla 78: Opciones de notificaciones 214 Tabla 79: Opciones de conservación de bases de datos 220 Tabla 80: Configuración de proxy 221 Tabla 81: Cuadro de diálogo de propiedades de vulnerabilidades 233 Tabla 82: Opciones examen de puertos TCP 244 Tabla 83: Opciones de examen de dispositivos 247 Tabla 84: Opciones de examen de aplicaciones 249 Tabla 85: Scanner Options 252 Tabla 86: Opciones de búsqueda de DNS 256 Tabla 87: Íconos de Traceroute 258 Tabla 88: Opciones de enumeración de equipos 260 Tabla 89: Conmutadores de comandos de lnsscmd 266 Tabla 90: Variables admitidas en lnssmcd 267 Tabla 91: Conmutadores de comandos de deploycmd 268 Tabla 92: Conmutadores de comandos de impex 269 Tabla 93: Palabras claves para vulnerabilidades 282 Tabla 94: Problemas comunes de GFI LanGuard 288 Tabla 95: Opciones de recopilación de información 291 Tabla 96: Compatibilidad con CVE 304

18 1 Introducción GFI LanGuard es una solución de administración de revisiones y auditoría de redes que le permite administrar y mantener fácilmente la protección de terminales en dispositivos de su LAN. Actúa como un asesor de seguridad que ofrece asistencia para administración de revisiones, evaluación de vulnerabilidades y auditoría de redes para equipos con Windows, Linux y MAC, así como para dispositivos móviles. GFI LanGuard logra la protección de LAN a través de lo siguiente: Identificación de puntos débiles de sistema y de red a través de una base de datos de comprobación de vulnerabilidades abarcadora. Esto incluye pruebas basadas en las directrices de evaluación de vulnerabilidades de OVAL y CVE, y en las 20 directrices de evaluación de vulnerabilidades principales del SANS Auditoría de todos los recursos de hardware y software de su red, lo que le permite crear un inventario de recursos detallado. Esto abarca incluso hasta la enumeración de aplicaciones instaladas y dispositivos conectados en su red Descarga automática e instalación remota de Service Pack y revisiones para los sistemas operativos Microsoft Windows, Linux y MAC y productos de terceros Desinstalación automática de software no autorizado. Temas de este capítulo: 1.1 Cómo funciona GFI LanGuard Cómo funcionan los agentes de GFI LanGuard Cómo funcionan los agentes de retransmisión de GFI LanGuard Componentes de GFI LanGuard Acerca de esta guía 21 GFI LanGuard 1 Introducción 18

19 1.1 Cómo funciona GFI LanGuard Figura 1: Cómo funciona GFI LanGuard Después de la instalación, GFI LanGuard funciona en dos etapas: En primer lugar, determina los equipos que están al alcance. También intenta recopilar conjuntos de información de los equipos de destino como parte de sus operaciones de Detección de redes, a través de un subconjunto de protocolos SMB, NETBIOS e ICMP. Entre los objetivos compatibles se incluyen el localhost, el IP, el nombre del equipo, la lista de equipos, el intervalo de IP, el dominio y grupo de trabajo completo o la unidad organizativa. En segundo lugar, una vez identificados los objetivos, GFI LanGuard realiza un examen en profundidad para enumerar toda la información relacionada con el equipo de destino. GFI LanGuard utiliza varias técnicas para acceder a esta información, la cual incluye verificaciones de propiedades de archivos y carpetas, verificaciones de registro, comandos de WMI y SMB, verificaciones de rastreo de puertos (TCP/UDP) y más. 1.2 Cómo funcionan los agentes de GFI LanGuard GFI LanGuard se puede configurar para detectar e implementar agentes de forma automática en equipos nuevos. Los agentes minimizan la utilización de ancho de banda de la red. Esto se debe a que en el modo sin agente, el componente del servidor de GFI LanGuard realiza auditorías a través de la red, mientras que en el modo de agente, las auditorías se realizan utilizando los recursos del destino del examen y solo se transfiere un archivo XML de resultados a través de la red. Los agentes envían datos agfi LanGuard a través del puerto TCP Este puerto se abre de forma predeterminada al instalar GFI LanGuard. Los agentes no consumen recursos del equipo de destino del examen a menos que esté realizando un examen u operaciones de corrección. Si un agente no responde durante 60 días se desinstala de forma automática del equipo de destino. GFI LanGuard 1 Introducción 19

20 Nota De forma predeterminada, los agentes se desinstalan automáticamente al cabo de los 60 días. Para personalizar el periodo, seleccione la ficha Configuration y después Agents Management, y en el panel derecho haga clic en Agents Settings. Especifique el número de días en la ficha General del cuadro de diálogo Agents Settings. Nota Los agentes solo se pueden instalar en equipos con el sistema operativo Microsoft Windows y requieren aproximadamente 25 MB de memoria y 350 MB de espacio en disco duro. 1.3 Cómo funcionan los agentes de retransmisión de GFI LanGuard GFI LanGuard le permite configurar cualquier equipo con un agente de GFI LanGuard instalado para que funcione como un servidor de GFI LanGuard. Estos agentes se denominan Agentes de retransmisión. Los agentes de retransmisión reducen la carga del componente del servidor de GFI LanGuard. Los equipos configurados como agentes de retransmisión descargan revisiones y definiciones directamente del servidor de GFI LanGuard y las reenvían a equipos clientes como si fueran componentes de servidores. 1.4 Componentes de GFI LanGuard En esta sección se le brinda información acerca de los componentes que se instalan de forma predeterminada cuando realiza la instalación de GFI LanGuard. Una vez que instale el producto, puede gestionar las tareas de administración y corrección de revisiones desde la Consola de administración. La Consola de administración también se cita como el Componente del servidor degfi LanGuard, como se describe en la tabla a continuación: Tabla 1: Componentes de GFI LanGuard Componente Servidor de GFI LanGuard GFI LanGuard Agents GFI LanGuard Update System GFI LanGuard Attendant Service GFI LanGuard Scanning Profiles Editor GFI LanGuard Command Line Tools Descripción También denominado Consola de administración. Le permite administrar agentes, realizar exámenes, analizar resultados, corregir problemas de vulnerabilidad y generar informes. Permite el procesamiento y la auditoría de datos en los equipos de destino; una vez finalizada una auditoría, el resultado se envía a GFI LanGuard. Le permite establecer mediante configuración GFI LanGuard la descarga automática de actualizaciones publicadas por GFI para mejorar la funcionalidad. Para estas actualizaciones también incluye la búsqueda de actualizaciones más nuevas en el sitio web de GFI. El servicio de fondo que administra todas las operaciones programadas, incluidos los exámenes de seguridad de red, la implementación de revisiones y las operaciones de corrección. Este editor le permite crear perfiles de detección nuevos y modificar los existentes. Le permite iniciar exámenes de vulnerabilidad de la red y sesiones de implementación de revisiones, además de importar y exportar perfiles y vulnerabilidades sin cargar la consola de administración de GFI LanGuard. GFI LanGuard 1 Introducción 20

21 1.5 Acerca de esta guía El objetivo de esta Guía del administradores ayudar a los administradores de sistemas a instalar, configurar y ejecutar GFI LanGuard con un mínimo esfuerzo Términos y convenciones que se utilizan en este manual Tabla 2: Términos y convenciones que se utilizan en este manual Término Descripción Información adicional y referencias esenciales para el funcionamiento de GFI LanGuard. Notificaciones y precauciones importantes sobre problemas comunes que pueden surgir. > Instrucciones de navegación paso a paso para acceder a una función concreta. Texto en negrita Texto en cursiva Código Elementos que se seleccionan, como nodos, opciones de menú o botones de comando. Parámetros y valores que debe reemplazar por los valores aplicables, como rutas de acceso y nombres de archivo personalizados. Indica los valores de texto que se escriben, como comandos y direcciones. GFI LanGuard 1 Introducción 21

22 2 Instalación de GFI LanGuard Este capítulo le servirá como guía para seleccionar la solución de implementación que resulte más apropiada, cumpla con sus requisitos y le proporcione información acerca de cómo implementar con éxito un GFI LanGuard totalmente funcional. Temas de este capítulo: 2.1 Escenarios de implementación Requisitos del sistema Importación y exportación de configuraciones Actualización de versiones anteriores Acciones posteriores a la instalación Prueba de la instalación Escenarios de implementación GFI LanGuard se puede instalar en cualquier equipo que cumpla con los requisitos de sistema mínimos. Utilice la información de esta sección para determinar si desea controlar un conjunto sin agente y basado en agente, o una mezcla de ambos, según lo siguiente: Número de equipos y dispositivos que desea controlar Carga de tráfico de su red durante el tiempo de operación normal. En las secciones siguientes se le proporciona información acerca de diferentes escenarios de implementación admitidos por GFI LanGuard: Implementación de GFI LanGuard en el modo mixto Implementación de GFI LanGuard mediante agentes de retransmisión Implementación de GFI LanGuard en el modo sin agente Implementación de GFI LanGuard en el modo mixto GFI LanGuard se puede configurar para implementar agentes de forma automática en equipos recién detectados o seleccionados manualmente. Los agentes permiten que el procesamiento y la auditoría de datos se realicen en equipos de destino; una vez que una auditoría finaliza, el resultado se transfiere a GFI LanGuard a través de un archivo XML. Exámenes basados en agentes: Tienen un mejor rendimiento porque la carga se distribuye en equipos cliente. Pueden funcionar en entornos de ancho de banda reducido porque la comunicación entre el servidor y los agentes es reducida. Son adecuados para portátiles. Los equipos se examinarán aun cuando no estén conectados a la red de la empresa. Son más precisos que los exámenes manuales; los agentes pueden acceder a más información en el localhost. En la siguiente captura de pantalla se muestra cómo se puede implementar GFI LanGuard utilizando agentes de una red de área local (LAN): GFI LanGuard 2 Instalación de GFI LanGuard 22

23 Figura 2: Modo de agente o mixto Implementación de GFI LanGuard mediante agentes de retransmisión Los agentes de retransmisión se utilizan para reducir la carga del servidor de GFI LanGuard. Los equipos configurados como agentes de retransmisión descargarán revisiones y definiciones directamente del servidor de GFI LanGuard y las reenviarán a equipos clientes. Las ventajas principales de utilizar agentes de retransmisión son las siguientes: Ahorro de ancho de banda de red en redes locales o distribuidas geográficamente. Si se configura un agente de retransmisión en cada sitio, una revisión solo se descarga una vez y se distribuye a los clientes La carga se quita del componente del servidor de GFI LanGuard y se distribuye entre los agentes de retransmisión Debido a que los equipos se administran desde varios agentes de retransmisión, aumenta el número de dispositivos que se pueden proteger de forma simultánea. GFI LanGuard 2 Instalación de GFI LanGuard 23

24 En una red, los equipos se pueden agrupar y cada grupo se puede asignar a un agente de retransmisión, como se muestra a continuación. Figura 3: Modo de agente de retransmisión Nota Para obtener más información, consulte Configuración de agentes de retransmisión (página 60) Implementación de GFI LanGuard en el modo sin agente La auditoría sin agente se inicia desde la consola de administración de GFI LanGuard. GFI LanGuard crea una sesión remota con los destinos de examen especificados y los audita en la red. Al GFI LanGuard 2 Instalación de GFI LanGuard 24

25 completarse el proceso, se importan los resultados a la base de datos de resultados y se cierra la sesión remota. Puede auditar equipos de forma individual, un rango de equipos específicos y un dominio o grupo de trabajo completos. Nota Los exámenes en el modo sin agente utilizan los recursos del equipo en el cual GFI LanGuard está instalado y emplean más ancho de banda de red debido a que la auditoría se realiza de forma remota. Cuando se dispone de una red grande de destinos de examen, este modo puede reducir drásticamente el rendimiento de GFI LanGuard' y afectar la velocidad de la red. En redes más grandes, implemente agentes convencionales o de retransmisión para equilibrar la carga de forma adecuada. Figura 4: Modo sin agente GFI LanGuard 2 Instalación de GFI LanGuard 25

26 2.2 Requisitos del sistema Los equipos en los que se ejecuten un GFI LanGuard servidor, un agente convencional y un agente de retransmisión deben cumplir con los requisitos de sistema descritos a continuación por razones de rendimiento. Nota Si busca una solución de administración de revisiones para o más equipos, le recomendamos contactarnos para obtener cotizaciones y sugerencias relacionadas con el procedimiento de implementación y administración adecuado para dicha solución. Consulte las secciones siguientes para obtener información sobre: Requisitos de hardware Requisitos de software Puertos y protocolos de cortafuegos Permisos de puertas de enlace Aplicaciones antivirus y antispyware compatibles Requisitos de hardware Asegúrese de que se cumplan los requisitos de hardware siguientes en equipos en los que se ejecute cualquiera de los componentes que se proporcionan a continuación: Servidor GFI LanGuard Agente convencionalgfi LanGuard Agente de retransmisióngfi LanGuard GFI LanGuard Servidor El servidor de GFI LanGuard que aloje los equipos debe cumplir con los siguientes requisitos de hardware: Tabla 3: Requisitos de hardware: GFI LanGuard Server Componente 1 a 100 equipos 100 a 500 equipos 500 a equipos Procesador De dos núcleos y 2 GHz De dos núcleos y 2,8 GHz Almacenamiento físico 5 GB 10 GB 20 GB RAM 2 GB 4 GB 8 GB Ancho de banda de red 1544 kbps 1544 kbps 1544 kbps De cuatro núcleos y 3 GHz Agente GFI LanGuard Los equipos en los que se ejecute un agente de GFI LanGuard deben cumplir con los siguientes requisitos de hardware: Tabla 4: Requisitos de hardware: agente de GFI LanGuard Componente Procesador Almacenamiento físico Requisito 1 GHz 1,5 GB GFI LanGuard 2 Instalación de GFI LanGuard 26

27 Componente RAM Ancho de banda de red Requisito 25 MB 1544 kbps Agente de retransmisión GFI LanGuard Un equipo se podrá configurar como agente de retransmisión cuando: El equipo debe estar en línea y tener un buen tiempo de actividad (un agente de retransmisión fuera de línea anula las capacidades de sus clientes) Tenga un acceso rápido a equipos conectados a él Tenga el espacio en disco necesario para permitir el almacenamiento en caché. Los equipos configurados como agentes de retransmisión deben cumplir con los siguientes requisitos de hardware: Tabla 5: Requisitos de hardware: agente de retransmisión de GFI LanGuard Componente 1 a 100 clientes 100 a 500 clientes 500 a 1000 clientes Procesador De dos núcleos y 2 GHz De dos núcleos y 2 GHz De dos núcleos y 2,8 GHz Almacenamiento físico 5 GB 10 GB 10 GB RAM 2 GB 2 GB 4 GB Ancho de banda de red 100 Mbps 100 Mbps 1 Gbps Requisitos de software Los componentes de GFI LanGuard se pueden instalar en cualquier equipo que cumpla con los requisitos de software enumerados en esta sección. Para obtener más información, consulte: Sistemas operativos compatibles Características por dispositivo, sistemas operativos y aplicaciones compatibles Bases de datos compatibles Componentes en los equipos de destino Otros componentes de software sistemas operativos compatibles (32 y 64 bits) En la siguiente tabla se enumeran sistemas operativos en los que se pueden instalar un servidor, agente convencional o agente de retransmisión de GFI LanGuard: Tabla 6: Sistemas operativos compatibles Operating System GFI LanGuard Agente GFI LanGuard Agente de retransmisión GFI LanGuard Windows Server 2012 (incluso R2) Windows Server 2008 (incluido R2) Standard o Enterprise Windows Server 2003 Standard o Enterprise Windows 8 Professional/Enterprise (incluso Windows 8.1) Windows 7 Professional, Enterprise o Ultimate Windows Vista Business, Enterprise o Ultimate GFI LanGuard 2 Instalación de GFI LanGuard 27

28 Operating System GFI LanGuard Agente GFI LanGuard Agente de retransmisión GFI LanGuard Windows XP Professional (SP2 o superior) Windows Small Business Server 2011 Windows Small Business Server 2008 Standard Windows Small Business Server 2003 (SP1) Windows 2000 Professional, Server o Advanced SP4 Internet Explorer 6 SP1 o superior Windows Installer 3.1 o superior Características por dispositivo, sistemas operativos y aplicaciones compatibles. En la siguiente tabla se mencionan características, sistemas operativos y aplicaciones compatibles: Tabla 7: Características admitidas por dispositivo, sistemas operativos y aplicaciones Identificación de dispositivos y examen de puertos Evaluación de vulnerabilidades Administración de revisiones Software Audit Hardware Audit Windows Server 2012 (incluso R2) Windows Server 2008 (incluido R2) Standard o Enterprise Windows Server 2003 Standard o Enterprise Windows Small Business Server 2011 Windows Small Business Server 2008 Standard Windows Small Business Server 2003 (SP1) Windows Server 2000 Versiones de cliente de Windows Windows 8 Professional/Enterprise (incluso Windows 8.1) Windows 7 Professional, Enterprise o Ultimate Windows Vista Business, Enterprise o Ultimate Windows XP Professional (SP2 o superior) Windows 2000 Professional (SP4) Aplicaciones de terceros de Windows Microsoft Office GFI LanGuard 2 Instalación de GFI LanGuard 28

29 Identificación de dispositivos y examen de puertos Evaluación de vulnerabilidades Administración de revisiones Software Audit Hardware Audit Microsoft Exchange Microsoft SQL Server Microsoft Visual Studio Otras aplicaciones de Microsoft (haga clic para obtener la lista completa) Java Runtime Environment Adobe Flash Player Adobe Reader Adobe AIR Adobe Shockwave Player Mozilla Firefox Apple Safari Apple QuickTime Apple itunes Explorador Opera Otros proveedores (Haga clic aquí para obtener la lista completa) Distribuciones de Linux Mac OS X 10.5 y superiores Red Hat Enterprise Linux 5 y superiores CentOS 5 y superiores Ubuntu y superiores Debian 6 y superiores SUSE Linux Enterprise 11.2 y superiores OpeSUSE 11 y superiores Otras distribuciones Equipos virtuales (con sistemas operativos compatibles) Vmware GFI LanGuard 2 Instalación de GFI LanGuard 29

30 Identificación de dispositivos y examen de puertos Evaluación de vulnerabilidades Administración de revisiones Software Audit Hardware Audit Microsoft Hyper-V Microsoft Virtual PC Oracle Virtual Box Citrix Xen Paralelos Network Devices Cisco (Haga clic para obtener la lista completa) HP (Haga clic para obtener la lista completa) Otros proveedores Dispositivos móviles: Google Android Apple ios Windows Phone Bases de datos compatibles GFI LanGuard utiliza una base de datos para almacenar información de auditorías de seguridad de red y operaciones de corrección. El back-end de base de datos puede ser cualquiera de los siguientes: Tabla 8: Back-end de base de datos compatibles Base de datos Microsoft Access MSDE/SQL Server Express edition SQL Server 2000 o posterior Utilización recomendada Se recomienda únicamente durante la evaluación y para un total de hasta 5 equipos. Se recomienda para redes de hasta 500 equipos. Se recomienda para redes más grandes de hasta 500 equipos o más. Componentes en los equipos de destino En la siguiente tabla se le proporciona información acerca de componentes que se deben instalar o habilitar en equipos que se examinarán de forma remota a través de GFI LanGuard: Tabla 9: Requisitos de software: componentes adicionales Componente Secure Shell (SSH) Windows Management Instrumentation (WMI) Uso compartido de archivos e impresoras Registro remoto Descripción Se requiere para destinos de examen basados en UNIX, Linux y Max OS. Se incluye comúnmente como parte de todas las distribuciones de Unix o Linux. Se requiere para destinos de examen basados en Windows. Se incluye en todos los sistemas operativos Windows 2000 o posteriores. Se requiere para enumerar y recopilar información sobre destinos de examen. Se requiere para que GFI LanGuard ejecute un servicio temporal para el examen de un destino remoto. GFI LanGuard 2 Instalación de GFI LanGuard 30

31 Componentes de servidor de GFI LanGuard adicionales El siguiente componente adicional se requiere en el equipo en el que se instale el componente de servidor de GFI LanGuard: Microsoft.NET Framework Puertos y protocolos de cortafuegos En esta sección se le proporciona información acerca de la configuración de puertos y protocolos de cortafuegos necesaria para: GFI LanGuardAgentes de servidores y de retransmisión GFI LanGuard Equipos con y sin agentes Agentes de GFI LanGuard y de retransmisión Configure su cortafuegos de modo que permita conexiones entrantes en el puerto TCP 1070 en equipos en los que se ejecuten: GFI LanGuard Agentes de retransmisión Este puerto se utiliza de forma automática cuando se instala GFI LanGuard y manipula toda comunicación entrante entre el componente del servidor y los equipos controlados. Si GFI LanGuard detecta que el puerto 1070 ya se encuentra en uso a través de otra aplicación, busca de forma automática un puerto disponible dentro del rango del 1070 al Para configurar de forma manual el puerto de comunicaciones: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Configuration y en Manage Agents. 3. En el panel derecho, haga clic en Agents Settings. 4. Desde el cuadro de diálogo Agents Settings, especifique el puerto de comunicaciones en el cuadro de texto TCP port. 5. Haga clic en OK. GFI LanGuard Equipos con y sin agentes GFI LanGuard se comunica con equipos administrados (con y sin agentes) utilizando los puertos y protocolos siguientes. En los equipos administrados, el cortafuegos se debe configurar de modo que permita solicitudes entrantes en los puertos: Tabla 10: Puertos y protocolos Puertos TCP Protocolo Descripción 22 SSH Auditoría de sistemas Linux. 135 DCOM Puerto asignado de forma dinámica. 137 NetBIOS Detección de equipos y uso compartido de recursos. 138 NetBIOS Detección de equipos y uso compartido de recursos. 139 NetBIOS Detección de equipos y uso compartido de recursos. 161 SNMP Detección de equipos. GFI LanGuard 2 Instalación de GFI LanGuard 31

32 Puertos TCP Protocolo Descripción 445 SMB Se utiliza durante: Permisos de puertas de enlace Auditoría de equipos Administración de agentes Implementación de revisiones. Para descargar actualizaciones de definiciones de seguridad, GFI LanGuard se conecta a servidores de actualización de GFI, de Microsoft y de proveedores independientes mediante HTTP. Asegúrese de que la configuración del cortafuegos del equipo en el que GFI LanGuard está instalado permita las conexiones a: *software.gfi.com/lnsupdate/ *.download.microsoft.com *.windowsupdate.com *.update.microsoft.com Todos los servidores de actualización de proveedores independientes admitidos por GFI LanGuard. Nota Para obtener más información, consulte: Aplicaciones compatibles de proveedores independientes: Boletines de aplicación compatibles: Aplicaciones de Microsoft compatibles: Boletín de Microsoft compatible: Aplicaciones antivirus y antispyware compatibles GFI LanGuard detecta archivos de definición obsoletos para varias aplicaciones de software antivirus y antispyware. Para obtener una lista completa de aplicaciones de software antivirus y antispyware compatibles, consulte lo siguiente: Importación y exportación de configuraciones GFI LanGuard le permite importar y exportar configuraciones. Entre las configuraciones que se pueden importar o exportar se incluyen las siguientes: Perfiles de detección Evaluación de vulnerabilidades Puertos (TCP/UDP) GFI LanGuard 2 Instalación de GFI LanGuard 32

33 Informes de filtrado de resultados Ajustes de corrección automática (configuraciones de desinstalación automática y revisiones) Opciones (configuraciones de back-end de base de datos, de alertas, de exámenes programados e internas). Las secciones siguientes contienen información sobre lo que se muestra a continuación: Exportación de configuraciones a un archivo Importación de configuraciones desde un archivo Importación de configuraciones desde otro GFI LanGuard Exportación de configuraciones a un archivo Para exportar las configuraciones: 1. Inicie GFI LanGuard. 2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations 3. Seleccione Export the desired configuration to a file y haga clic en Next. 4. Especifique la ruta en la que se guardará la configuración exportada y haga clic en Next. Captura de pantalla 1: Exportación de configuraciones a un archivo 5. Espere hasta que el árbol de configuración se cargue y seleccione las configuraciones que se exportarán. Haga clic en Next para iniciar la exportación. 6. Un diálogo de notificación confirmará que la exportación se ha completado. 7. Haga clic en OK para finalizar Importación de configuraciones desde un archivo Para importar configuraciones de guardado: GFI LanGuard 2 Instalación de GFI LanGuard 33

34 1. Inicie GFI LanGuard. 2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations 3. Seleccione Import the desired configuration from a file y haga clic en Next. 4. Especifique la ruta desde la que se cargará la configuración y haga clic en Next. 5. Espere hasta que el árbol de configuración se cargue y seleccione las configuraciones que se importarán. Haga clic en Next para iniciar la importación. Captura de pantalla 2: Importación de configuraciones desde un archivo 6. Confirme el cuadro de diálogo de invalidación haciendo clic en Yes o No según sea necesario. 7. En un cuadro de diálogo se confirmará que la exportación se ha completado 8. Haga clic en OK para finalizar Importación de configuraciones desde otro GFI LanGuard 1. Inicie GFI LanGuard. 2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations para iniciar el Import and Export Configurations wizard. 3. Seleccione Import the configuration from another instance y haga clic en Next. 4. Haga clic en Browse para seleccionar la carpeta de instalación de GFI LanGuard. La ubicación predeterminada es: Sistemas operativos Windows XP Professional (SP2 o superior) Windows Server 2003 Standard o Enterprise Ruta <Local Disk>\Documents and Settings\All Users\Application Data\GFI\LanGuard <Version> <Local Disk>\Documents and Settings\All Users\Application Data\GFI\LanGuard <Version> GFI LanGuard 2 Instalación de GFI LanGuard 34

35 Sistemas operativos Windows Vista Business, Enterprise o Ultimate Windows Server 2008 (incluido R2) Standard/Enterprise Windows 7 Professional, Enterprise o Ultimate Ruta <Local Disk>\ProgramData\GFI\LanGuard <Version> <Local Disk>\ProgramData\GFI\LanGuard <Version> <Local Disk>\ProgramData\GFI\LanGuard <Version> Captura de pantalla 3: Importación de configuración 5. Seleccione la configuración que desee importar y haga clic en Next. 6. Durante la importación, GFI LanGuard le preguntará si desea invalidar o conservar su configuración. Seleccione una de las siguientes opciones: Tabla 11: Opciones de invalidación Opción Sí No Auto Rename Descripción Invalidar la configuración actual a través de la configuración importada. Conservar la configuración actual e ignorar la configuración importada. Cambiar el nombre de la configuración importada y mantener la configuración actual. 7. Haga clic en OK cuando la importación esté lista. 2.4 Actualización de versiones anteriores GFI LanGuard conserva toda la información de configuración y resultados de cualquier versión anterior de GFI LanGuard. Esto le permite: Instalar GFI LanGuard sin desinstalar la versión anterior. Importar la configuración en GFI LanGuard desde otras instalaciones del programa. GFI LanGuard 2 Instalación de GFI LanGuard 35

36 Implementar agentes en los mismos equipos en los que cuenta con una versión anterior de GFI LanGuard instalada. Nota No se pueden realizar actualizaciones de software de versiones de GFI LanGuard anteriores a la 9. Nota Las claves de licencia de versiones anteriores de GFI LanGuard no son compatibles y se deben actualizar para ejecutar GFI LanGuard. Para realizar una actualización a una versión más nueva: 1. Inicie sesión utilizando credenciales de administrador en el equipo en el que desee instalar GFI LanGuard. 2. Inicie la instalación de GFI LanGuard. Captura de pantalla 4: Cuadro de diálogo de comprobación de requisitos previos GFI LanGuard 2 Instalación de GFI LanGuard 36

37 3. En el cuadro de diálogo de comprobación de requisitos previos se muestra información general del estado de los componentes que GFI LanGuard requiere para funcionar. Haga clic en Install para iniciar la instalación. 4. Siga las instrucciones en pantalla para completar la actualización. 5. Una vez que GFI LanGuard está instalado, detecta la instalación anterior e inicia de forma automática el Import and Export Configurations Wizard. Esto le permite exportar varias configuraciones de la versión anterior e importarlas a la nueva. 6. Seleccione las configuraciones que se importarán y haga clic en Next para finalizar el proceso de importación. 2.5 Acciones posteriores a la instalación GFI LanGuard se puede instalar en un equipo con una versión anterior de GFI LanGuard sin necesidad de desinstalarla. Esto le permite conservar parámetros de configuración y reutilizarlos en la versión nueva. Para importar la configuración de la versión anterior: 1. Inicie la consola de administración de GFI LanGuard desde Inicio > Programas > GFI LanGuard 2015> GFI LanGuard En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations para iniciar el Import and Export Configurations wizard. Captura de pantalla 5: Configuraciones de importación y exportación GFI LanGuard 2 Instalación de GFI LanGuard 37

38 3. Seleccione Import the configuration from another instance y haga clic en Next. 4. Haga clic en Browse para seleccionar la carpeta de instalación de GFI LanGuard. La ubicación predeterminada es: Equipos de 64 bits (x64): <Disco local>\program Files (x86)\gfi\ LanGuard <Versión> Equipos de 32 bits (x86): <Disco local>\program Files\GFI\ LanGuard <Versión> 5. Haga clic en Next. 6. Seleccione la configuración que se importará y haga clic en Next. 7. Durante la importación, GFI LanGuard le preguntará si desea invalidar o conservar su configuración existente. Seleccione: Tabla 12: Opciones de invalidación de importación Opción Sí No Auto Rename Descripción Invalidar la configuración actual a través de la configuración importada. Conservar la configuración actual e ignorar la configuración importada. Cambiar el nombre de la configuración importada y mantener la configuración actual. 8. Haga clic en OK cuando haya finalizado. 2.6 Prueba de la instalación Una vez que GFI LanGuard esté instalado, pruebe la instalación ejecutando un examen local para asegurarse de que esté correctamente instalado. 1. Inicie GFI LanGuard. GFI LanGuard 2 Instalación de GFI LanGuard 38

39 Captura de pantalla 6: Inicio de un examen 2. En la página de inicio de GFI LanGuard, haga clic en Launch a Scan. Captura de pantalla 7: Propiedades de Launch a scan 3. En el menú desplegable de Scan Target, seleccione localhost. 4. En el menú desplegable de Profile, seleccione Full Scan. 5. Haga clic en Scan para iniciar el examen en el equipo local. 6. El progreso del examen se muestra en la ficha Scan. GFI LanGuard 2 Instalación de GFI LanGuard 39

40 Captura de pantalla 8: Resumen de resultados de examen 7. Una vez completado el proceso, en la sección Progress aparecerá información general del resultado del examen. 8. Utilice las secciones Scan Results Details y Scan Results Overview para analizar el resultado del examen. Para obtener más información, consulte Interpretación de resultados de exámenes manuales (página 133). GFI LanGuard 2 Instalación de GFI LanGuard 40

41 3 Obtención de resultados En este capítulo se proporcionan instrucciones paso a paso para fortalecer la seguridad y la integridad de su red utilizando GFI LanGuard. A través de este capítulo, usted puede obtener resultados de administración de revisiones, de administración de vulnerabilidades y de cumplimiento legal positivos, y al mismo tiempo asegurarse de que su red esté protegida con las técnicas y los métodos de detección de vulnerabilidades más actualizados. Temas de este capítulo: 3.1 Evaluación eficaz de vulnerabilidades Administración eficaz de revisiones Utilización de GFI LanGuard para el seguimiento de recursos Análisis actualizado de redes y software Cumplimiento de PCI DSS Detección de dispositivos móviles Evaluación eficaz de vulnerabilidades Para desarrollar una estrategia de administración de vulnerabilidades eficaz, siga los pasos descritos a continuación: 1. Mantenga GFI LanGuard actualizado. Asegúrese de que el equipo en el que GFI LanGuard esté instalado cuente con acceso a Internet. GFI LanGuard realiza comprobaciones diarias en busca de información actualizada. Si se emplea un servidor proxy, consulte Configurar parámetros proxy. Si no se cuenta con acceso a Internet en el equipo en el que GFI LanGuard se encuentra instalado, consulte Instalación manual de actualizaciones del programa. 2. Realice auditorías de seguridad de forma regular. Exámenes programados de agentes Exámenes manuales Exámenes programados GFI LanGuard 3 Obtención de resultados 41

42 3. Implemente actualizaciones de seguridad faltantes y quite aplicaciones no autorizadas. Configuración de la corrección automática de agentes Configuración de la corrección automática Implementación de revisiones de seguridad y Service Pack Desinstalación de revisiones de software y Service Pack 4. Investigue y corrija otros problemas de seguridad. Implementación de software personalizado Acciones de protección de malware Desinstalación de aplicaciones personalizadas Utilización de asistencia remota 5. Verifique el estado de la red. Utilice Dashboard para supervisar y visualizar el estado de su red. Para obtener más información sobre Dashboard, consulte Utilización de Dashboard 3.2 Administración eficaz de revisiones GFI LanGuard le permite administrar la implementación de revisiones en su red. GFI LanGuard puede admitir actualizaciones de revisiones para lo siguiente: Sistemas operativos Windows Aplicaciones de Microsoft Se utiliza con mayor frecuencia en aplicaciones de terceros (productos Adobe, tiempos de ejecución Java y exploradores web) Sistemas operativos MAC Sistemas operativos Linux 1. Utilice Dashboard para visualizar revisiones faltantes: Vista Patches 2. Personalice el perfil de detección de las revisiones: Configuración de revisiones GFI LanGuard 3 Obtención de resultados 42

43 3. Corrija vulnerabilidades relacionadas con revisiones faltantes: Implementación de revisiones de seguridad y Service Pack Desinstalación de revisiones de software y Service Pack GFI LanGuard 3 Obtención de resultados 43

44 3.3 Utilización de GFI LanGuard para el seguimiento de recursos Los dispositivos no administrados u olvidados representan un riesgo de seguridad. Complete los siguientes pasos para realizar el seguimiento de dispositivos no administrados y olvidados: 1. Detecte automáticamente nuevos dispositivos en su red GFI LanGuard detecta de forma automática equipos nuevos en su red: Enumerate Computers Network discovery 2. Implemente agentes en equipos recientemente detectados Deploying Agents Deploy Agents Manually Agent Properties Agents Settings 3. Utilice Dashboard para visualizar vulnerabilidades relacionadas con equipos nuevos Información general Vista Computers Vista Vulnerabilities Vista Software Vista Hardware Vista System Information GFI LanGuard 3 Obtención de resultados 44

45 3.4 Análisis actualizado de redes y software El análisis de redes le permite conocer en mayor profundidad lo que sucede en su red, ya que detecta las configuraciones y aplicaciones que plantean un riesgo de seguridad en su red. Tales problemas se pueden identificar utilizando las siguientes funciones: Vistas y herramientas de GFI LanGuard Vista Software: obtenga una vista detallada de todas las aplicaciones instaladas en la red. Vista Hardware: controle el inventario de hardware de la red. System Information: vea información de seguridad confidencial y detallada sobre los sistemas presentes en la red. History: obtenga una lista de cambios de seguridad confidenciales que se produjeron en la red Software Audit: Permite generar un informe integral acerca de las aplicaciones instaladas en la red. Corrección de problemas Corrección de vulnerabilidades Configuración de la desinstalacion automática de aplicaciones no autorizadas Implementación de software personalizado Desinstalación de aplicaciones personalizadas Utilización de asistencia remota Sistemas operativos Linux GFI LanGuard le permite realizar exámenes e implementaciones para distribuciones de Linux. El siguiente es un conjunto de sistemas operativos Linux: Sistema operativo Linux Linux Redhat Enterprise 5 Cent OS 5 Debian 6 Versión Ubuntu Suse Linux Enterprise 11.2 Open Suse 11.2 Fedora 19+ Los destinos de Linux anteriores deben: GFI LanGuard 3 Obtención de resultados 45

46 Nota: Contar con conexión a Internet Estar configurados para utilizar un proxy local para actualizaciones específicas. Se necesita acceso a la raíz para realizar exámenes en busca de revisiones faltantes. GFI LanGuard 3 Obtención de resultados 46

47 3.5 Cumplimiento de PCI DSS Cumpla totalmente con el estándar PCI DSS, el estricto estándar de seguridad diseñado por las empresas de tarjetas de crédito más importantes del mundo. Al brindar una administración de vulnerabilidades completa e informes exhaustivos, GFI LanGuard se convierte en una solución esencial para que usted cuente con asistencia para su programa de cumplimiento de PCI. Para obtener más información acerca de cómo cumplir con el PCI DSS, utilice los siguientes enlaces: Formulario de registro para el cumplimiento con el estándar PCI DSS y productos de software GFI. Prácticas recomendadas Realice evaluaciones de vulnerabilidades de forma regular. Consulte Examen de su red. Corrija vulnerabilidades e implemente revisiones faltantes. Consulte Corrección de vulnerabilidades. Genere informes y visualice el estado de su infraestructura. Consulte Informes. Asegúrese de que haya software antispyware y antivirus instalado y activo en los equipos de destino. Para lograr esto, realice un examen en sus destinos utilizando el perfil de detección de Auditoría de software del grupo auditoría de software y redes. Para obtener más información, consulte Perfiles de detección disponibles (página 72). Asegúrese de que haya un cortafuegos personal instalado y activo en los equipos de destino. Para obtener más información, consulte Exámenes manuales (página 74). Asegúrese de que haya software de cifrado instalado en su red. Para obtener más información, consulte Exámenes manuales (página 74). Otros productos GFI que pueden ayudarlo a lograr el cumplimiento GFI VIPRE: solución antivirus, antispyware y de cortafuegos personal GFI EventsManager: solución de administración de registros GFI EndPointSecurity: solución de bloqueo de dispositivos 3.6 Detección de dispositivos móviles GFI LanGuard le permite administrar dispositivos móviles en su red. Realice los siguientes pasos para lograr un enfoque eficaz de administración de dispositivos móviles: 1. Detecte nuevos dispositivos móviles en su red: Detección de dispositivos móviles Configure una fuente de información de dispositivos móviles GFI LanGuard 3 Obtención de resultados 47

48 2. Envíe notificaciones relacionadas con actualizaciones faltantes: Envíe notificaciones de dispositivos móviles GFI LanGuard 3 Obtención de resultados 48

49 4 Administración de agentes GFI LanGuard se puede configurar para implementar agentes de forma automática en equipos recién detectados o manual en equipos seleccionados. Los agentes permiten realizar auditorías con mayor rapidez y reducen drásticamente la utilización de ancho de banda de red. Cuando se utilizan agentes, las auditorías se realizan utilizando el poder de recursos del destino de examen. Una vez que una auditoría finaliza, los resultados se transfieren a GFI LanGuard en un archivo XML. Temas de este capítulo: 4.1 Implementación de agentes Implementación manual de agentes Propiedades de los agentes Configuración de agentes Configuración de agentes de retransmisión Administración de grupos de agentes Actualización de agentes Implementación de agentes Para implementar agentes de GFI LanGuard en equipos de red: 1. Inicie GFI LanGuard. 2. En el menú Home, seleccione Manage Agents. Como alternativa, haga clic en la ficha Configuration y después en Agents Management. GFI LanGuard 4 Administración de agentes 49

50 Captura de pantalla 9: Manage agents 3. En Common Tasks, haga clic en Deploy Agents para seleccionar los equipos de examen de destino y haga clic en Next. Seleccione una de las opciones descritas a continuación: Tabla 13: Selección de destinos Opción Local Domain Personalizada Descripción Permite implementar agentes en todos los equipos que están al alcance dentro del mismo grupo de trabajo o dominio en el que GFI LanGuard está instalado. No se requiere configuración adicional en el paso Define target. Permite implementar agentes en equipos o grupos de equipos específicos. Agregue nuevas reglas para la búsqueda o especifique equipos de examen de destino. 4. Si se selecciona la opción Custom, haga clic en Add new rule y elija el tipo de regla (Rule type) descrito a continuación: Tabla 14: Opciones de reglas personalizadas Tipo de regla Computer name is Domain name is Descripción Introduzca manualmente un nombre de equipo o importe los nombres desde un archivo de texto (.txt) guardado. Haga clic en Select y seleccione manualmente equipos de la lista, o haga clic en Import y especifique la ubicación del archivo de texto. Permite seleccionar dominios de la lista de dominios que están al alcance. GFI LanGuard 4 Administración de agentes 50

51 Tipo de regla Organization unit is Descripción Permite seleccionar equipos de una o más unidades organizativas que estén al alcance. Utilice las siguientes opciones: Retrieve: permite especificar el nombre de usuario y la contraseña para recuperar la lista Refresh: permite actualizar la lista de dominios y unidades organizativas Add: permite agregar manualmente una unidad organizativa. Repita el paso 4 para cada regla. Una vez completado el proceso, haga clic en OK. 5. En el cuadro de diálogo Deploy Agents haga clic en Next. 6. (Opcional) Seleccione Authenticate utilizando la casilla de verificación para especificar credenciales alternativas. 7. (Optional) Haga clic en Advanced Settings y configure los parámetros de las siguientes fichas: Tabla 15: Deploy Agents: Configuración avanzada Ficha General Audit Schedule Auto remediation Descripción Permite configurar la programación según la que GFI LanGuard realizará de forma automática un examen en busca de nuevos equipos en el perímetro de la red en los que haya agentes habilitados. Permite configurar la frecuencia con que el agente realiza la auditoría del equipo host (en el que se encuentra instalado el agente). Seleccione el patrón de recursividad, la hora a la que se iniciará la auditoría y el perfil de examen que se utilizará. Permite configurar GFI LanGuard para que descargue e instale de forma automática revisiones y Service Pack faltantes. Desinstale aplicaciones no autorizadas en los equipos examinados. Para obtener más información, consulte Corrección automática (página 146). 8. Haga clic en Next y Finish para completar la implementación del agente. 4.2 Implementación manual de agentes Para implementar agentes de forma manual: 1. Inicie GFI LanGuard y seleccione Dashboard. 2. En Common Tasks, seleccione Add more computers. GFI LanGuard 4 Administración de agentes 51

52 Captura de pantalla 10: Add more computers: selección del tipo de importación 3. En el asistente Add more computers, seleccione una de las siguientes opciones: Tabla 16: Asistente Add more computers Opción Add computers from the network Add computers from a text file Add computers manually Descripción Seleccione dominios, unidades organizativas y equipos de la lista. Utilice Add domain para agregar un nuevo dominio a la lista de equipos. Importe la lista de equipos desde un archivo de texto. Haga clic en Browse y localice el archivo de texto que contiene la lista de equipos. Cree una lista de equipos manualmente. Utilice los botones Add y Remove para agregrar y quitar equipos de la lista. Utilice los botones Import y Export para importar y exportar la lista desde\t un archivo de texto. Haga clic en Next. GFI LanGuard 4 Administración de agentes 52

53 Captura de pantalla 11: Add more computers: asignación de atributos a nuevos equipos 4. Se pueden asignar atributos personalizados a equipos específicos para facilitar el agrupamiento y filtrado. En el asistente Assign attributes, configure lo siguiente: Tabla 17: Configuración de atributos Opción Skip attributes assignment Assign custom attributes Descripción No se agregan atributos a la lista de equipos. Permite asignar atributos a la lista de equipos. Haga clic en el botón Add y especifique el nombre y el valor del nuevo atributo. Nota Cuando se importa una lista de equipos desde un archivo de texto, GFI LanGuard asigna de forma automática el nombre de archivo como un atributo (archivo) a la lista importada. 5. Haga clic en Finish. Nota Si los equipos seleccionados tienen credenciales de inicio de sesión diferentes de las del equipo con GFI LanGuard, GFI LanGuard inicia un cuadro de diálogo que le permite especificar credenciales válidas. 6. Una vez que los equipos se agreguen a la lista, haga clic en Close. GFI LanGuard 4 Administración de agentes 53

54 7. En el árbol de equipos, haga clic con el botón secundario en los equipos recientemente agregados, seleccione aquel en el que se implementará el agente y, en Agent Status, haga clic en Deploy Agent. 8. Configure las propiedades del agente. Para obtener más información, consulte Propiedades de los agentes (página 54). 4.3 Propiedades de los agentes Para modificar las propiedades de los agentes: 1. Haga clic en la ficha Configuration y después en Agents Management. 2. En el panel derecho, haga clic en un agente con el botón secundario y seleccione Properties. Nota El acceso al cuadro de diálogo Properties también es posible desde el árbol de equipos de Dashboard. Haga clic con el botón secundario en un equipo o grupo y seleccione Properties. Captura de pantalla 12: Propiedades de agentes: ficha General 3.(Opcional) En la ficha General, especifique el nombre, el tipo y el método de autenticación para el agente seleccionado. GFI LanGuard 4 Administración de agentes 54

55 Captura de pantalla 13: Propiedades de los agentes: ficha Agent Status 4. En la ficha Agent Status, habilite o deshabilite la implementación del agente haciendo clic en Deploy agent o Uninstall agent. 5. Haga clic en Change scan schedule para configurar la programación del examen del agente seleccionado. 6. En el menú desplegable de Scanning profile, seleccione el perfil de detección activo. 7. En Auto remediation settings, haga clic en Change settings para habilitar o deshabilitar la corrección automática del agente. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). GFI LanGuard 4 Administración de agentes 55

56 Captura de pantalla 14: Propiedades de agentes: ficha Attributes 8. Haga clic en la ficha Attributes para administrar los atributos asignados al equipo seleccionado. Utilice los botones Add..., Edit... y Remove para administrar los atributos. GFI LanGuard 4 Administración de agentes 56

57 Captura de pantalla 15: Propiedades de los agentes: ficha Relays 9. Haga clic en la ficha Relays para configurar agentes de retransmisión. Los agentes de retransmisión permiten que los equipos que no sean el que aloja a GFI LanGuard funcionen como servidor de GFI LanGuard. Esto le permite cargar o equilibrar el tráfico dirigido a dicho equipo y optimizar el rendimiento del examen de redes. 10. Configure las opciones descritas a continuación: Tabla 18: Opciones de agentes de retransmisión Opción Set as relay... Remove relay... Connect directly to GFI LanGuard server Use relay agent Descripción Permite establecer el equipo seleccionado como agente de retransmisión. El equipo seleccionado enviará actualizaciones y revisiones del producto a otros agentes para reducir la carga del equipo con GFI LanGuard. Haga clic en Set as relay... y siga los pasos del asistente de configuración. Permite eliminar el rol de agente de retransmisión del equipo seleccionado. Haga clic en Remove relay... y siga los pasos del asistente de configuración. El equipo seleccionado descargará actualizaciones y revisiones del producto del servidor de GFI LanGuard. El equipo seleccionado utilizará un agente de retransmisión para descargar actualizaciones y revisiones del producto. Seleccione el agente de retransmisión que utilizará en la lista desplegable. 11. (Opcional) Haga clic en Advanced Settings... y configure las siguientes opciones: GFI LanGuard 4 Administración de agentes 57

58 Tabla 19: Configuración avanzada de agentes de retransmisión Opción Caching directory Port where to serve Address where to server Descripción Todas las revisiones y actualizaciones se almacenan en esta ubicación antes de la instalación en el equipo cliente. Puerto utilizado por el agente de retransmisión para las solicitudes. Dirección utilizada por equipos clientes para conectarse al agente de retransmisión (de forma predeterminada, se utiliza el nombre de host DNS). 12. Haga clic en OK dos veces. 4.4 Configuración de agentes Para configurar parámetros de agente adicionales: 1. En la ficha Configuration, seleccione Agents Management. 2. Haga clic en Agents Settings. Captura de pantalla 16: Configuración de agentes: ficha General 3. Configure las opciones descritas a continuación: Tabla 20: Configuración de agentes Opción Auto uninstall Descripción Fije el número de días después de los cuales los agentes de GFI LanGuard se desinstalarán de manera automática si el equipo host no responde durante el periodo de días fijado. GFI LanGuard 4 Administración de agentes 58

59 Opción Agents report using Descripción Configure el puerto y la dirección IP que los agentes utilizarán para comunicarse e informar el estado a GFI LanGuard. Cuando el equipo con GFI LanGuard cuenta con varias direcciones IP y se selecciona la configuración Default, GFI LanGuard selecciona de forma automática la dirección IP que se utilizará. 4. Especifique el periodo en el que se permite a los agentes descargar actualizaciones. 5. Haga clic en OK (aceptar) para guardar los datos y cerrar el cuadro de diálogo. GFI LanGuard 4 Administración de agentes 59

60 Captura de pantalla 17: Configuración de agentes: ficha Advanced 6. (Opcional) Haga clic en la ficha Advanced (avanzado) y seleccione Create temporary custom share (crear recurso compartido temporal. Cuando esta opción está habilitada y los recursos compartidos se deshabilitan en equipos de agentes, GFI LanGuard crea una carpeta temporal compartida para transferir la información. 7. Haga clic en OK para guardar los datos y cerrar el cuadro de diálogo. ADVERTENCIA La comunicación en el puerto TCP 1070 debe estar habilitada en el cortafuegos de Windows para que los agentes de GFI LanGuard envíen datos agfi LanGuard. 4.5 Configuración de agentes de retransmisión En redes más grandes, puede haber un uso mayor del ancho de banda de red debido a la cantidad de datos que se transfieren desde el servidor de GFI LanGuard a los equipos administrados. Los datos son actualizaciones de definiciones que se distribuyen entre los equipos de agentes, y revisiones que se implementan en los equipos de destino. Con el fin de evitar problemas de rendimiento y aplicar técnicas de equilibrio de carga, GFI LanGuard le permite configurar agentes para que funcionen como agentes de retransmisión del servidor. Los agentes configurados como agentes de retransmisión actúan como puntos de almacenamiento en GFI LanGuard 4 Administración de agentes 60

61 caché. Estos descargan revisiones y definiciones directamente del servidor de GFI LanGuard o de un agente de retransmisión precedente y las reenvían a equipos cliente (que pueden ser equipos de agentes o no tener agentes). Las ventajas principales de utilizar agentes de retransmisión son las siguientes: El consumo de ancho de banda se reduce en redes locales o distribuidas geográficamente. Si se configura un agente de retransmisión en cada sitio, una revisión se descarga solo una vez y se distribuye a los equipos clientes. La carga de hardware del componente del servidor de GFI LanGuard se reduce y se distribuye entre los agentes de retransmisión. La utilización de agentes de retransmisión aumenta el número de dispositivos que se pueden proteger de forma simultánea. Siga estas recomendaciones para aprovechar al máximo los agentes de retransmisión: 1. Mantenga la cantidad de equipos/agentes directamente conectados al servidor de GFI LanGuard o a un agente de retransmisión por debajo de En redes distribuidas geográficamente, designe al menos un agente de retransmisión por cada sitio remoto. Esto garantiza que cada archivo solo se transmita una vez desde el sitio del servidor de GFI LanGuard al sitio remoto. 3. Ajuste el uso de la red configurando agentes de retransmisión en cascada. Consulte las secciones siguientes para obtener información sobre lo que se muestra a continuación: Configuración de un agente como relé Configuración de opciones avanzadas de agentes de retransmisión Conexión de equipos a un agente de retransmisión Configuración de un agente como relé Para configurar un agente de modo que funcione como agente de retransmisión: Nota El equipo en el que GFI LanGuard esté instalado no se puede configurar como agente de retransmisión. La ficha Relays del cuadro de diálogo Properties falta para el host de GFI LanGuard. 1. Abra GFI LanGuard. 2. Haga clic en la ficha Configuration y después en Agents Management. 3. Haga clic con el botón secundario en el agente que desee configurar y seleccione Properties. Esto abrirá el cuadro de diálogo de Properties de agentes. Nota 3. Como alternativa, haga clic con el botón secundario en un equipo o grupo de equipos del árbol de equipos y seleccione Properties. GFI LanGuard 4 Administración de agentes 61

62 Captura de pantalla 18: Cuadro de diálogo de propiedades de agentes 4. En la ficha Relays, haga clic en Set as relay... GFI LanGuard 4 Administración de agentes 62

63 Captura de pantalla 19: Asistente Set computer as relay 5. Lea detenidamente la advertencia acerca de los requisitos de recursos para el equipo en el que se ejecuta un agente de retransmisión. Haga clic en Next. GFI LanGuard 4 Administración de agentes 63

64 Captura de pantalla 20: Elija un directorio de almacenamiento en caché para el nuevo agente de retransmisión 6. Elija la ubicación de almacenamiento en caché para el agente de retransmisión. El agente de retransmisión utiliza el directorio de almacenamiento para guardar información de auditorías y correcciones cuando se realiza la auditoría de equipos remotos. De forma predeterminada, se crea la carpeta RelayCache en C:\ProgramData\GFI\LanGuard 11\RelayCache. Haga clic en Next. Nota Utilice el marcador %AgentData% para hacer referencia rápidamente a la carpeta de datos del agente. GFI LanGuard 4 Administración de agentes 64

65 Captura de pantalla 21: Paso de resumen configuración 7. Haga clic en Finish. Nota Cuando se hace clic en Finish, el agente seleccionado se configura como agente de retransmisión. Puede controlar este proceso desde Dashboard > Overview > Agent status Configuración de las opciones avanzadas de agentes de retransmisión Para configurar las opciones avanzadas de los agentes de retransmisión: 1. Abra GFI LanGuard. 2. Haga clic en la ficha Configuration y después en Agents Management. 3. Haga clic con el botón secundario en el agente que desee configurar y seleccione Properties. Esto abrirá el cuadro de diálogo de Properties de agentes. Nota 3. Como alternativa, haga clic con el botón secundario en un equipo o grupo de equipos del árbol de equipos y seleccione Properties. GFI LanGuard 4 Administración de agentes 65

66 Captura de pantalla 22: Propiedades de agentes de retransmisión: configuración avanzada 4. Haga clic en la ficha Relays y después en Advanced settings... Captura de pantalla 23: Cuadro de diálogo Relay Agent Advanced Settings GFI LanGuard 4 Administración de agentes 66

67 5. En el cuadro de diálogo Relay Agent Advanced Settings, configure las opciones descritas a continuación: Tabla 21: Agentes de retransmisión: opciones avanzadas Opción Caching directory Dirección TCP port Descripción Ubicación en la que el agente de retransmisión almacena información en caché cuando se realiza la auditoría de equipos remotos. Muestra el nombre del equipo en el que se ejecuta el agente de retransmisión. Haga clic en Default para restaurar el valor original del campo. Puerto de comunicaciones que utiliza el agente de retransmisión para comunicarse con el servidor de GFI LanGuard. El puerto 1070 se asigna de forma predeterminada y se cambia automáticamente si GFI LanGuard detecta que otra aplicación lo utiliza. 6. Haga clic en OK Conexión de equipos a un agente de retransmisión Para conectar un equipo a un agente de retransmisión: 1. Abra GFI LanGuard. 2. Haga clic en la ficha Configuration y después en Agents Management. 3. Haga clic con el botón secundario en el agente que desee configurar y seleccione Properties. Esto abrirá el cuadro de diálogo de Properties de agentes. Nota 3. Como alternativa, haga clic con el botón secundario en un equipo o grupo de equipos del árbol de equipos y seleccione Properties. 4. Haga clic en la ficha Relays. 5. En el área Assign a relay agent, seleccione Use relay agent y elija el agente de retransmisión en el menú desplegable. 6. Haga clic en OK. 4.6 Administración de grupos de agentes El árbol de equipos le permite configurar propiedades de agentes de grupos de equipos. Para configurar propiedades de grupos de equipos: 1. En el árbol de equipos, haga clic con el botón secundario en un grupo de equipos y con el principal en Properties. 2.(Opcional) En la ficha General, especifique el nombre, el tipo y el método de autenticación para el grupo seleccionado. 3. Seleccione la ficha Agent Status y configure las siguientes opciones: Tabla 22: Estado del grupo de agentes Opción Enable automatic agents deployment Remove all agents Descripción Permite implementar agentes de forma automática en equipos recién detectados. Permite quitar todos los agentes instalados de este grupo. GFI LanGuard 4 Administración de agentes 67

68 Opción Change scan schedule Scanning profile Auto remediation settings Descripción Permite configurar la programación, el momento en que GFI LanGuard buscará nuevos equipos. Configure la programación de auditoría; el momento en que los equipos de destino se examinarán. Permite configurar las acciones de corrección automática que se realizarán en todos los equipos de este grupo. Para obtener más información, consulte Configuración de la corrección automática de agentes (página 167). 4. Seleccione Network Discovery y configure las siguientes opciones: Tabla 23: Detección de red de grupos de agentes Opción Check automatically for new machines in this group Change schedule Run now Scan OU recursively Descripción GFI LanGuard buscará equipos nuevos de forma automática. Permite cambiar la programación del momento en que GFI LanGuard buscará nuevos equipos. Permite ejecutar la detección de red. Permite realizar, de manera recursiva, ciclos en todas las unidades organizativas e inscribir equipos. 5. Seleccione la ficha Attributes para administrar los atributos asignados al equipo seleccionado. Utilice los botones Add..., Edit... y Remove para administrar los atributos. Captura de pantalla 24: Atributos de agentes GFI LanGuard 4 Administración de agentes 68

69 6. Haga clic en la ficha Relays para configurar agentes de retransmisión. Los agentes de retransmisión permiten que los equipos que no sean el que aloja a GFI LanGuard funcionen como servidor de GFI LanGuard. Esto le permite cargar o equilibrar el tráfico dirigido a dicho equipo y optimizar el rendimiento del examen de redes. Captura de pantalla 25: Agentes de retransmisión 7. Configure las opciones que se describen a continuación: Tabla 24: Opciones de agentes de retransmisión Opción Connect directly to GFI LanGuard server Use relay agent Descripción El equipo seleccionado descargará actualizaciones y revisiones del producto del servidor de GFI LanGuard. El equipo seleccionado utilizará un agente de retransmisión para descargar actualizaciones y revisiones del producto. Seleccione el agente de retransmisión que utilizará en la lista desplegable. Nota Algunas opciones se encuentran deshabilitadas debido a que solo se aplican a equipos individuales. 8. Haga clic en OK. GFI LanGuard 4 Administración de agentes 69

70 4.7 Actualización de agentes Los agentes de GFI LanGuard administran las actualizaciones de tres componentes principales: Actualizaciones de productos: Actualizaciones del agente mismo. Garantizan que los agentes se ejecuten con las actualizaciones más recientes lanzadas por GFI. Actualizaciones de definiciones de amenazas: Actualizaciones de vulnerabilidades que permiten que los agentes detecten las amenazas más recientes en cuanto los proveedores de software las detectan y corrigen. Actualizaciones de seguridad: Revisiones y Service Pack faltantes de terceros y del sistema detectados en un equipo de destino. GFI LanGuard combina las actualizaciones de producto y definiciones de amenazas y las maneja como una entidad única, independiente de las actualizaciones de seguridad Actualizaciones de definiciones de amenazas Es importante ejecutar las actualizaciones de definiciones de GFI LanGuard a intervalos regulares para garantizar que GFI detecte e informe a su solución cualquier actualización lanzada por los proveedores. El método Actualización de agentes expone un parámetro out en el que se construyen los XML de resultados. Es sincrónico y el proceso de actualización no devuelve un valor hasta que termina. GFI recomienda activar una sesión de actualización de agentes de GFI LanGuard inmediatamente después de la instalación. De esta manera, se garantiza que los agentes: adquieran los archivos de definición de revisiones más recientes de GFI, lo que asegura que los exámenes detecten siempre las revisiones faltantes más recientes; adquieran las definiciones de vulnerabilidades más recientes en cuanto sean lanzadas por GFI; adquieran actualizaciones de productos para corregir errores que surgieron tras el lanzamiento de GFI LanGuard SDK. Dada la cantidad cada vez mayor de amenazas cibernéticas sofisticadas, GFI le recomienda que busque actualizaciones una vez cada 24 horas en cada extremo o concentrador designado. Una lección que aprendió GFI es que se debe activar la búsqueda de actualizaciones en los agentes a intervalos aleatorios. Configurar los agentes para que busquen y descarguen actualizaciones en forma simultánea causa problemas no deseados de ancho de banda de red si se realiza una cantidad considerable de descargas al mismo tiempo. La aleatorización de los horarios de actualización es suficiente para facilitar el proceso de actualización, y permitir que sea imperceptible. Importante: Los agentes de GFI LanGuard se conectan a *.software.gfi.com/lnsupdate/ para recuperar actualizaciones de definiciones de amenazas. Asegúrese de que esta URL no esté bloqueada por el cortafuegos ni la puerta de enlace web. Las actualizaciones de definiciones de GFI LanGuard no incluyen revisiones ni Service Pack lanzados por Microsoft y otros proveedores. Estas actualizaciones de revisiones se administran por separado de todas las anteriores. GFI LanGuard 4 Administración de agentes 70

71 4.7.2 Actualizaciones de seguridad Las actualizaciones de seguridad se refieren a las revisiones y los Service Pack faltantes detectados en los equipos de destino por los exámenes de administración de revisiones. Estas actualizaciones corrigen errores o problemas de rendimiento del sistema operativo y de software de terceros instalados en un equipo. Las actualizaciones de revisiones se descargan directamente de los servidores de los proveedores. Las actualizaciones de Microsoft se descargan de Microsoft, y las de terceros, como Adobe y Firefox, se descargan de servidores de terceros. GFI no altera ni ofrece instalaciones personalizadas de actualizaciones de revisiones y Service Pack. Distribuimos las revisiones tal como las ofrecen y aprueban sus proveedores. Proveedores de software compatibles En la siguiente tabla se ofrecen vínculos de revisiones compatibles de aplicaciones de Microsoft y terceros: Revisiones compatibles Aplicaciones compatibles de Microsoft Aplicaciones compatibles de Microsoft (detalle) Aplicaciones compatibles de Mac OS X Aplicaciones compatibles de terceros Aplicaciones compatibles de terceros (detalle) Aplicaciones compatibles de seguridad Comprobaciones compatibles de OVAL y CVE Vínculo Importante: Verifique que la configuración de cortafuegos de los extremos, las puertas de enlace web y los servidores proxy de almacenamiento en caché permitan el tráfico de las siguientes URL: *software.gfi.com/lnsupdate/ *.download.microsoft.com *.windowsupdate.com *.update.microsoft.com GFI LanGuard 4 Administración de agentes 71

72 5 Examen de su red En este capítulo se le proporciona información acerca de los diferentes perfiles de detección que se incluyen en GFI LanGuard y también de cómo desencadenar de forma inmediata o programada exámenes manuales. Seleccione el perfil de detección y el modo de deteccción más apropiados (por ejemplo, la utilización o no utilización de agentes) según la disponibilidad y la ubicación de sus destinos de examen. Temas de este capítulo: 5.1 Acerca de los perfiles de detección Perfiles de detección disponibles Exámenes manuales Habilitación de directivas de auditoría de seguridad Exámenes programados Exámenes programados de agentes Detección de dispositivos móviles Acerca de los perfiles de detección GFI LanGuard le permite examinar su infraestructura de TI en busca de vulnerabilidades específicas utilizando conjuntos de comprobaciones preestablecidos conocidos como perfiles de detección. Los perfiles de detección le permiten examinar sus destinos de red y enumerar únicamente información específica. Por ejemplo, es posible que desee utilizar un perfil de detección que esté configurado para utilizarse al examinar los equipos de su DMZ en contraposición a su red interna. En la práctica, los perfiles de detección le permiten centrar sus esfuerzos de examen de vulnerabilidades en una área específica de su infraestructura de TI, como la identificación exclusiva de actualizaciones de seguridad faltantes. El beneficio es que el número de datos de resultados de examen que debe analizar es inferior, lo que restringe el alcance de su investigación y le permite localizar con rapidez y facilidad la información que requiere. A través de varios perfiles de detección, puede realizar diferentes auditorías de seguridad de red sin necesidad de volver a configurar cada tipo de examen de seguridad requerido. 5.2 Perfiles de detección disponibles GFI LanGuard incluye los perfiles de detección predeterminados descritos en las secciones anteriores Para crear sus propios perfiles de detección personalizados, consulte Creación de un nuevo perfil de detección. Utilice la información proporcionada en las siguientes secciones para comprender lo que cada perfil de detección detectará en sus destinos de examen: Perfiles de exámenes completos o de combinación Perfiles de evaluación de vulnerabilidades Perfiles de auditoría de redes y de software GFI LanGuard 5 Examen de su red 72

73 5.2.1 Exámenes completos o de combinación Tabla 25: Perfiles de detección completos o de combinación Perfiles de exámenes completos o de combinación Full Vulnerability Assessment Full Scan (Active) Full Scan (Slow Networks) Utilice este perfil de detección para enumerar vulnerabilidades de red en particular, como puertos TCP y UDP abiertos comúnmente explotados por troyanos además de revisiones y Service Pack faltantes. La lista de vulnerabilidades enumeradas por este perfil se puede personalizar a través de la ficha Vulnerabilities. Las aplicaciones y los dispositivos USB instalados no se enumeran a través de este perfil. Este perfil realizará un examen en busca de vulnerabilidades. Esto incluye vulnerabilidades que cuentan con una revisión de Microsoft asociada y se consideran como revisiones faltantes. Utilice este perfil de detección para recuperar información del sistema y examinar su red en busca de todas las vulnerabilidades admitidas, incluidos los puertos TCP y UDP abiertos, las revisiones y los Service Pack faltantes, los dispositivos USB conectados y más. Los tiempos de espera de las comprobaciones de vulnerabilidades de este perfil se configuran de forma específica para adaptarse al tráfico de red y a las demoras de transmisión que generalmente se asocian con los entornos de LAN. Utilice este perfil de detección para recuperar información del sistema y examinar su red en busca de todas las vulnerabilidades admitidas, incluidos los puertos TCP y UDP abiertos, las revisiones y los Service Pack faltantes, los dispositivos USB conectados y más... Los tiempos de espera de las comprobaciones de vulnerabilidades de este perfil se configuran de forma específica para adaptarse al tráfico de red y a las demoras de transmisión que generalmente se asocian con los entornos de WAN Evaluación de vulnerabilidades Tabla 26: Perfiles de detección de evaluación de vulnerabilidades Perfiles de evaluación de vulnerabilidades Top SANS 20 Vulnerabilities High Security Vulnerabilities Last Year's Vulnerabilities Only Web Missing Patches Critical Patches Last Month's Patches Only Service Packs Non- Microsoft Patches Security Patches Utilice este perfil de detección para enumerar todas las vulnerabilidades informadas en la lista de las 20 directrices principales del SANS. Utilice este perfil de detección para enumerar puertos TCP y UDP abiertos y vulnerabilidades de seguridad altas. La lista de puertos TCP y UDP y de vulnerabilidades de seguridad altas que este perfil enumerará se puede personalizar a través de las fichas TCP Ports, UDP Ports y Vulnerabilities respectivamente. Utilice este perfil de detección para enumerar vulnerabilidades de red que se produjeron durante los últimos 12 meses. Utilice este perfil de detección para identificar vulnerabilidades específicas de servidores web. Esto incluye la detección y enumeración de puertos TCP abiertos utilizados con más frecuencia por servidores web, como el 80. Solo los puertos TCP utilizados con frecuencia por servidores web se examinan a través de este perfil. Las operaciones de auditoría de red, además de la enumeración de vulnerabilidades y revisiones faltantes no se realizan con este perfil. Utilice este perfil de detección para enumerar revisiones faltantes. La lista de revisiones faltantes que este perfil enumerará se puede personalizar a través de la ficha Patches. Utilice este perfil de detección para enumerar únicamente revisiones faltantes etiquetadas como críticas. La lista de revisiones críticas que este perfil enumerará se puede personalizar a través de la ficha Patches. Utilice este perfil de detección para enumerar únicamente revisiones faltantes publicadas el mes pasado. La lista de revisiones faltantes que este perfil enumerará se puede personalizar a través de la ficha Patches. Utilice este perfil de detección para enumerar Service Pack faltantes. La lista de Service Pack faltantes que este perfil enumerará se puede personalizar a través de la ficha Patches. Utilice este perfil de detección para enumerar revisiones faltantes de terceros, como productos Adobe. Utilice este perfil de detección para enumerar revisiones de seguridad faltantes que pertenecen a Microsoft y no pertenecen a Microsoft en sus destinos de examen. GFI LanGuard 5 Examen de su red 73

74 5.2.3 Auditoría de redes y software Tabla 27: Auditoría de redes y software Perfiles de auditoría de redes y software Trojan Ports Port Scanner Software Audit Full TCP & UDP Scan Only SNMP Ping Them All Share Finder Uptimes Disks Space Usage Información del sistema Hardware Audit Network Discovery Utilice este perfil de detección para enumerar puertos TCP y UDP abiertos comúnmente explotados por troyanos conocidos. La lista de puertos TCP y UDP que se examinarán se puede personalizar a través de las fichas TCP Ports y UDP Ports respectivamente. A través de este perfil solo se examinarán los puertos TCP y UDP comúnmente explotados por troyanos conocidos. Las operaciones de auditoría de red, además de la enumeración de otros puertos TCP y UDP abiertos y revisiones faltantes no se realizan con este perfil. Utilice este perfil de detección para enumerar puertos TCP y UDP abiertos, incluidos aquellos más comúnmente explotados por troyanos. La lista de puertos faltantes que este perfil enumerará se puede personalizar a través de las fichas TCP Ports y UDP Ports. Utilice este perfil de detección para enumerar todas las aplicaciones de software instaladas en los destinos de examen. Esto incluye software de seguridad, como antivirus y antispyware. Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los puertos TCP y UDP. Utilice este perfil de detección para realizar la detección de red y recuperar información relacionada con dispositivos de hardware (enrutadores, connmutadores, impresoras, etc.) con SNMP habilitado. Esto le permite controlar dispositivos conectados a la red en busca de condiciones que demanden atención administrativa. Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los puertos actualmente conectados y en ejecución. Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los recursos compartidos abiertos, ocultos o visibles. No se realizan comprobaciones de vulnerabilidades a través de este perfil. Utilice este perfil de detección para realizar una auditoría de su red e identificar el tiempo durante el cual cada equipo ha funcionado desde el último reinicio. Utilice este perfil de detección para realizar una auditoría de su red y recuperar información del sistema relacionada con el espacio de almacenamiento disponible. Utilice este perfil de detección para recuperar información del sistema, como detalles del sistema operativo, dispositivos de red inalámbricos, virtuales o físicos conectados, dispositivos USB conectados, aplicaciones instaladas y más. Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los dispositivos de hardware actualmente conectados a sus equipos de red. Utilice este perfil de detección para enumerar cualquier dispositivo habilitado para IP conectado a su red. 5.3 Exámenes manuales El examen manual es el proceso por el que se realizan auditorías en equipos de destino sin utilizar agentes. Para realizar un examen manual en un equipo específico: 1. Inicie GFI LanGuard. 2. En la ficha Home haga clic en Launch a Scan. Como alternativa, haga clic en la ficha Scan. GFI LanGuard 5 Examen de su red 74

75 Captura de pantalla 26: Configuración de exámenes manuales 3. En el menú desplegable Scan Target, seleccione el equipo o grupo de equipos de destino de examen que se examinarán utilizando las siguientes opciones: Tabla 28: Opciones de destinos durante auditorías Opción localhost Domain: primary domain Descripción Permite realizar una auditoría del localhost en el que GFI LanGuard está instalado. Permite realizar una auditoría de todo el dominio o grupo de trabajo del equipo o servidor en los que GFI LanGuard está instalado. Nota De forma opcional, en el árbol de equipos, haga clic con el botón secundario en un equipo o grupo de equipos y seleccione Scan > Custom Scan. 4. Haga clic en el botón de exploración (...) para definir reglas personalizadas para agregar destinos de examen. GFI LanGuard 5 Examen de su red 75

76 Captura de pantalla 27: Propiedades personalizadas de los destinos 5. En el cuadro de diálogo Custom target properties, haga clic en los enlaces Add new rule... para crear una regla personalizada para equipos que desee examinar o excluir de los exámenes. GFI LanGuard 5 Examen de su red 76

77 Captura de pantalla 28: Add new rule En el cuadro de diálogo Add new rule..., seleccione el Rule type descrito a continuación para agregar equipos: Tabla 29: Propiedades personalizadas de los destinos Rule type Computer name is Computers file list is Descripción Permite buscar y agregar equipos por nombre. Escriba un nombre de equipo válido y haga clic en Add para cada equipo. Haga clic en OK para aplicar los cambios. Permite buscar y agregar equipos desde un archivo de texto. Haga clic en el botón de exploración y localice el archivo de texto. Haga clic en OK para aplicar los cambios. Nota Cuando envíe una lista de equipos de destino del archivo, asegúrese de que este último contenga únicamente un nombre de equipo de destino por línea. Domain name is IP address is IP address range is Permite buscar y agregar equipos que pertenecen a un dominio. Seleccione los dominios de la lista y haga clic en OK. Permite buscar y agregar equipos por dirección IP. Seleccione This computer para agregar el localhost o Scan another computer para agregar un equipo remoto. Escriba la dirección IP si es necesario y haga clic en OK. Permite buscar y agregar equipos dentro de un intervalo de IP. Seleccione Scan an IP address range y escriba el intervalo de IP o elija la subred CIDR y escriba el intervalo utilizando notación CIDR. Nota El Enrutamiento de interdominios sin clases (CIDR) proporciona una forma alternativa de especificar un intervalo de direcciones IP. La notación es la siguiente: <Dirección base> / <prefijo de red IP>. Ejemplo: /16 Organization unit is Permite buscar y agregar equipos dentro de una unidad organizativa. Haga clic en Select y, en la lista, elija las unidades organizativas. Haga clic en OK. GFI LanGuard 5 Examen de su red 77

78 7. Una vez que se agreguen las reglas, haga clic en OK para cerrar el cuadro de diálogo Add new rule... Haga clic en OK para cerrar el cuadro de diálogo Custom target properties y regresar a la configuración de exámenes. 8. En el menú desplegable Profile, seleccione el perfil de examen que desee que GFI LanGuard active durante el examen. Para obtener más información, consulte Perfiles de detección disponibles (página 72). 9. En el menú desplegable Credentials, seleccione el método de inicio de sesión que GFI LanGuard utilizará para iniciar sesión en los destinos de examen. En la siguiente tabla se describen las opciones disponibles: Tabla 30: Opciones de inicio de sesión y auditoría Opción Currently logged on user Alternative credentials A null session A private key file Descripción Permite utilizar las credenciales del usuario de la sesión actual al iniciar sesión en destinos de examen. Permite utilizar credenciales personalizadas. Escriba el nombre de usuario y la contraseña que utilizará. Permite iniciar sesión en destinos de examen utilizando una sesión nula. El usuario iniciará sesión en el equipo de destino como un usuario anónimo. Inicie sesión en equipos con UNIX utilizando SSH. Se requiere un nombre de usuario y una contraseña. Nota Las credenciales proporcionadas deben tener privilegios de administrador para que GFI LanGuard inicie sesión en los equipos de destino y realice la auditoría de red. 10.(Opcional) Haga clic en Scan Options y configure las opciones descritas a continuación: Tabla 31: Opciones de examen Opción Use per computer credentials when available Remember credentials Wake up offline computers Shut down computers after scan Descripción Permite iniciar sesión en los equipos de destino utilizando las credenciales especificadas en Dashboard Permite utilizar las credenciales configuradas como predeterminadas al realizar una auditoría. GFI LanGuard intenta encender los equipos fuera de línea utilizando Wake on LAN.Para obtener más información, consulte Configuración de Wake-on-LAN en destinos de examen (página 162). Permite el apagado cuando se completa un examen. 11. Haga clic en Scan para iniciar la auditoría de los destinos seleccionados. 5.4 Habilitación de directivas de auditoría de seguridad Una parte importante de cualquier plan de seguridad es la capacidad de controlar y someter a auditorías eventos de su red. Los registros de eventos derivados con frecuencia se consultan para identificar deficiencias o infracciones de seguridad. Identificar intentos y evitar que se conviertan en infracciones exitosas en la seguridad de su sistema de seguridad es esencial. En Windows, puede utilizar Directivas de grupo para configurar una directiva de auditoría que pueda realizar un seguimiento de actividades de usuarios o eventos de sistema en registros específicos. GFI LanGuard 5 Examen de su red 78

79 Para mantenerse al tanto de su directiva de auditoría de sistema, GFI LanGuard recopila los parámetros de directivas de auditorías de seguridad de los equipos de destino y los incluye en el resultado de examen. Para acceder a más información sobre el resultado, haga clic en el nodo secundario Security Audit Policy. Además de obtener conocimiento sobre los parámetros actuales de las directivas de auditoría, también puede utilizar GFI LanGuard para acceder a los parámetros de las directivas de auditoría de sus equipos de destino y modificarlos. Para lograr esto: 1. Después de examinar un equipo remoto, en el panel Scan Results Overview, haga clic con el botón secundario sobre el equipo de destino correspondiente y seleccione Enable auditing on > This computer/selected computers/all computers. Captura de pantalla 29: Asistente de administración de directivas de auditoría 2. Seleccione o desactive las directivas de auditoría de forma correspondiente y haga clic en Next para implementar los parámetros de configuración de directivas de auditoría en los equipos de destino. 3. En esta etapa, en un cuadro de diálogo se mostrará si la implementación de parámetros de directivas de auditoría tuvo éxito o no. Para continuar con la etapa siguiente, haga clic en Next. Haga clic en Back para implementar nuevamente los parámetros en equipos en los que se produjeron errores. 4. Haga clic en Finish para finalizar la configuración. Reinicie un examen para actualizar los resultados. 5.5 Exámenes programados Un examen programado es una auditoría de red programada para funcionar de forma automática en una fecha y hora específicas y con una frecuencia específica. Los exámenes programados se pueden configurar para ejecutarse una vez o de forma periódica. El estado de los exámenes programados se controla a través de la ficha Activity Monitor y de Security Scans. GFI LanGuard 5 Examen de su red 79

80 GFI recomienda exámenes programados: Cuando no se implementen agentes de GFI LanGuard en los equipos de destino. Para realizar de forma automática exámenes de vulnerabilidad de la red periódicos o regulares utilizando los mismos perfiles de detección y parámetros. Para desencadenar de forma automática exámenes después de las horas de trabajo y generar alertas además de la distribución automática de resultados de examen mediante correo electrónico. Para desencadenar automáticamente opciones de corrección automática (por ejemplo, descargar e implementar de forma automática actualizaciones faltantes). Las secciones siguientes contienen información que le servirá como guía para configurar y ejecutar exámenes programados: Creación de un examen programado Edición de parámetros de exámenes programados Configuración de propiedades de exámenes programados Creación de un examen programado 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Configuration y después en Scheduled Scans. 3. En Common Tasks, seleccione New scheduled scan. Captura de pantalla 30: Cuadro de diálogo New scheduled scan GFI LanGuard 5 Examen de su red 80

81 4. Seleccione una de las opciones descritas a continuación y haga clic en Next. Tabla 32: Tipo de examen programado nuevo Opción Scan a single computer Scan a range of computers Scan a list of computers Scan computers in text file Scan a domains or organizational units Descripción Permite examinar un localhost o un equipo específico. Permite examinar varios equipos definidos a través de un intervalo de IP. Permite crear de forma manual una lista de destinos, importar destinos desde un archivo o seleccionar destinos de la lista de redes. Permite examinar destinos enumerados en un archivo de texto específico. Permite examinar todos los destinos conectados a un dominio o una unidad organizativa especificados. 5. Según la opción seleccionada en el paso anterior, especifique los detalles de los equipos de destino respectivos y haga clic en Next. Captura de pantalla 31: Frecuencia de exámenes programados 6. Especifique la fecha, hora y frecuencia del nuevo examen programado y haga clic en Next. GFI LanGuard 5 Examen de su red 81

82 Captura de pantalla 32: Selección del perfil de detección 7. En el menú desplegable Scan job operation, seleccione el perfil de detección que se utilizará durante el examen y haga clic en Next. Para obtener más información, consulte Perfiles de detección disponibles (página 72). GFI LanGuard 5 Examen de su red 82

83 Captura de pantalla 33: Credenciales de inicio de sesión remoto 8. (Opcional) Especifique Remote logon credentials y haga clic en Next. Las credenciales de inicio de sesión remoto pueden ser una de las siguientes: Tabla 33: Credenciales de inicio de sesión remoto Opción GFI LanGuard 11 Attendant Service account Alternative credentials Descripción Realiza el examen utilizando las credenciales especificadas durante la instalación de GFI LanGuard Permite especificar credenciales alternativas para conectarse a los equipos del examen. Nota Asegúrese de que las credenciales proporcionadas tengan privilegios administrativos. SSH Private Key Use per computer credentials when available Permite escribir un nombre de usuario y seleccionar el archivo de clave utilizado para iniciar sesión en sistemas basados en UNIX o LINUX. Utilice las credenciales predeterminadas para el examen que se está configurando. GFI LanGuard 5 Examen de su red 83

84 Captura de pantalla 34: Opciones de informes de exámenes programados 9. En Power saving, configure las siguientes opciones: Tabla 34: Opciones de ahorro de energía Opción Wait for offline machines to connect to network Attempt to wake up offline computers Shut down computers after the job has finished Descripción Si se selecciona esta opción,gfi LanGuard intenta esperar que los equipos fuera de línea se conecten a la red. GFI LanGuard intenta encender los equipos fuera de línea utilizando Wake on LAN.Para obtener más información, consulte Configuración de Wake-on-LAN en destinos de examen (página 162). Una vez se ha examinado que un equipo o se ha realizado una corrección automática, GFI LanGuard intenta apagar el equipo si el tiempo se encuentra dentro del periodo especificado. Nota Si se definen opciones de apagado en las opciones de corrección automática, las opciones de ahorro de energía se ignoran. GFI LanGuard 5 Examen de su red 84

85 Captura de pantalla 35: Opciones de corrección automática de exámenes programados 10. En el cuadro de diálogo de corrección automática, seleccione las opciones requeridas y haga clic en Next. En la siguiente tabla se describe la lista de opciones disponibles: Tabla 35: Opciones de corrección automática Opción Download and deploy missing updates Download and deploy missing service packs and update rollups Desinstalación de aplicaciones no autorizadas Configure auto remediation View applications which this scan will uninstall Descripción Permite, de forma automática, descargar revisiones e implementarlas en equipos de destino. Permite, de forma automática, descargar Service Pack e implementarlos en equipos de destino. Si se selecciona esta opción, todas las aplicaciones validadas como autorizadas se desinstalarán del equipo examinado (las aplicaciones no autorizadas se definen en el inventario de aplicaciones). Para obtener más información, consulte (página 153). Permite quitar de forma automática aplicaciones no autorizadas de equipos de destino. Las aplicaciones no autorizadas se definen en el inventario de aplicaciones. Para obtener más información, consulte (página 153). Haga clic en el enlace para iniciar el cuadro de diálogo de las aplicaciones que se desninstalarán. En este se enumerarán las aplicaciones que se desinstalarán cuando el examen programado finalice. GFI LanGuard 5 Examen de su red 85

86 Captura de pantalla 36: Opciones de informes de exámenes programados 11. (Opcional) Configure Reporting options como se describe a continuación: Tabla 36: Reporting options Opción the scan report Save the scan report to disk Comparison data and auto remediation details Full scan results data Configure alerting options Override general alerting options, and send to Descripción Permite enviar un informe por correo electrónico al finalizar cada examen programado. Permite guardar un informe en el disco al finalizar cada examen programado Permite incluir detalles de acciones de corrección automática realizados y comparar resultados con los de exámenes de seguridad previos. Nota La comparación se realiza entre exámenes con los mismos destinos de examen y perfiles de detección. Permite incluir detalles de resultados de exámenes completos. (Opcional) Haga clic en Configure alerting options para especificar detalles del remitente o destinatario. Para obtener más información, consulte Configuración de opciones de alerta (página 212). (Opcional) Permite enviar un informe por correo electrónico a una dirección de correo electrónico específica. GFI LanGuard Las opciones de alerta se invalidan. GFI LanGuard 5 Examen de su red 86

87 Captura de pantalla 37: Opciones de informes de exámenes programados 12. Revise el resumen de configuración de exámenes y haga clic en Finish. Nota De forma predeterminada, los nuevos exámenes programados se encuentran deshabilitados. Para habilitarlos, seleccione la ficha Configuration, Scheduled Scans y haga clic en el botón. Nota Confirme que los nuevos exámenes programados se hayan configurado correctamente. Para ello, haga clic en la ficha Monitor de actividad > Exámenes de seguridad. GFI LanGuard 5 Examen de su red 87

88 5.5.2 Edición de parámetros de exámenes programados Los programas de exámenes se pueden revisar, editar o borrar desde la ficha Configuration, en el nodo Scheduled Scans. Todos los exámenes se mencionan en la página de revisión junto con la información relevante. Utilice la barra de herramientas de exámenes programados para realizar las acciones descritas a continuación: Tabla 37: Opciones para administrar perfiles de detección Opciones Add new scan Permite hacer que aparezca el asistente New scheduled scan y crear un nuevo examen programado. Eliminar Utilice este botón para eliminar el examen programado seleccionado. Propiedades Permite revisar y editar las propiedades del examen seleccionado. Enable/Disable Permite cambiar el estado del examen seleccionado de habilitado a deshabilitado. Esto le permite activar o suspender una programación de detección sin eliminar el examen programado. Scan now Permite desencadenar el examen programado seleccionado. Este botón invalida la configuración de fecha y hora de exámenes programados y ejecuta un examen de inmediato Configuración de propiedades de exámenes programados La página de propiedades de exámenes programados le permite configurar todos los parámetros de los exámenes programados. Para utilizar la ficha de propiedades de exámenes programados: 1. Acceda a la ficha Configuration y después a Scheduled Scans. 2. Seleccione el examen programado y haga clic en Scheduled Scan Properties. GFI LanGuard 5 Examen de su red 88

89 Captura de pantalla 38: Propiedades de exámenes programados Tabla 38: Propiedades de exámenes programados Ficha General Logon Credentials Power Saving Auto remediation Generación de informes Descripción Permite realizar cambios en la configuración de destinos de examen, el tipo de perfil de detección y la frecuencia de examen. Permite especificar credenciales de inicio de sesión utilizadas al examinar el destino especificado. Permite configurar opciones de ahorro de energía. Este cuadro de diálogo le permite configurar el examen de modo que espere que los equipos fuera de línea se conecten a la red, intente reactivar equipos fuera de línea y apague equipos cuando el examen se complete. Permite configurar las opciones de corrección aplicables al examen que se configura. Esto incluye la descarga e instalación de revisiones y Service Pack faltantes, y la desinstalación de software no autorizado. Permite configurar opciones utilizadas para el examen programado seleccionado. 3. Haga clic en OK. 5.6 Exámenes programados de agentes GFI LanGuard le permite configurar exámenes programados en equipos en los que se ejecutan agentes. La programación se puede configurar en el cuadro de diálogo de propiedades de agentes de la siguiente manera: 1. Inicie GFI LanGuard. 2. En la pantalla Home, seleccione View Dashboard. GFI LanGuard 5 Examen de su red 89

90 3. En el árbol de equipos, haga clic con el botón secundario en un equipo o grupo de equipos que desee configurar y seleccione Properties. 4. Haga clic en la ficha Agent Status y después en Change scan schedule... Captura de pantalla 39: Agent activity recurrence 5. Seleccione Enable Schedule y configure el patrón de recursividad. 6. Haga clic en OK. Nota Las propiedades adicionales se pueden configurar en el cuadro de diálogo Properties. Para obtener más información, consulte Propiedades de los agentes (página 54). GFI LanGuard 5 Examen de su red 90

91 5.6.1 Inicio manual de un exámenes de agentes Para iniciar un examen a pedido en un equipo de agente: 1. Inicie GFI LanGuard. 2. Haga clic en View Dashboard y seleccione los equipos que desee comenzar a examinar. 3. En la sección Agent Status, haga clic en Scan Now. Nota Scan Now solo se puede ver cuando Agent Status es Agent Installed. 5.7 Detección de dispositivos móviles GFI LanGuard le permite detectar y administrar dispositivos móviles (como teléfonos o tabletas) que se conecten a su fuente de administración de dispositivos móviles. Esta sección contiene información acerca de lo siguiente: Configuración de una fuente de información de un dispositivo móvil Dispositivos no administrados Configuración de una fuente de información de un dispositivo móvil Para configurar dispositivos móviles de forma manual: 1. Haga clic en la ficha Configuration (configuración) y después en > Mobile Devices (dispositivos móviles). 2. En el panel derecho, seleccione una de las opciones. GFI LanGuard 5 Examen de su red 91

92 Captura de pantalla 40: Dispositivos móviles Adición de fuentes de de administración de dispositivos móviles Para agregar una fuente de administración de un dispositivo móvil: 1. Haga clic en Agregar fuente de administración de dispositivos móviles. 2. Seleccione el tipo de fuente de administración de dispositivos móviles. GFI LanGuard 5 Examen de su red 92

93 Captura de pantalla 41: Configuración de una fuente de administración de dispositivos móviles: Selección del tipo de fuente Microsoft Exchange Server 1. Especifique las credenciales para Microsoft Exchange y haga clic en Siguiente. GFI LanGuard 5 Examen de su red 93

94 Captura de pantalla 42: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 2. Configure cuándo se debe actualizar la información de dispositivos móviles; seleccione (opcional) Exclude mobile devices y haga clic en Next. GFI LanGuard 5 Examen de su red 94

95 Captura de pantalla 43: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 3. Seleccione o deseleccione las cuentas que se deben administrar y haga clic en Finish (finalizar). Captura de pantalla 44: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos GFI LanGuard 5 Examen de su red 95

96 Microsoft Office Especifique las credenciales para Microsoft Office 365 y haga clic en Siguiente. Nota: La cuenta especificada debe pertenecer a un administrador global. Para trabajar con Microsoft Office 365 se necesita.net Framework 4.5. GFI LanGuard ofrece la posibilidad de instalar.net 4.5 de forma automática mientras se configura una nueva fuente de administración de dispositivos móviles con Microsoft Office 365. Captura de pantalla 45: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 2. Configure cuándo se debe actualizar la información de dispositivos móviles; seleccione (opcional) Exclude mobile devices y haga clic en Next. GFI LanGuard 5 Examen de su red 96

97 Captura de pantalla 46: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 3. Seleccione o deseleccione las cuentas que se deben administrar y haga clic en Finish (finalizar). Captura de pantalla 47: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos GFI LanGuard 5 Examen de su red 97

98 Google Apps for Business Nota: Si utiliza Google Apps for Business, GFI LanGuard puede recuperar la lista de dispositivos móviles que se conectan a su dominio de Google Apps. De forma predeterminada, su dominio de Google Apps no está configurado para permitir consultas de otro software, como GFI LanGuard. A continuación, se detallan los cambios paso a paso que se necesitan para que la configuración de su dominio de Google Apps habilite el examen de dispositivos móviles con GFI LanGuard. Para configurar su dominio de Google Apps para que habilite el examen de dispositivos móviles con GFI LanGuard: 1. Habilite el acceso a la API en la consola de Google Apps Admin. Inicie sesión en su cuenta de administrador y seleccione Security. Si no encuentra la opción Security, seleccione More controls > Security en las opciones que aparecen en el recuadro gris. Seleccione API reference y, luego, seleccione la casilla de verificación para habilitar el acceso a la API. Haga clic en Save para guardar los cambios. 2. Configure un proyecto nuevo en la consola de API de Google y active la API de SDK de administrador para este proyecto. 3. En la sección Credentials de su proyecto, habilite la autenticación OAuth seleccionando Create New Client ID. Elija la opción Service Account y guarde la ID de cliente, la dirección de correo electrónico y el archivo de clave privada generado de la cuenta de servicio. 4. Otorgue acceso de solo lectura a los datos de usuario de su cuenta de servicio: Abra el panel de control de su dominio de Google Apps, en Haga clic en el icono Security. Este se encuentra en la sección More controls. Seleccione Advanced tools > Manage third party OAuth Client access. En el campo de nombre de cliente, introduzca la ID de cliente de la cuenta de servicio. En el campo One or More API Scopes, copie y pegue la siguiente lista de ámbitos Haga clic en Authorize. 5. De manera opcional, habilite Application auditing, para que GFI LanGuard pueda informar las aplicaciones instaladas en los dispositivos móviles: Inicie sesión en su cuenta de administrador y seleccione Device Management/Device management settings. En la sección Advanced settings, marque la opción Enable application auditing. Haga clic en Save para guardar los cambios. GFI LanGuard 5 Examen de su red 98

99 Nota: Para obtener más información sobre cómo configurar Google Apps para el acceso a la API, consulte: Especifique las credenciales de Google Apps for Business y haga clic en Next. Captura de pantalla 48: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 3. Configure cuándo se debe actualizar la información de dispositivos móviles; seleccione (opcional) Exclude mobile devices y haga clic en Next. GFI LanGuard 5 Examen de su red 99

100 Captura de pantalla 49: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 4. Seleccione o deseleccione las cuentas que se deben administrar y haga clic en Finish (finalizar). Captura de pantalla 50: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos GFI LanGuard 5 Examen de su red 100

101 Apple Profile Manager Nota: GFI LanGuard puede consultar a Apple Profile Manager la lista de dispositivos móviles administrados, por ejemplo, teléfonos móviles o tabletas con ios. Debe introducir credenciales raíz en el OS X Server que aloja Profile Manager. 1. Especifique las credenciales de Apple Profile Manager y haga clic en Siguiente. Captura de pantalla 51: Configuración de una fuente de administración de dispositivos móviles: Detalles de la fuente 2. Configure cuándo se debe actualizar la información de dispositivos móviles; seleccione (opcional) Exclude mobile devices y haga clic en Next. GFI LanGuard 5 Examen de su red 101

102 Captura de pantalla 52: Configuración de una fuente de administración de dispositivos móviles: Programación de una auditoría 3. Seleccione o deseleccione las cuentas que se deben administrar y haga clic en Finish (finalizar). Captura de pantalla 53: Configuración de una fuente de administración de dispositivos móviles: Administración de dispositivos GFI LanGuard 5 Examen de su red 102

103 5.7.3 Administración de directivas de retención Nota: Utilice Managing retention policies (administración de directivas de retención) para realizar la limpieza de dispositivos móviles que no se hayan conectado recientemente. Para administrar directivas de retención: 1. Haga clic en la ficha Configuration (configuración) y después en > Mobile Devices (dispositivos móviles). 2. En el panel derecho, seleccione Manage retention policy (administrar directiva de retención). 3. Especifique el plazo durante el que se conservarán dispositivos inactivos. Captura de pantalla 54: Administración de directivas de retención Dispositivos no administrados GFI LanGuard no realiza auditorías completas de dispositivos móviles a menos que se haya configurado una fuente de administración de dispositivos móviles y se aprueben cuentas de usuario. Para ver dispositivos móviles no administrados: 1. Haga clic en la ficha Panel y, en el árbol de equipos, seleccione > Dispositivos móviles no administrados. GFI LanGuard 5 Examen de su red 103

104 (Opcional) Para cambiar la configuración de dispositivos no administrados: 2. En el panel derecho, seleccione un servidor que contenga dispositivos móviles no administrados y haga clic en Configure (configurar). 3. Seleccione una cuenta de usuario para comenzar a administrar los dispositivos conectados a dicha cuenta. Captura de pantalla 55: Dispositivos móviles no administrados GFI LanGuard 5 Examen de su red 104

105 6 Panel La sección Dashboard le proporciona información exhaustiva sobre seguridad según datos adquiridos durante auditorías. Entre otras posibilidades, el panel le permite determinar el nivel de vulnerabilidad actual de la red, los equipos más vulnerables y el número de equipos de la base de datos. Temas de este capítulo: 6.1 Obtención de resultados a partir del panel Utilización del panel Utilización del árbol de equipos Utilización de atributos Acciones del panel Exportación de la lista de problemas Vistas del panel Obtención de resultados a partir del panel El panel es una característica importante de GFI LanGuard. Como elemento central de la aplicación, le permite realizar todas las tareas comunes que admite GFI LanGuard, incluidas las siguientes: Supervisión de todos los equipos administrados por GFI LanGuard Administración de destinos de examen. Adición, edición o eliminación de equipos, dominios y grupos de trabajo Implementación de agentes en destinos de examen y configuración de parámetros de agentes Configuración de credenciales de equipos Configuración de opciones de corrección automática Configuración de la detección de redes recurrentes en los dominios, los grupos de trabajo o las UO Desencadenamiento de exámenes de seguridad o actualización de información de exámenes Análisis del estado de seguridad de los equipos y de detalles de auditoría Cambio a ubicaciones relevantes haciendo clic en sensores y gráficos de seguridad. GFI LanGuard 6 Panel 105

106 6.2 Utilización del panel En esta sección se proporciona información necesaria acerca de cómo utilizar el panel de GFI LanGuard. Para que aparezca el Panel: 1. Inicie GFI LanGuard y haga clic en la ficha Dashboard. Captura de pantalla 56: Visualización de Dashboard 2. En la lista de equipos, seleccione un equipo o un dispositivo móvil. La información del panel se actualiza según su selección. 6.3 Utilización del árbol de equipos GFI LanGuard incluye opciones de filtrado y agrupación que le permiten encontrar rápidamente un equipo o dominio y visualizar de inmediato los resultados. Cuando se seleccionan un equipo o grupo en el árbol de equipos, los resultados del panel se actualizan de forma automática. Presione CTRL y seleccione varios equipos para visualizar los resultados de equipos específicos. Las siguientes son funciones que admite el árbol de equipos: Filtrado simple Filtrado avanzado Agrupando GFI LanGuard 6 Panel 106

107 Búsqueda Sincronización con Active Directory Filtrado simple Para realizar el filtrado para un equipo o grupo específicos: 1. En el panel izquierdo, haga clic en Filter. 2. Configure los criterios y haga clic en Turn ON filters. Captura de pantalla 57: Filtrado simple Filtrado avanzado Para realizar el filtrado para un equipo o grupo específicos utilizando el filtrado avanzado: 1. En el panel izquierdo, haga clic en Filter y en Advanced filtering En el cuadro de diálogo Advanced Filtering, haga clic en Add. GFI LanGuard 6 Panel 107

108 Captura de pantalla 58: Adición de propiedades de filtro 3. Seleccione la propiedad de filtro para la restricción y haga clic en Next. 4. Seleccione la condición y escriba el valor de esta. Haga clic en OK. 5. Repita los pasos 2 a 4 para cada condición. Haga clic en OK Agrupando Para agrupar equipos por atributos específicos: 1. En el panel izquierdo, haga clic en Group. GFI LanGuard 6 Panel 108

109 Captura de pantalla 59: Agrupando 2. Haga clic en una de las siguientes fichas y seleccione un atributo específico: Fichas Computers (equipos) Attributes Domain and Organizational Unit Sistema operativo Network Role Relays Distribution Mobile Devices (dispositivos móviles) Attributes Cuenta de usuario Sistema operativo Modelo de dispositivo Attributes Nota Si se selecciona Attributes, elija el atributo de la lista desplegable. Para obtener más información, consulte Utilización de atributos (página 111). Si se selecciona Attributes, elija el atributo de la lista desplegable. 4. Haga clic en Apply grouping Búsqueda La ficha Search de Computers tree le permite buscar y hacer que aparezcan resultados para un equipo o grupo específicos. Para que aparezcan resultados para un equipo específico: 1. En el árbol de equipos, seleccione Search. GFI LanGuard 6 Panel 109

110 Captura de pantalla 60: Búsqueda de equipos y grupos específicos 2. Escriba los criterios o de búsqueda y utilice las siguientes opciones: Tabla 39: Opciones de búsqueda Opción Group results by information category Descripción Los resultados de búsqueda se agrupan por categoría. El resultado contiene la información de equipos más reciente. Entre otros eventos, los resultados se agrupan por: Información sobre equipos Dispositivos de hardware Usuarios de la sesión actual Procesos Group results by computer Search History Advanced search Tecnología virtual Los resultados de búsqueda se agrupan por nombre de equipo. El resultado contiene la información de equipos más reciente. Los resultados de búsqueda incluyen la información de exámenes previos. Configure opciones de búsqueda avanzadas. Nota Para obtener más información, consulte Búsqueda de texto completo (página 209) Sincronización con Active Directory Esta característica le permite realizar las siguientes tareas: Agregar equipos que están en Active Directory pero no en GFI LanGuard aún. Mover equipos a la unidad organizativa correcta en el árbol de equipos de GFI LanGuard. Quitar equipos que han sido eliminados de Active Directory pero aún se encuentran engfi LanGuard. 1. Haga clic con el botón derecho en el árbol de equipos que desea sincronizar y seleccione Synchronize with Active Directory. 2. Si aparecen, ingrese las credenciales de dominio necesarias para recuperar las unidades organizativas del dominio y haga clic en OK. 3. Haga clic en Next para iniciar el proceso de sincronización. 4. En la lista de equipos detectados, revise la lista de cambios que este proceso implementará. En dicha lista se indica en qué unidades organizativas de Active Directory se reubicará cada equipo. Haga clic en Next. GFI LanGuard 6 Panel 110

111 5. Revise la lista de equipos de Active Directory que se agregarán a GFI LanGuard. Haga clic en Next. 6. Revise la lista de equipos que ya no están presentes o que han sido eliminados de Active Directory. Haga clic en Sync. 7. Una vez finalizado el proceso, haga clic en Finish. 6.4 Utilización de atributos Los atributos le permiten agrupar y configurar equipos de forma individual o grupal en una sola operación. También le permiten corregir vulnerabilidades o implementar software en equipos específicos según el atributo asignado. Las secciones siguientes contienen información sobre lo que se muestra a continuación: Asignación de atributos a un equipo Asignación de atributos a un grupo Configuración de atributos Asignación de atributos a un equipo Para asignar atributos a un solo equipo: 1. Haga clic en la ficha Dashboard. 2. En el árbol de equipos, haga clic con el botón secundario en un equipo y seleccione Assign attributes. GFI LanGuard 6 Panel 111

112 Captura de pantalla 61: Asignación de atributos: Equipo único 3. En el cuadro de diálogo de Propiedades, ficha Attributes, haga clic en Add. 4. Configure parámetros de atributos nuevos y haga clic en OK. 5. Haga clic en OK para guardar su configuración Asignación de atributos a un grupo GFI LanGuard le permite asignar atributos a grupos, dominios unidades organizativas y redes en particular. Una vez asignados los atributos, cada miembro del grupo seleccionado hereda los parámetros de atributos. Para asignar atributos a un grupo: 1. Haga clic en la ficha Dashboard. 2. En la lista de equipos, haga clic con el botón secundario en una red y seleccione Assign attributes. 3. En el asistente Add more computers, seleccione la red y haga clic en Next. GFI LanGuard 6 Panel 112

113 Captura de pantalla 62: Asignación de atributos: varios equipos 4. Haga clic en Add y configure los atributos correspondientes. Utilice los botones Edit y Remove para editar o quitar los atributos seleccionados. 5. Haga clic en Finish para guardar su configuración Configuración de atributos Para configurar atributos: 1. En el cuadro de diálogo Properties, haga clic en la ficha Attributes. 2. Haga clic en Add para iniciar el cuadro de diálogo New attribute. Captura de pantalla 63: Cuadro de diálogo de nuevo atributo GFI LanGuard 6 Panel 113

114 3. En el menú desplegable de Name, seleccione un atributo o escriba un nombre para crear uno nuevo. 4. Especifique un valor para el atributo en el campo Value. Haga clic en OK. Repita los pasos 2 a 4 hasta añadir todos los atributos requeridos. 6. Haga clic en OK para guardar su configuración. 6.5 Acciones del panel La sección Actions le permite administrar y corregir vulnerabilidades y revisiones faltantes halladas en su red. Para acceder a la sección Actions: 1. Seleccione la ficha Dashboard. 2. Haga clic en la ficha Vulnerabilities o Patches. Captura de pantalla 64: Sección Actions de Dashboard 3. Seleccione una de las siguientes acciones: Tabla 40: Acciones del panel Acción Descripción Remediate Permite iniciar Remediation Center para implementar y administrar revisiones faltantes. Nota Para obtener más información, consulte Corrección manual (página 169). Acknowledge Ignore Change Severity Rules Manager Inicia el cuadro de diálogo Rule-Acknowledge Patch. Esto le permite confirmar problemas para que estos no afecten el nivel de vulnerabilidad de su red. Determine mediante configuración para qué equipo se aplica esta regla. Inicia el cuadro de diálogo Rule-Ignore Patch. Esto le permite ignorar revisiones faltantes o vulnerabilidades para que estas no se informen como problemas en el futuro, e incluir razones por las cuales tales vulnerabilidades se deben ignorar. Determine mediante configuración para qué equipo se aplica esta regla y el periodo de tiempo durante el cual se ignora el problema. Inicia el cuadro de diálogo Rule-Change Severity. Esto le permite cambiar el nivel de gravedad de la vulnerabilidad. Determine mediante configuración para qué equipos se aplica esta regla y también el nivel de gravedad. Inicia el cuadro de diálogo Rules Manager. Esto le permite buscar y quitar reglas configuradas y visualizar las razones para ignorar revisiones faltantes y vulnerabilidades. 6.6 Exportación de la lista de problemas GFI LanGuard le permite exportar listas de problemas al formato de documento portátil de Adobe (PDF), a Microsoft Office Excel (XLS) o al lenguaje de marcado de hipertexto (HTML). Cuando una lista GFI LanGuard 6 Panel 114

115 admite la exportación, los iconos aparecen en la esquina superior derecha de la lista. Seleccione el icono correspondiente y configure los parámetros de exportación. 6.7 Vistas del panel El panel de GFI LanGuard consta de varias vistas. Estas vistas diferentes le permiten controlar en tiempo real sus destinos de examen y realizar operaciones de corrección e informe al instante. Las secciones siguientes contienen información sobre lo que se muestra a continuación: Overview de Dashboard Vista Computers Vista History Vista de Vulnerabilities Vista Patches Vista Ports Vista Software Vista Hardware Vista System Information Información general Captura de pantalla 65: Información general del panel GFI LanGuard 6 Panel 115

116 Overview, en Dashboard, es una representación gráfica del nivel de seguridad y de vulnerabilidad de un único equipo o dominio, o bien de una red completa. Cuando un equipo o dominio se seleccionan, los resultados relacionados con estos se actualizan de forma automática en el panel. A continuación se ofrece una descripción de cada sección del panel: Tabla 41: Información de software de una auditoría Sección Network security level Computer vulnerability distribution Most vulnerable computers Agent Status Descripción Esta valoración indica el nivel de vulnerabilidad de un equpo o una red, según el número y el tipo de vulnerabilidades o revisiones que se encuentren. Un nivel de vulnerabilidad alto es el resultado de vulnerabilidades o de revisiones faltantes cuya severidad promedio es de categoría alta. Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, y muestra la distribución de vulnerabilidades en su red. Este gráfico le permite determinar cuántos equipos tienen una clasificación de vulnerabilidad alta, media o baja. Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, y muestra los equipos más vulnerables detectados durante el examen. El color del icono de la izquierda indica el nivel de vulnerabilidad. Cuando se seleccionan un dominio o grupo de trabajo, aparece un gráfico que muestra el estado de agentes general de todos los equipos dentro del dominio o grupo de trabajo. Esto le permite determinar el número de agentes instalados o las instalaciones pendientes en el dominio o grupo de trabajo seleccionados. Cuando se selecciona un equipo, esta sección muestra un icono que representa el estado de agentes. Los iconos se describen a continuación: No instalado: el agente no se ha instalado en el equipo de destino. Instalación pendiente: la instalación está pendiente. El estado puede ser pendiente cuando el equipo se encuentra fuera de línea o la instalación del agente está en curso. Desinstalación pendiente: la desinstalación está pendiente. El estado puede ser pendiente cuando el equipo se encuentra fuera de línea o la desdesinstalar del agente está en curso. Instalado: el agente está instalado en el equipo de destino. Audit status Vulnerability trends over time Computers by network role Computers by operating system Agente de retransmisión instalado: los equipos seleccionados son agentes de retransmisión. Este gráfico se encuentra disponible cuando se seleccionan un dominio o un grupo de trabajo, y le permite determinar cuántas auditorías, agrupadas por hora, se han realizado en su red. Cuando se seleccionan un dominio o grupo de trabajo, en esta sección aparece un gráfico de línea que muestra el cambio del nivel de vulnerabilidad, agrupado por conteo de equipos, en función del tiempo. Cuando se seleccionan un dominio o grupo de trabajo, en esta sección aparece un gráfico que muestra el cambio del nivel de vulnerabilidad en función del tiempo para el equipo seleccionado. Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, y muestra el número de equipos auditados, agrupados por rol de red. Entre otros roles, este gráfico identifica el número de servidores y estaciones de trabajo por dominio seleccionado. Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, y muestra el número de equipos auditados, agrupados por sistema operativo instalado. GFI LanGuard 6 Panel 116

117 Sección Computer details Scan activity Remediation Activity Top 5 Issues to Address Results statistics Security Sensors Descripción Esta sección se encuentra disponible cuando se selecciona un solo equipo y le permite ver los detalles de este. Este gráfico de línea se encuentra disponible únicamente cuando se selecciona un solo equipo y le permite ver el número de exámenes o auditorías que se realicen en el equipo seleccionado. A su vez, le permite verificar si se realizan exámenes programados. Este gráfico de línea se encuentra disponible únicamente cuando se selecciona un solo equipo y le permite ver el número de actividades de corrección que se realicen en el equipo seleccionado. Además, este gráfico le permite verificar que se realice la corrección automática. Esta sección se encuentra disponible cuando se selecciona un solo equipo y muestra los cinco problemas principales que se deben abordar para el equipo seleccionado. Esta sección se encuentra disponible cuando se selecciona un solo equipo y muestra información general del resultado de la auditoría. Entre otras posibilidades, el resultado le permite identificar el número de revisiones faltantes y de aplicaciones instaladas, los puertos abiertos y los servicios en ejecución. Esta sección le permite identificar problemas de un vistazo. Haga clic en un sensor para recorrer y mostrar los problemas y las vulnerabilidades para un equipo o grupo específicos. Los sensores le permiten identificar: Actualizaciones de software faltantes Service Pack faltantes Vulnerabilidades Problemas en cortafuegos Aplicaciones no autorizadas Estado de auditorías Configuración de credenciales Problemas de protección de malware Problemas de estado de agentes GFI LanGuard 6 Panel 117

118 6.7.2 Vista Computers Captura de pantalla 66: Resultados de análisis por equipo Seleccione esta vista para realizar auditorías en grupo de los resultados por equipo. En la lista desplegable, seleccione una de las opciones descritas a continuación: Tabla 42: Vista según la información de los equipos Opción Agent Details Vulnerabilities Descripción Seleccione esta opción para ver el estado de agentes. Esta opción le permite determinar si hay instalado un agente en un equipo y, si esto sucede, muestra el tipo de credenciales utilizadas por el agente. Permite ver el número de vulnerabilidades de un equipo agrupadas por gravedad. La gravedad de una vulnerabilidad puede ser: Alta Media Baja Patching status Potential. Vea el número de: Actualizaciones de seguridad y no de seguridad faltantes Service Pack y paquetes acumulativos de actualizaciones faltantes Actualizaciones de seguridad y no de seguridad instaladas Service Pack y paquetes acumulativos de actualizaciones instalados. GFI LanGuard 6 Panel 118

119 Opción Open ports Descripción Vea el número de: Puertos TCP abiertos Puertos UDP abiertos Software Puertas traseras. Vea el número de: Motores de protección contra la suplantación de identidad Motores antispyware Motores antivirus Aplicaciones de copia de seguridad Aplicaciones de prevención contra pérdida de datos Aplicaciones de acceso a dispositivos y cifrado de discos Cortafuegos Aplicaciones instaladas Aplicaciones de mensajería instantánea Aplicaciones entre pares Aplicaciones no autorizadas Equipos virtuales Clientes de VPN Hardware Exploradores web. Vea información sobre lo siguiente: Número de unidades de disco Espacio libre en disco Tamaño de la memoria Número de procesadores System information Otro hardware. Vea información sobre lo siguiente: El número de carpetas compartidas Número de grupos Número de usuarios Usuarios de la sesión actual Attributes Estado de la directiva de auditoría. Agrega una columna Attributes y agrupa sus destinos de examen según el atributo asignado. Nota Para la iniciar la ficha Overview y visualizar más detalles de un equipo específico, haga doble clic en un equipo de la lista. GFI LanGuard 6 Panel 119

120 Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios. GFI LanGuard 6 Panel 120

121 6.7.3 Vista History Seleccione esta vista para agrupar resultados de auditoría por fecha para un equipo específico. Para configurar la fecha de inicio del historial o el periodo del historial, haga clic en el enlace proporcionado. Captura de pantalla 67: Vista History de Dashboard GFI LanGuard 6 Panel 121

122 6.7.4 Vista Vulnerabilities Permite visualizar más detalles acerca de las vulnerabilidades halladas en una red y el número de equipos afectados. Cuando se selecciona una vulnerabilidad en la lista de Vulnerability, en la sección Details se proporciona más información sobre la vulnerabilidad seleccionada. En la sección Details (detalles) haga clic en Affected computers (equipos afectados) o en Unaffected computers (equipos no afectados) para que aparezca una lista de equipos afectados y no afectados. Captura de pantalla 68: Vista Vulnerabilities de Dashboard Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios Configuración de acciones En la sección Actions, seleccione una de las descritas a continuación para administrar y corregir vulnerabilidades y revisiones faltantes halladas en su red. Tabla 43: Acciones del panel Acción Remediate Descripción Permite iniciar Remediation Center para implementar y administrar revisiones faltantes. Nota Para obtener más información, consulte Corrección manual (página 169). GFI LanGuard 6 Panel 122

123 Acción Acknowledge Ignore Change Severity Rules Manager Descripción Inicia el cuadro de diálogo Rule-Acknowledge Patch. Esto le permite confirmar problemas para que estos no afecten el nivel de vulnerabilidad de su red. Determine mediante configuración para qué equipo se aplica esta regla. Inicia el cuadro de diálogo Rule-Ignore Patch. Esto le permite ignorar revisiones faltantes o vulnerabilidades para que estas no se informen como problemas en el futuro, e incluir razones por las cuales tales vulnerabilidades se deben ignorar. Determine mediante configuración para qué equipo se aplica esta regla y el periodo de tiempo durante el cual se ignora el problema. Inicia el cuadro de diálogo Rule-Change Severity. Esto le permite cambiar el nivel de gravedad de la vulnerabilidad. Determine mediante configuración para qué equipos se aplica esta regla y también el nivel de gravedad. Inicia el cuadro de diálogo Rules Manager. Esto le permite buscar y quitar reglas configuradas y visualizar las razones para ignorar revisiones faltantes y vulnerabilidades. GFI LanGuard 6 Panel 123

124 6.7.6 Vista Patches Permite mostrar más detalles relacionados con las revisiones y los Service Pack faltantes o instalados hallados durante una auditoría de red. Cuando se seleccionan una revisión o un Service Pack de la lista, la sección Details proporciona más información sobre la revisión o el Service Pack seleccionados. En la sección Details, haga clic en Missing on para que aparezca una lista de equipos para los que falte la revisión seleccionada. Captura de pantalla 69: Vista Patches de Dashboard Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios. GFI LanGuard 6 Panel 124

125 6.7.7 Vista Ports Permite mostrar más detalles relacionados con los puertos abiertos hallados durante una auditoría de red. Cuando se selecciona un puerto en la lista de Port, en la sección Details se proporciona más información sobre el puerto seleccionado. En la sección Details, haga clic en View computers having this port open para que aparezca una lista de equipos con el puerto seleccionado abierto. Captura de pantalla 70: Vista Ports de Dashboard Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios. GFI LanGuard 6 Panel 125

126 6.7.8 Vista Software Haga que se muestren más detalles relacionados con las aplicaciones instaladas halladas durante una auditoría de red. Cuando se selecciona una aplicación en la lista de Application, la sección Details proporciona más información sobre la aplicación seleccionada. Captura de pantalla 71: Vista Software de Dashboard En la sección Actions, seleccione una de las acciones descritas a continuación para administrar y categorizar aplicaciones de software. Tabla 44: Acciones Opción Add to category Software Categories Descripción Permite agregar aplicaciones a una categoría en particular Permite configurar reglas para categorías de software y aplicaciones en particular. Para obtener más información, consulte Configuración de categorías de software. Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios. GFI LanGuard 6 Panel 126

127 Nota Para los exámenes sin agente se requiere la ejecución temporal de un servicio en el equipo remoto. Seleccione Habilitar auditoría completa de aplicaciones de seguridad para habilitar este servicio en todos los perfiles de examen sin agente Configuración de categorías de software GFI LanGuard viene con una característica de categorías de software que le permite agregar y clasificar software según diferentes categorías. GFI LanGuard también admite la edición de detalles de software. Adición de categorías de software nuevas Adición de software nuevo a una categoría Importación de software a una categoría Personalización del software Para configurar categorías de software: 1. Haga clic en la ficha Configuración y, luego, en Categorías de software para establecer categorías para aplicaciones específicas o para crear una nueva categoría de software. Captura de pantalla 72: Software Categories GFI LanGuard 6 Panel 127

128 Adición de categorías de software nuevas Para agregar categorías de software nuevas: 1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, haga clic en la lista desplegable de Add y seleccione New software category. Captura de pantalla 73: Nombre de categoría de software 2. Escriba el nombre de la categoría de software nueva Adición de software nuevo a una categoría Para agregar software nuevo a una categoría: 1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, haga clic en la lista desplegable de Add y seleccione Add software to category. Captura de pantalla 74: Adición de software a una categoría 2. Introduzca el nombre y el editor del software nuevo y seleccione la categoría para este último Importación de software a una categoría Para importar software a una categoría: 1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, haga clic en la lista desplegable de Add y seleccione Import. GFI LanGuard 6 Panel 128

129 Captura de pantalla 75: Importación de software a una categoría 2. Seleccione el archivo de texto que contenga el nombre del software y la categoría en la que desee que se incluya el software Personalización del software Para personalizar el software de una categoría: 1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, haga clic en Edit. GFI LanGuard 6 Panel 129

130 Captura de pantalla 76: Edición de detalles de software 2. Cambie los detalles necesarios y haga clic en OK para guardar los cambios. GFI LanGuard 6 Panel 130

131 Vista Hardware Permite visualizar más nformación sobre el hardware hallado durante una auditoría de red. Seleccione el hardware de la lista para que se muestren más detalles. Captura de pantalla 77: Vista Hardware de Dashboard Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios. GFI LanGuard 6 Panel 131

132 Vista System Information En la ficha System Information se muestra información asociada con el sistema operativo de un destino de examen. Captura de pantalla 78: Vista System Information de Dashboard Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios. GFI LanGuard 6 Panel 132

133 7 Interpretación de resultados Una vez completado un examen de seguridad de red, es importante identificar las áreas que requieren atención inmediata. Utilice la información proporcionada en este capítulo a fin de determinar el análisis y el enfoque de interpretación correctos para aprovechar al máximo sus resultados de examen y aplicar las soluciones adecuadas. Temas de este capítulo: 7.1 Interpretación de resultados de exámenes manuales Carga de resultados de la base de datos Guardado y carga de resultados XML Interpretación de resultados de exámenes manuales Las secciones Scan Results Overview y Scan Results Details de la ficha Scan están diseñadas para facilitar el proceso de análisis de resultados en la mayor medida posible. Utilice la información de las siguientes secciones para aprender la manera en que se interpretan los resultados de exámenes y conocer las áreas que requieren su atención de inmediato: Visualización de resultados de exámenes Clasificación del nivel de vulnerabilidad Evaluación de vulnerabilidades Auditoría de red y de software Visualización de resultados de exámenes Utilice esta sección para interpretar resultados generados por exámenes manuales y resultados almacenados en el back-end de base de datos. Para obtener más información, consulte Exámenes manuales (página 74). Para ver resultados de exámenes manuales: 1. Inicie GFI LanGuard y haga clic en la ficha Scan. 2. Inicie un nuevo examen o cargue el resultado de la base de datos o del archivo. Para obtener más información, consulte Carga de resultados de la base de datos (página 144). 3. Una vez completado el proceso, los resultados aparecerán en las secciones Scan Result Overview y Scan Results Details. GFI LanGuard 7 Interpretación de resultados 133

134 Captura de pantalla 79: Información general de resultados En Scan Results Overview, expanda un nodo del equipo para acceder a resultados recuperados durante el examen. Los resultados de exámenes de seguridad se organizan en dos nodos secundarios con las siguientes etiquetas: Vulnerability Assessment Network & Software Audit Durante un examen, cada nodo del equipo tiene un icono que categoriza el tiempo de respuesta. En la siguiente tabla se describen los diferentes iconos utilizados por GFI LanGuard para categorizar el tiempo de respuesta. El primer icono indica que el examen se encuentra en cola y el segundo que el examen se encuentra en curso. Tabla 45: Iconos de tiempo de respuesta Categoría Información Descripción Respuesta rápida Menos de 25 ms Respuesta media Respuesta lenta Entre 25 y 100 ms Más de 100 ms GFI LanGuard 7 Interpretación de resultados 134

135 7.1.2 Clasificación del nivel de vulnerabilidad El nivel de vulnerabilidad de GFI LanGuard es una clasificación que se asigna a cada equipo examinado. La clasificación se puede visualizar desde: Scan Results Details: esta sección de la ficha Scan le proporciona un medidor de nivel de vulnerabilidad que se asigna al equipo o a los los grupos que se han examinado Dashboard: la sección Dashboard le proporciona información de equipos específicos o grupos seleccionados de equipos del árbol de equipos. Seleccione el equipo o grupo y visualice el medidor de vulnerabilidad en el panel derecho. Seleccione Entire Network para visualizar el nivel de vulnerabilidad de todos sus destinos de examen. Captura de pantalla 80: Medidor del nivel de vulnerabilidad De qué manera se calcula el nivel de vulnerabilidad? El nivel de vulnerabilidad se calcula utilizando un sistema de ponderación. Después de un examen, GFI LanGuard agrupa las vulnerabilidades detectadas en categorías ordenadas por clasificación de gravedad: Alta Media Baja Por cada clasificación se proporciona una puntuación ponderada. Esto se basa en el número total de vulnerabilidades por categoría. Nota Cuando el nivel de vulnerabilidad no se puede evaluar o no se ha realizado un examen de vulnerabilidades,gfi LanGuard proporciona la clasificación N/A. Puntuaciones de ponderación Tabla 46: Puntuaciones de ponderación de nivel de vulnerabilidad Categoría Número de vulnerabilidades detectadas Puntuaciones Vulnerabilidades altas 1 a 2 3 a 5 > Vulnerabilidades medias 1 a 2 3 a 5 > GFI LanGuard 7 Interpretación de resultados 135

136 Categoría Número de vulnerabilidades detectadas Puntuaciones Vulnerabilidades bajas 1 a 2 3 a 5 > Clasificación de puntuaciones Una vez que se categorizan las vulnerabilidades detectadas y se genera una puntuación para cada categoría, se establece el nivel de vulnerabilidad general. El nivel de vulnerabilidad es la clasificación de gravedad con la puntuación más alta. Puntuaciones de nivel de vulnerabilidad: Una puntuación de >= 8 da como resultado una clasificación de vulnerabilidad High (Alta) Una puntuación de <= 7 y >= 5 da como resultado una clasificación de vulnerabilidad Medium (Media) Una puntuación de <= 4 y >=1 da como resultado una clasificación de vulnerabilidad Low (Baja). Ejemplo Durante un examen del Equipo A, se detectaron las siguientes vulnerabilidades: 3 vulnerabilidades altas 8 vulnerabilidades medias 5 vulnerabilidades bajas. GFI LanGuard calculó la puntuación para cada categoría y dio los siguientes resultados: 3 vulnerabilidades altas = 9 8 vulnerabilidades medias = 7 5 vulnerabilidades bajas = 3. El nivel de vulnerabilidad del Equipo A es, por lo tanto, ALTO. Captura de pantalla 81: Medidor de vulnerabilidad de Dashboard El nivel de vulnerabilidad se indica utilizando una barra gráfica codificada por colores: Sección roja de la barra = nivel de vulnerabilidad alto Sección verde de la barra = nivel de vulnerabilidad bajo. GFI LanGuard 7 Interpretación de resultados 136

137 7.1.3 Evaluación de vulnerabilidades Captura de pantalla 82: Modo de evaluación de vulnerabilidades Haga clic en cualquiera de los nodos de Vulnerability Assessment para ver las vulnerabilidades de seguridad identificadas en el equipo de destino agrupadas por tipo y gravedad. Vulnerabilidades de seguridad altas Haga clic en los nodos secundarios High Security Vulnerabilities o Low Security Vulnerabilities para obtener una lista de puntos débiles detectados durante la auditoría de un dispositivo de destino. Los grupos se describen en la siguiente tabla: Tabla 47: Grupos de vulnerabilidades Grupo Mail, FTP, RPC, DNS and Miscellaneous Web Servicios Registry Software Rootkit Descripción Muestra vulnerabilidades detectadas en servidores FTP, DNS y de correo SMTP, POP3 e IMAP. Proporciona enlaces a artículos de la base de conocimientos de Microsoft o a otra documentación de asistencia. Enumera vulnerabilidades detectadas en servidores web (como problemas por configuraciones incorrectas). Entre los servidores web admitidos se incluyen Apache, Internet Information Services (IIS ) y Netscape. Enumera vulnerabilidades detectadas en servicios activos además de la lista de cuentas no utilizadas aún activas y accesibles en los destinos examinados. Enumera parámetros de configuración de un dispositivo de red examinado. Proporciona enlaces a documentación de asistencia y descripciones breves de vulnerabilidades. Enumera aplicaciones de software instaladas en los dispositivos de red examinados. Proporciona enlaces a documentación de asistencia y descripciones breves de vulnerabilidades. Enumera vulnerabilidades detectadas como consecuencia de la instalación de un rootkit en los dispositivos de red examinados. Proporciona enlaces a documentación de asistencia y descripciones breves de vulnerabilidades. Vulnerabilidades potenciales Seleccione el nodo secundario Potential vulnerabilities para ver elementos de resultados de examen clasificados como posibles puntos débiles de la red. Aunque no se clasifican como vulnerabilidades, GFI LanGuard 7 Interpretación de resultados 137

138 estas entradas de resultados de examen requieren particular atención debido a que los usuarios con malas intenciones pueden explotarlas para actividades malintencionadas. Por ejemplo, durante un examen de vulnerabilidades GFI LanGuard enumera todos los módems instalados y configurados en equipos de destino. Si no se utilizan, los módems no representan una amenaza para su red. Si se conectan a una línea telefónica, estos módems pueden, no obstante, utilizarse para obtener acceso no autorizado y no controlado a Internet. Los usuarios pueden eludir la seguridad perimetral corporativa, incluidos los cortafuegos, los antivirus, la clasificación de sitios web y el bloqueo de contenido web. Esto expone a la infraestructura de TI corporativa a una amplia variedad de amenazas, incluidos los ataques por parte de hackers. GFI LanGuard considera los módems instalados como posibles amenazas y los enumera en el nodo secundario Potential Vulnerabilities. Service Pack faltantes Haga clic en los nodos secundarios Missing Service Packs and Update Rollups o Missing Security Updates para realizar una comprobación de actualizaciones o revisiones de software faltantes. Para obtener una lista completa de Service Pack y revisiones faltantes que GFI LanGuard pueda identificar, consulte Información de boletín. Para acceder a la información de boletín, haga clic con el botón secundario en el Service Pack correspondiente, seleccione More details y después Bulletin Info. Captura de pantalla 83: Cuadro de diálogo de información de boletín Auditoría de red y de software GFI LanGuard 7 Interpretación de resultados 138

139 Captura de pantalla 84: Nodo de auditoría de redes y software Haga clic en Network & Software Audit para ver vulnerabilidades de seguridad identificadas en los destinos examinados. En esta sección, las vulnerabilidades se agrupan por tipo y severidad. Estado de la aplicación de revisiones del sistema Haga clic en System Patching Status para ver todas las revisiones faltantes e instaladas en el equipo de destino. Los enlaces disponibles son los siguientes: Missing Service Packs and Update Rollups Missing Security Updates Missing Non-Security Updates Installed Service Packs and Update Rollups Installed Security Updates Installed Non-Security Updates. GFI LanGuard 7 Interpretación de resultados 139

140 Captura de pantalla 85: Estado de las revisiones del sistema Puertos Haga clic en Ports para ver todos los puertos TCP y UDP detectados durante un examen. Si se detecta abierto un puerto comúnmente explotado, GFI LanGuard lo marca con color rojo. Nota Algunos productos de software pueden utilizar los mismos puertos que los troyanos conocidos. Para brindar seguridad adicional, GFI LanGuard identifica estos puertos como amenazas. Además de detectar puertos abiertos,gfi LanGuard utiliza tecnología de huellas de servicios para analizar los servicos que se ejecutan en los puertos abiertos detectados. Mediante la huella de servicio, GFI LanGuard puede determinar si un software malintencionado utiliza el puerto abierto detectado. GFI LanGuard 7 Interpretación de resultados 140

141 Captura de pantalla 86: Todos los puertos UDP y TCP hallados durante un examen Hardware Haga clic en Hardware para ver todos los detalles detectados por la auditoría de hardware. La auditoría de hardware, entre otras funciones, muestra datos como direcciones MAC, direcciones IP, tipos de dispositivos, proveedores de dispositivos, etc. En la siguiente tabla se describen los grupos de información sobre hardware: Tabla 48: Información sobre hardware de una auditoría Información Network Devices Local Drives Processors Motherboard Memory details Storage details Display adapters Other devices Descripción Incluye información de todos los dispositivos físicos, virtuales y enumerados por software. Incluye información sobre las unidades locales, como el espacio en disco disponible y el tipo de sistema de archivos. Incluye información relacionada con el procesador de un equipo de destino, como el nombre del proveedor y la velocidad. Incluye información relacionada con la placa base de un equipo de destino, como el nombre del producto, el fabricante, la versión y el número de serie. Incluye información relacionada con la asignación de memoria de un equipo de destino, como la memoria física o virtual libres disponibles. Incluye información relacionada con el almacenamiento de un equipo de destino, como las unidades de disquete, CD-ROM y disco duro. Incluye información relacionada con los dispositivos de pantalla y video de un equipo de destino, como el fabricante de los dispositivos. Incluye información de dispositivos que no pertenecen a las categorías mencionadas previamente, como teclados, puertos, mouse y dispositivos de interfaz humana. Software Haga clic en Software para ver todos los detalles de la auditoría de software. En la auditoría de software, entre otras funciones, se muestra información como la siguiente: Nombre de la aplicación Editor Versión. En la siguiente tabla se describen los grupos de información sobre hardware: Tabla 49: Información de software de una auditoría Icono General Applications Descripción Enumera el software instalado en los destinos de examen. GFI LanGuard 7 Interpretación de resultados 141

142 Icono Antivirus Applications Instant Messenger Applications Patch Management Applications Web Browser Applications Firewall Applications Anti phishing Applications VPN Client Applications Peer To Peer Applications Descripción Enumera motores antivirus instalados en los destinos de examen. Enumera instalaciones detectadas de aplicaciones de mensajería instantánea en los destinos de examen. Enumera todas las aplicaciones de administración de revisiones detectadas en sus destinos de examen durante un examen. Contiene destinos de examen con exploradores de Internet instalados. Enumera información sobre aplicaciones de cortafuegos instaladas en destinos de examen. Enumera información sobre motores de protección contra la suplantación de identidad instalados en destinos de examen. Incluye información sobre clientes de redes privadas virtuales de destinos de examen. Muestra aplicaciones entre pares en destinos de examen. Información del sistema Haga clic en System Information para visualizar todos los detalles relacionados con el sistema operativo instalado en el equipo de destino. En la siguiente tabla se describen los grupos de información del sistema: Tabla 50: Información de sistema de una auditoría Categoría Información Indentifica Recursos compartidos Nombre del recurso compartido Nota del recurso compartido (detalles adicionales sobre el recurso compartido). Usuarios que comparten discos duros completos, recursos compartidos con permisos de acceso vulnerables o configurados de manera incorrecta. Carpetas Inicio y archivos de sistema similares cuyo acceso es posible por parte de usuarios no autorizados o a través de cuentas de usuarios que no tienen privilegios de administrador y, no obstante, pueden ejecutar códigos en equipos de destino. Carpeta que se comparte en el equipo de destino Recursos compartidos innecesarios o no utilizados. Password Policy Permisos y derechos de acceso de recursos compartido Permisos y derechos de acceso NTFS. Extensión mínima de contraseñas Extensión máxima de contraseñas Fecha mínima de vencimiento de contraseñas Forzar cierre de sesión Historial de contraseñas. Control de bloqueo configurado de manera incorrecta Directivas de imposición de seguridad de contraseñas. GFI LanGuard 7 Interpretación de resultados 142

143 Categoría Información Indentifica Security Audit Policy Auditar eventos de inicio de sesión de cuenta Auditar administración de cuentas Auditar el acceso al servicio de directorio Auditar eventos de inicio de sesión Deficiencias o infracciones de seguridad. Nota Para ver la directiva de auditoría de seguridad, habilite las auditorías en todos los equipos. Para obtener más información, consulte Exámenes manuales (página 74). Registry NETBIOS Names Groups Usuarios Logged On Users Sessions Servicios Processes Y más Propietario registrado Organización registrada Nombre del producto Número de compilación actual. Servicio de estación de trabajo Nombre de dominio Controladores de dominio Servicio de servidores de archivos. Operadores de cuentas Administradores Operaciones de copia de seguridad Invitado. Nombre completo Privilegio Marcas Inicio de sesión. Lista de usuarios de la sesión actual. Enumera hosts conectados de manera remota al equipo de destino durante el examen. Lista de servicios activos. Lista de procesos activos. Configuración de hardware y software, como los controladores y las aplicaciones que se iniciarán de forma automática el iniciarse el sistema. Equipos no autorizados Configuraciones incorrectas. Configuraciones incorrectas Fallas de seguridad debidas a grupos de usuarios no autorizados u obsoletos. Cuentas de usuario no autorizadas, obsoletas o predeterminadas. Usuarios autorizados y no autorizados de la sesión actual en los equipos. Conexiones remotas autorizadas y no autorizadas. Procesos no autorizados o malintencionados; servicios redundantes. Procesos no autorizados o malintencionados. GFI LanGuard 7 Interpretación de resultados 143

144 Categoría Información Indentifica Remote TOD (time of day) Hora de la estación de trabajo, del servidor o del portátil remotos. 7.2 Carga de resultados de la base de datos Inconsistencias horarias y configuración regional Configuraciones incorrectas. De forma predeterminada, los resultados de exámenes guardados se almacenan en una base de datos. GFI LanGuard almacena los datos de resultados de los últimos 10 exámenes realizados por perfil de detección. Usted puede configurar el número de resultados de exámenes que se almacenan en un archivo de base de datos. Para obtener más información, consulte Configuración de opciones de mantenimiento de bases de datos (página 214). Para cargar resultados de exámenes guardados desde el back-end de base de datos o desde archivos XML: 1. Inicie GFI LanGuard. 2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations Captura de pantalla 87: Resultados de exámenes recargados 3. Seleccione el resultado de examen guardado y haga clic en OK. GFI LanGuard 7 Interpretación de resultados 144

145 4. Analice los resultados cargados. Para obtener más información sobre cómo interpretar resultados, consulte las siguientes secciones: Evaluación de vulnerabilidades Auditoría de red y de software. 7.3 Guardado y carga de resultados XML Los resultados de examen son una fuente de información de valor incalculable para los administradores de sistemas. GFI LanGuard Los resultados se almacenan en una base de datos de SQL Server o Access. A su vez, los resultados de exámenes también se pueden exportar al formato XML. Para guardar resultados de exámenes en un archivo XML: 1. Inicie GFI LanGuard. 2. Realice un examen manual. Para obtener más información, consulte Exámenes manuales (página 74). 3. Una vez finalizado el examen, haga clic en el botón File y después en Save Scan Results, en GFI LanGuard. 4. Localice el destino en el cual desee guardar el archivo XML y haga clic en Save. Para cargar resultados de exámenes guardados desde un archivo XML: 1. En GFI LanGuard, haga clic en el botón File, en Load Scan Results from y después en XML File 2. Localice los resultados de exámenes que se cargarán y haga clic en OK. 3. Analice los resultados cargados. Nota Para obtener más información sobre cómo interpretar resultados, consulte las siguientes secciones: Evaluación de vulnerabilidades Auditoría de red y de software GFI LanGuard 7 Interpretación de resultados 145

146 8 Corrección de vulnerabilidades GFI LanGuard le permite corregir de forma manual y automática vulnerabilidades en equipos de la red. Utilice la información de este capítulo para aprender a configurar y administrar operaciones de corrección a fin de mantener un alto nivel de seguridad en sus destinos de examen. Temas de este capítulo: 8.1 Corrección automática Corrección manual Envío de notificaciones de dispositivos móviles Corrección automática La corrección automática le permite, de forma automática, descargar e implementar revisiones faltantes e instalar aplicaciones no autorizadas durante operaciones programadas. IMPORTANTE La corrección automática y la desinstalación de aplicaciones no autorizadas solo funcionan con perfiles de detección que detectan revisiones faltantes o aplicaciones instaladas. Tareas de corrección automática: Revisión de consideraciones de corrección automática Configuración de la implementación automática de actualizaciones faltantes Configuración de la desinstalacion automática de aplicaciones no autorizadas Configuración de opciones de corrección automática Configuración de Wake-on-LAN en equipos clientes Configuración de opciones de reinicio y apagado de usuarios finales Definición de mensajes de corrección automática Configuración de la corrección automática de agentes Configuración de categorías de software Notas acerca de la corrección automática Antes de habilitar y configurar las opciones de corrección automática, repase las notas acerca de lo siguiente: Instalación del software Pruebe siempre las revisiones en un entorno de prueba antes de la implementación. De forma predeterminada, las actualizaciones de Microsoft no están habilitadas para la implementación automática. Apruebe manualmente cada revisión (a medida que se prueben) o fije todas las actualizaciones de Microsoft como aprobadas. GFI LanGuard 8 Corrección de vulnerabilidades 146

147 Desinstalación del software Para la desinstalación del software se requiere un proceso de 3 etapas a fin de determinar si la aplicación seleccionada admite la desinstalación silenciosa: Tabla 51: Etapas de corrección automática Etapa Etapa 1 Etapa 2 Etapa 3 Descripción Seleccione la aplicación que se desintalará de forma automática. Asegúrese de que la aplicación admita la desinstalación silenciosa. Pruebe esto intentando desinstalar la aplicación de forma remota. Este es el proceso de validación. Configure una auditoría programada que quitará la aplicación no autorizada. Esto se realiza de forma automática (mediante agentes) o manual (enfoque sin agentes). La corrección automática y la desinstalación de aplicaciones no autorizadas solo funcionan con perfiles de detección que detectan revisiones faltantes o aplicaciones instaladas Configuración de la implementación automática de actualizaciones faltantes GFI LanGuard incluye una característica de implementación automática de revisiones que le permite implementar revisiones y Service Pack faltantes en todos los idiomas admitidos por los productos de Microsoft. GFI LanGuard también admite la aplicación de revisiones en el caso de revisiones de terceros (no pertenecientes a Microsoft ). Para obtener una lista completa de las aplicaciones de terceros compatibles, consulte Consulte la sección siguiente para obtener información sobre lo que se muestra a continuación: Habilitación de la implementación automática de revisiones Configuración de las opciones avanzadas de implementación automática de revisiones Configuración de los parámetros de descarga automática de revisiones Habilitación de la implementación automática de revisiones Para configurar la implementación automática de revisiones: 1. Haga clic en la ficha Configuración y, luego, en Actualizaciones de software > Implementación automática de revisiones. 2. En el panel derecho, seleccione el método para la aprobación Aprobación manual Utilice la ficha Manual approval (aprobación manual) para aprobar las revisiones una por una. Esto se logra utilizando la lista de revisiones no aprobadas agrupadas por proveedor o gravedad que desee aprobar. GFI LanGuard 8 Corrección de vulnerabilidades 147

148 Captura de pantalla 88: Implementación automática de revisiones: Aprobación manual Nota Escriba un criterio de búsqueda y haga clic en Find para buscar una aplicación específica. Aprobación automática La ficha Aprobación automática le permite especificar qué grupo de revisiones se aprobará de forma automática según una categoría para un vendedor en particular. GFI LanGuard 8 Corrección de vulnerabilidades 148

149 Captura de pantalla 89: Implementación automática de revisiones: Aprobación automática Configuración de las opciones avanzadas de implementación automática de revisiones Para configurar la corrección automática: 1. Haga clic en la ficha Configuration y después en Software Updates y Patch Auto Deployment y, en Common Tasks, haga clic en Advanced options. GFI LanGuard 8 Corrección de vulnerabilidades 149

150 Captura de pantalla 90: Opciones avanzadas de implementación automática de revisiones 2. Configure las opciones siguientes: Tabla 52: Opciones avanzadas de implementación automática de revisiones Opción Send an when new patches or service packs are available (enviar un correo electrónico cuando haya revisiones o service packs nuevos disponibles). Show all patches (mostrar todas las revisiones): Show patches for products that were detected in the network (mostrar revisiones para productos detectados en la red): Descripción Permite enviar un mensaje de correo electrónico cuando se identifican nuevas revisiones. Muestra todas las revisiones identificadas. Muestra únicamente las revisiones identificadas en la red seleccionada. 3. Seleccione las casillas de verificación correspondientes y haga clic en OK para guardar los cambios. Configuración de los parámetros de descarga automática de revisiones GFI LanGuard incluye una característica de implementación automática de revisiones que le permite implementar revisiones y Service Pack faltantes de forma automática en todos los idiomas admitidos por los productos de Microsoft. A su vez, también puede programar la descarga automática de revisiones especificando el plazo dentro del que se realizará la descarga de revisiones. Para configurar la descarga automática de revisiones: 1. Haga clic en la ficha Configuration y después en Software Updates y Patch Auto Download. 2. En el panel derecho, haga clic en el enlace. GFI LanGuard 8 Corrección de vulnerabilidades 150

151 Captura de pantalla 91: Configuración de las propiedades de descarga automática de revisiones 3. En la ficha General, seleccione All patches o Only needed patches. 4. En la ficha Todas las revisiones, haga clic en Configurar a fin de limitar la descarga automática de revisiones para los idiomas configurados. GFI LanGuard 8 Corrección de vulnerabilidades 151

152 Captura de pantalla 92: Configuración de la descarga automática de revisiones - Propiedades de Todas las revisiones Nota Cuando se selecciona Todas las revisiones > Configurar, los administradores pueden seleccionar manualmente las revisiones de Microsoft para descargar, sin importar si es necesario implementarlas o no. La opción Solo las revisiones necesarias permite descargar únicamente las revisiones que es necesario implementar. GFI LanGuard 8 Corrección de vulnerabilidades 152

153 Captura de pantalla 93: Patch Repository settings 4. Para cambiar la ubicación en la que se almacenarán las revisiones descargadas, haga clic en la ficha Patch Repository y especifique los detalles requeridos. 5. Seleccione Usar los archivos descargados por WSUS si están disponibles si utiliza una configuración existente de WSUS. 6. Seleccione Quitar las revisiones que no se han usado durante y seleccione el plazo, si desea quitar archivos que no se han utilizado para implementar correcciones en el plazo especificado. 7. Para cambiar el plazo durante el que se realizarán las descargas de revisiones, haga clic en la ficha Plazo y especifique los detalles requeridos. 8. Haga clic en Apply y en OK Configuración de la desinstalacion automática de aplicaciones no autorizadas La desinstalación automática de aplicaciones implica que las aplicaciones marcadas como no autorizadas para perfiles de detección específicos se validan primero para una desinstalación automática exitosa en un equipo de prueba. Posteriormente, un examen programado según el perfil de detección, para el que la aplicación se marca como no autorizada, se configura para desinstalar aplicaciones de forma automática. El inventario de aplicaciones de GFI LanGuard proporciona una lista de todas las aplicaciones detectadas durante exámenes pasados. La lista se utiliza para especificar aplicaciones no GFI LanGuard 8 Corrección de vulnerabilidades 153

154 autorizadas. También puede agregar aplicaciones a la lista de forma manual. Puede hacer esto especificando el nombre completo o parte de él, nombres genéricos o parte del nombre de una aplicación. GFI LanGuard examina de forma automática la lista de aplicaciones y detecta partes de nombres. Consulte las secciones siguientes para obtener información sobre lo que se muestra a continuación: Configuración de una aplicación como no autorizada Adición de nuevas aplicaciones a la lista no autorizada Validación de aplicaciones no autorizadas para la desinstalación automática Administración de exámenes programados aplicables Configuración de una aplicación como no autorizada 1. Haga clic en la ficha Configuration y después en el nodo secundario Applications Inventory. 2. En la lista de aplicaciones detectadas a la derecha, haga doble clic en la aplicación para fijarla como no autorizada. Captura de pantalla 94: Aplicación no autorizada 3. Seleccione el perfil de detección para el que esta aplicación se fijará como no autorizada y haga clic en Next. 4.GFI LanGuard puede asociar partes de nombres con entradas que ya se encuentran en la lista. Como resultado, el sistema le solicitará confirmar si se deben aplicar los mismos cambios a aplicaciones que comparten parcialmente el mismo nombre. 5. Haga clic en Finish para finalizar la configuración. GFI LanGuard 8 Corrección de vulnerabilidades 154

155 Adición de nuevas aplicaciones a la lista no autorizada 1. Haga clic en la ficha Configuration y después en el nodo secundario Applications inventory. 2. En Common Tasks, haga clic en Add a new application. 3. En la pantalla de bienvenida, haga clic en Next. Captura de pantalla 95: Asistente del inventario de aplicaciones 4. Especifique el nombre de la aplicación. Opcionalmente, proporcione el número de versión y el nombre del editor. Haga clic en Next. 5. Seleccione los perfiles de detección que detectarán aplicaciones no autorizadas (por ejemplo, Full Scan) y haga clic en Next. 6. Especifique si los cambios realizados tendrán efecto en las aplicaciones con coincidencias de nombre parciales o completas. Haga clic en Next para continuar. 7. Revise la información y haga clic en Finish. Validación de aplicaciones no autorizadas para la desinstalación automática La validación de desinstalación automática de aplicaciones le permite validar el procedimiento de desinstalación para las aplicaciones que GFI LanGuard deba desinstalar de forma automática. Este es un requisito previo al proceso de desinstalación real y no se desinstalan aplicaciones durante los exámenes a menos que estas se verifiquen. 1. Haga clic en la ficha Configuration y después en Applications Inventory y Auto Uninstall Validation GFI LanGuard 8 Corrección de vulnerabilidades 155

156 Captura de pantalla 96: Validación de la desinstalación automática de aplicaciones 2. En el panel derecho, seleccione una aplicación que se validará y haga clic en Validate. 3. En el asistente Application Auto Uninstall Validation, haga clic en Next. 4. Seleccione el equipo en el que se probará la desinstalación automática de aplicación y haga clic en Next. 5. Proporcione los detalles de autenticación para la operación de validación y haga clic en Next. 6. Revise la información del asistente de validación de desinstalación automática y haga clic en Start. Administración de exámenes programados aplicables El botón Manage applicable scheduled scans... le permite revisar o editar exámenes programados, con lo que se realizará la instalación automática de aplicaciones validadas. Para administrar un examen programado: 1. En el panel Auto Uninstall validation, haga clic en Manage applicable scheduled scans En el cuadro de diálogo Manage applicable scheduled scans..., haga clic en una de las opciones descritas a continuación: Tabla 53: Manage applicable scheduled scans... Opción Edit selected scan Descripción Permite modificar el examen programado seleccionado. Para obtener más información, consulte Edición de parámetros de exámenes programados (página 88). GFI LanGuard 8 Corrección de vulnerabilidades 156

157 Opción Create a new scheduled scan View all scheduled scans Descripción Permite agregar un examen programado nuevo utilizando el asistente de examen programado nuevo. Para obtener más información, consulte Creación de un examen programado (página 80). Permite administrar los exámenes programados. Para obtener más información, consulte Edición de parámetros de exámenes programados (página 88) Configuración de opciones de corrección automática Para editar las opciones generales de implementación: 1. Inicie GFI LanGuard. 2. En el árbol de equipos, haga clic con el botón secundario en un equipo o grupo de equipos y seleccione Properties. Captura de pantalla 97: Propiedades de equipos 3. Seleccione la ficha Agent Status y, en Auto remediation settings, haga clic en Change settings... GFI LanGuard 8 Corrección de vulnerabilidades 157

158 Captura de pantalla 98: Configuración general de corrección automática 4. Seleccione la medida que se debe tomar después la recepción de los resultados de examen del agente. Haga clic en Configure auto-remediation options... GFI LanGuard 8 Corrección de vulnerabilidades 158

159 Captura de pantalla 99: Opciones previas a la implementación 5. Configure las opciones de Before Deployment descritas a continuación: Tabla 54: Antes de la implementación Opción Wake up offline computers Warn user before deployment (show message) Wait for user s approval Mensajes Administrative shares Custom shares Remember settings Descripción Permite encender equipos si se encuentran apagados. Para obtener más información, consulte Configuración de Wake-on-LAN en destinos de examen (página 162). Muestra un mensaje en el equipo de destino para advertir al usuario antes de implementar el software. Espere la aprobación del usuario software antes de implementar el software. Haga clic en Messages para seleccionar el idioma del equipo del usuario final y definir el mensaje de advertencia. Para obtener más información, consulte Configuración de mensajes de corrección automática (página 163). Permite realizar una copia del software en los recursos compartidos de red predeterminados. Permite realizar una copia del software en un recurso compartido personalizado. Escriba el nombre de la carpeta en el cuadro de texto. Guarda sus parámetros configurados y los utiliza durante la tarea de corrección siguiente. GFI LanGuard 8 Corrección de vulnerabilidades 159

160 Captura de pantalla 100: Opciones posteriores a la implementación 6. Haga clic en la ficha After Deployment. Configure las opciones de After Deployment descritas a continuación: Tabla 55: Después de la implementación Opción Do not reboot/shutdown the computer Reboot the target computers Shut down the target computers Immediately after deployment At the next occurrence of When between Descripción Seleccione esta opción para dejar los destinos de examen encendidos después de la corrección de vulnerabilidades. Reinicia los equipos después de la corrección de vulnerabilidades. El equipo de destino se apagará después de la implementación del software. Reinicia o apaga los equipos de inmediato después de corregir las vulnerabilidades. Permite especificar la hora en que los equipos se reinician o se apagan. Esta opción le permite especificar los valores de hora y día. Si la tarea de corrección se completa entre las horas especificadas (hora de inicio y finalización), los equipos se reiniciarán o apagarán de inmediato. De lo contrario, la operación de reinicio o apagado se pospondrá hasta el próximo ingreso en el intervalo de tiempo especificado. GFI LanGuard 8 Corrección de vulnerabilidades 160

161 Opción Let the user decide Show notification before shut down for Delete copied files from remote computers after deployment Realice un examen de verificación de revisiones después de la implementación Remember settings Descripción Haga clic en Preview para ver una captura de pantalla del cuadro de diálogo en el manual del usuario. Este cuadro de diálogo se abre en el equipo del usuario final después de la corrección de vulnerabilidades. Para obtener más información, consulte Configuración de opciones de reinicio y apagado de usuarios finales (página 163). Muestra un mensaje personalizado en el equipo del usuario final durante un número de minutos específico antes del reinicio o del apagado. Elimina las revisiones y los Service Pack descargados después la implementación de estos. Verifica revisiones implementadas y examina el destino una vez que finaliza el proceso de implementación. Nota: Si el usuario opta por reiniciar el equipo después de la implementación, el examen de verificación de revisiones comenzará cuando la máquina se haya reiniciado. Si el usuario opta por apagar el equipo después de la implementación, el equipo se reiniciará y el examen de verificación de revisiones se encargará de apagarlo. Guarda sus parámetros configurados y los utiliza durante la tarea de corrección siguiente. Captura de pantalla 101: Opciones avanzadas de implementación 7. (Opcional) Seleccione la ficha Advanced. Configure las opciones descritas a continuación: GFI LanGuard 8 Corrección de vulnerabilidades 161

162 Tabla 56: Opciones avanzadas de implementación Opción Number of deployment threads Deployment timeout (seconds) Deploy patches under the following administrative account Descripción Permite especificar el número máximo de subprocesos de procesamiento cuyo inicio se permita al implementar actualizaciones de software. El número de subprocesos determina el número de operaciones de implementación simultáneas que un agente puede manejar. Permite especificar el tiempo (en segundos) durante el que un agente intentará implementar una actualización. Si se excede el tiempo especificado, el agente detiene la implementación que no responda e inicia un nuevo subproceso de implementación. Esta característica le permite detener el subproceso de procesamiento, para que la operación de corrección continúe sin poner en riesgo lo demás cuando una actualización exceda el tiempo de implementación normal. Seleccione esta opción para utilizar una cuenta administrativa a fin de registrar e implementar revisiones en equipos de destino. La cuenta seleccionada debe contar con la opción Log on as service privilege en los equipos de destino. Para obtener más información acerca de cómo configurar una cuenta con la opción Log on as service privilege, consulte 8. Haga clic en OK para aplicar los cambios. Configuración de Wake-on-LAN en destinos de examen Wake-on-LAN permite que GFI LanGuard reactive equipos que estén en los siguientes estados: Apagado Suspensión Hibernación. La placa base y la tarjeta de interfaz de red del equipo en el que se ejecute GFI LanGuard deben ser compatibles con Wake-on-LAN. Para configurar Wake-on-LAN en Windows 7: 1. Haga clic con el botón principal en Start, después con el secundario en Computer y seleccione Manage. 2. En el panel izquierdo, expanda System Tools y haga clic en Device Manager. 3. Haga clic con el botón secundario en la tarjeta de interfaz de red y seleccione Properties. 4. En la ficha Power Management, configure las siguientes opciones: Allow this device to wake up the computer Only allow a magic packet to wake the computer Nota Magic Packet es la señal de reactivación enviada por GFI LanGuard a la tarjeta de red del destino de examen. 5. Haga clic en OK. Una vez que se configure la tarjeta de interfaz de red, ejecute un examen COMPLETO en el equipo cliente. Esto permite a GFI LanGuard recopilar la información requerida del equipo cliente. Para obtener más información, consulte Exámenes manuales (página 74). GFI LanGuard 8 Corrección de vulnerabilidades 162

163 IMPORTANTE Si hay enrutadores entre el equipo cliente y el equipo con GFI LanGuard, el enrutador y el equipo con GFI LanGuard se deben configurar de modo que permitan paquetes de transmisión de Wake-on-LAN en el puerto UDP Configuración de opciones de reinicio y apagado de usuarios finales Al configurar los parámetros de After Deployment, en Auto-remediation options, puede configurar GFI LanGuard para que muestre al usuario una notificación y le permita decidir cuándo reiniciar o apagar el equipo después de completar una tarea administrativa. El siguiente cuadro de diálogo se abre en el equipo del usuario y le permite seleccionar una de las siguientes opciones: Captura de pantalla 102: Opciones de reinicio y apagado En la siguiente tabla se describen las diferentes opciones disponibles: Tabla 57: Opciones avanzadas de implementación Opción Restart now Remind me in Restart on Don t bother me again Descripción Reinicia o apaga el equipo de inmediato después de completar una tarea administrativa. Permite especificar un intervalo de tiempo (en minutos) para mostrar al usuario final un recordatorio. Permite especificar la fecha y la hora en que el equipo se reinicia o se apaga. El usuario no vuelve a recibir una solicitud nuevamente Configuración de mensajes de corrección automática GFI LanGuard le permite mostrar mensajes de advertencia de forma automática antes y después de las operaciones de corrección. Estos mensajes se muestran en los equipos de los usuarios finales y, en algunos casos, les permiten seleccionar opciones posteriores a la implementación o notificarlos respecto de las operaciones que se realizarán. Puede personalizar mensajes predefinidos y fijar el idioma según el que esté seleccionado en el equipo del destino de examen. Para configurar mensajes de advertencia: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Remediate y después en Remediation Center. 3. En Remediation Center, seleccione una acción de corrección, como Deploy Software Updates. GFI LanGuard 8 Corrección de vulnerabilidades 163

164 Captura de pantalla 103: Remediation Center: Deploy Software Updates 4. Haga clic en Remediate. GFI LanGuard 8 Corrección de vulnerabilidades 164

165 Captura de pantalla 104: Cuadro de diálogo de opciones de implementación 5. Haga clic en Advanced options. GFI LanGuard 8 Corrección de vulnerabilidades 165

166 Captura de pantalla 105: Opciones de mensajes previos a la implementación 6. En el cuadro de diálogo Remediation options, haga clic en la ficha Before Deployment y después en Messages... GFI LanGuard 8 Corrección de vulnerabilidades 166

167 Captura de pantalla 106: Personalización de mensajes de advertencia 7. Personalice cualquiera de las siguientes opciones: Tabla 58: Mensajes de advertencia Opción Idioma When not waiting for user approval When waiting for user approval Descripción Permite seleccionar el idioma del mensaje. Utilice o personalice el mensaje predefinido que se mostrará en el equipo del usuario final cuando GFI LanGuard no espere una aprobación. Utilice o personalice el mensaje predefinido que se mostrará en el equipo del usuario final cuando GFI LanGuard espere una aprobación. 8. Haga clic en Apply y en OK Configuración de la corrección automática de agentes En un entorno basado en agente, se pueden fijar opciones de corrección automática para cada agente implementado. Esto le permite configurar cada agente con opciones de corrección automática específicas según sus requisitos. Para configurar acciones de corrección automática de agentes: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Configuration y después en Agents Management. 3. En el panel derecho, haga clic en un agente con el botón secundario y seleccione Properties. GFI LanGuard 8 Corrección de vulnerabilidades 167

168 4. Seleccione la ficha Agent Status y, en la sección Auto remediation settings, haga clic en Change Settings. 5. Seleccione Download and deploy missing updates para habilitar la corrección automática para revisiones faltantes. 6. Seleccione Download and deploy missing service packs and update rollups para habilitar la corrección automática para Service Pack faltantes. 7. Seleccione Uninstall unauthorized applications para habilitar la corrección automática para aplicaciones no autorizadas. 8. (Opcional) Haga clic en Configure auto remediation options para la personalización adicional de opciones de corrección. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). 9. Haga clic en OK. GFI LanGuard 8 Corrección de vulnerabilidades 168

169 8.2 Corrección manual Además de descargar de forma automática revisiones y Service Pack, GFI LanGuard puede implementar estas actualizaciones en toda la red y recuperar cualquier revisión implementada. Las operaciones de implementación y reversión de revisiones se administran a través de un servicio de agente que gestiona todas las transferencias entre GFI LanGuard y los destinos remotos. Este servicio se instala de forma automática en el equipo de destino remoto durante el proceso de implementación de revisiones. Tareas de corrección manual: Repaso de las notas importantes acerca de la corrección manual Obtención de más información acerca de Remediation Center Implementación de actualizaciones de software Desinstalación de actualizaciones de software Implementación de software personalizado Desinstalación de aplicaciones Protección de malware Conexión remota con un equipo que utilice GFI LanGuard. Envío de notificaciones de dispositivos móviles Notas acerca de la corrección automática 1. Aunque ocurre con poca frecuencia, es posible que se recuperen revisiones a causa de vulnerabilidades o problemas recientemente detectados debidos a la instalación de estas actualizaciones, como, por ejemplo, problemas de conflictos con el software o hardware actuales. Entre los ejemplos de actualizaciones recuperadas por el fabricante se incluyen las revisiones MS y MS para Exchange publicadas por Microsoft el 15 de octubre de Asegúrese de que el servicio NetBIOS esté habilitado en el equipo de destino remoto. Para obtener más información, consulte Configuración de NetBIOS (página 287). 3. Una lista completa de productos de Microsoft para los que GFI LanGuard puede descargar e implementar revisiones de implementación se encuentra disponible en 4. Las revisiones de actualizaciones de software que no pertenecen a Microsoft y son compatibles con GFI LanGuard se encuentran disponibles en 5. El proceso completo de administración de revisiones, desde la detección hasta la corrección, es compatible para la mayoría de los productos que no pertenecen a Microsoft. No obstante, existe un pequeño grupo de productos que GFI LanGuard no puede actualizar y en los que la funcionalidad de GFI LanGuard se limita a detectar actualizaciones faltantes. Estos son algunos ejemplos de esos productos: Apache Webserver MySQL VMware Player and Workstation GFI LanGuard 8 Corrección de vulnerabilidades 169

170 6. GFI LanGuard se puede configurar para descargar de forma automática revisiones y Service Pack faltantes detectados durante un examen de seguridad de red. Para obtener más información, consulte Configuración de la implementación automática de actualizaciones faltantes (página 147) Utilización de Remediation Center Remediation Center le permite corregir problemas de seguridad hallados durante un examen de red implementando o desinstalando aplicaciones de equipos de destino. Para acceder a Remediation Center, seleccione la ficha Remediate y después Remediation Center. Captura de pantalla 107: Remediation Center En el panel izquierdo, expanda y localice un equipo o dominio para realizar acciones de corrección. Las acciones de corrección disponibles se describen a continuación: Tabla 59: Acciones de corrección Acción Deploy Software Updates Uninstall Software Updates Deploy Custom Software Uninstall Applications Malware Protection Descripción Permite implementar revisiones faltantes detectadas al auditar equipos de destino. Para obtener más información, consulte Implementación de actualizaciones de software (página 171). Permite desinstalar Service Pack de equipos de destino. Para obtener más información, consulte Desinstalación de actualizaciones de software (página 173). Permite implementar aplicaciones y scripts personalizados en los equipos de destino. Para obtener más información, consulte Implementación de software personalizado (página 175). Permite desinstalar aplicaciones de los equipos de destino. Para obtener más información, consulte Desinstalación de aplicaciones personalizadas (página 177). Permite realizar acciones de protección de malware en equipos de destino. Para obtener más información, consulte Protección de malware (página 178). GFI LanGuard 8 Corrección de vulnerabilidades 170

171 Acción Remote Support via Remote Desktop Connection Descripción Permite establecer una conexión con un equipo de destino y realizar tareas administrativas utilizando la conexión a escritorios remotos. Para obtener más información, consulte Utilización de la asistencia de escritorios remotos (página 180) Implementación de actualizaciones de software Utilice la característica Deploy Software Updates para implementar de forma manual: Service Pack y paquetes acumulativos de actualizaciones faltantes Actualizaciones de seguridad faltantes Actualizaciones no de seguridad faltantes. Esta característica le permite seleccionar de forma específica los elementos que desee implementar y le proporciona una descripción detallada para cada uno. Nota Para ver información adicional acerca de una actualización, haga clic con el botón secundario en una actualización y seleccione More details y después Bulletin info... Para implementar actualizaciones de software de forma manual: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Remediate y expanda Deploy Software Updates. Captura de pantalla 108: Implementación de actualizaciones de software 3. En el ábol de equipos, seleccione el equipo o grupo en los que se implementarán las actualizaciones de software. GFI LanGuard 8 Corrección de vulnerabilidades 171

172 4. En la lista de actualizaciones faltantes, seleccione las actualizaciones que se implementarán. Nota Utilice la barra de búsqueda para buscar actualizaciones faltantes específicas, o bien las opciones de filtrado para los encabezados de cada columna a fin de ver solo los datos requeridos. 5. Haga clic en Remediate. Captura de pantalla 109: Opciones de Deploy software updates 6. El cuadro de diálogo Deploy software updates le permite editar opciones de implementación antes de iniciar la operación de implementación. Revise las opciones descritas a continuación: Tabla 60: Opciones de Deploy software updates Opción Deploy immediately Deploy on Credentials Opciones previas a la implementación Descripción Opción seleccionada de forma predeterminada. Déjela seleccionada para implementar actualizaciones faltantes de inmediato. Permite especificar la fecha y la hora en que se implementarán las actualizaciones faltantes. Le proporciona la configuración de credenciales para las actualizaciones. Haga clic en Customize para cambiar la configuración. Le proporciona las acciones que se aplican antes de implementar actualizaciones de software. Haga clic en Customize para editar el mensaje previo a la implementación y el tipo de recurso compartido creado para transferir actualizaciones y archivos de detalles de examen. GFI LanGuard 8 Corrección de vulnerabilidades 172

173 Opción Opciones posteriores a la implementación Advanced options Descripción Le proporciona las acciones que se aplican antes de implementar actualizaciones de software faltantes. Haga clic en Customize para determinar mediante configuración si los equipos se reiniciarán, se apagarán o mostrarán un mensaje al usuario final. Haga clic en Advanced options para configurar lo siguiente: Número de subprocesos de implementación. Máximo = 10 Tiempo de espera de implementación Credenciales alternativas. Seleccione Remember settings para reutilizar la misma configuración al ejecutar la próxima tarea de implementación. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). 7. Haga clic en OK para comenzar a implementar actualizaciones. Accederá de forma automática a la ficha Remediation Jobs, en la que puede controlar el progreso de la operación de implementación Desinstalación de actualizaciones de software La característica Uninstall Software Updates le permite quitar de forma manual: Service Pack y paquetes acumulativos de actualizaciones instalados Actualizaciones de seguridad instaladas Actualizaciones no de seguridad instaladas. Para desinstalar de forma manual actualizaciones de software: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Remediate y expanda Uninstall Software Updates. Captura de pantalla 110: Desinstalación de actualizaciones de software GFI LanGuard 8 Corrección de vulnerabilidades 173

174 3. En el ábol de equipos, seleccione el equipo o grupo en los que se desinstalarán las actualizaciones de software. 4. En la lista de actualizaciones faltantes, seleccione las actualizaciones que desea desinstalar. Nota Utilice la barra de búsqueda para buscar actualizaciones instaladas específicas, o bien las opciones de filtrado para los encabezados de cada columna a fin de ver solo los datos requeridos. 5. Haga clic en Remediate. Captura de pantalla 111: Opciones de Uninstall software updates 6. El cuadro de diálogo Uninstall software updates le permite editar opciones de desinstalación antes de iniciar la operación de desinstalación. Revise las opciones descritas a continuación: Tabla 61: Opciones de Uninstall software updates Opción Uninstall immediately Uninstall on Credentials Descripción Opción seleccionada de forma predeterminada. Déjela seleccionada si desea desinstalar actualizaciones de inmediato. Permite especificar la fecha y la hora en que se desinstalarán las actualizaciones. Le proporciona la configuración de credenciales utilizadas para desinstalar actualizaciones. Haga clic en Customize para cambiar la configuración y utilizar credenciales alternativas. GFI LanGuard 8 Corrección de vulnerabilidades 174

175 Opción Opciones previas a la implementación Opciones posteriores a la implementación Advanced options Descripción Le proporciona las acciones que se aplican antes de desinstalar actualizaciones de software. Haga clic en Customize para editar el mensaje previo a la implementación y el tipo de recurso compartido creado para transferir actualizaciones. Le proporciona las acciones que se aplican antes de desinstalar actualizaciones de software. Haga clic en Customize para determinar mediante configuración si los equipos se reiniciarán, se apagarán o mostrarán un mensaje al usuario final. Haga clic en Advanced options para configurar lo siguiente: Número de subprocesos de implementación. Máximo = 10 Tiempo de espera de implementación Credenciales alternativas. Seleccione Remember settings para reutilizar la configuración al ejecutar la próxima operación de implementación. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). 7. Haga clic en OK para comenzar a desinstalar las actualizaciones seleccionadas. Accederá de forma automática a la ficha Remediation Jobs, en la que puede controlar el progreso de la operación de desinstalación Implementación de software personalizado Además de ofrecer actualizaciones de seguridad y revisiones, GFI LanGuard también le permite implementar software de terceros o personalizado en toda la red. Entre las aplicaciones de software que se pueden implementar de forma remota se incluyen: Aplicaciones de seguridad, como soluciones antivirus y antispyware y cortafuegos de software Actualizaciones de software y revisiones de terceros, como las actualizaciones de archivos de firma de antivirus y antispyware Códigos personalizados, como scripts y archivos de procesamiento por lotes Aplicaciones de escritorio, como Microsoft Office 2007 y más. Para especificar el software que se implementará: 1. Haga clic en la ficha Remediate y después en Remediation Center. 2. En el ábol de equipos, seleccione los equipos en los que el software nuevo se implementará y haga clic en Deploy Custom Software. GFI LanGuard 8 Corrección de vulnerabilidades 175

176 Captura de pantalla 112: Lista de software que se implementará 3. Utilice las opciones descritas a continuación para agregar las aplicaciones que se implementarán: Tabla 62: Opciones disponibles en Deploy Custom Software Opción Agregar Editar Quitar Importar Export Descripción Haga clic en este botón para iniciar el cuadro de diálogo Add custom software. Este cuadro de diálogo le permite agregar una aplicación a la lista y, si es necesario, configurar parámetros. Seleccione una aplicación y haga clic en este botón para iniciar el cuadro de diálogo Add custom software. Este cuadro de diálogo le permite modificar los parámetros de instalación existentes. Seleccione una aplicación de la lista y haga clic en este botón para quitar la aplicación. Haga clic en este botón para importar los parámetros de las aplicaciones desde un archivo XML. Haga clic en este botón para exportar los parámetros de las aplicaciones a un archivo XML. 4. Haga clic en Deploy y configure las opciones descritas a continuación: Tabla 63: Opciones de implementación Opción Deploy immediately Deploy on Credentials Descripción Implementa las aplicaciones seleccionadas de inmediato. Implementa las aplicaciones seleccionadas en una fecha y hora específicas. Determine mediante configuración cuándo implementar las aplicaciones. Permite seleccionar el método de autenticación que se debe utilizar o especificar un nombre de usuario y contraseña. Seleccione Use per computer credentials when available para utilizar las credenciales especificadas en las propiedades del equipo. Para obtener más información, consulte Propiedades de los agentes (página 54). GFI LanGuard 8 Corrección de vulnerabilidades 176

177 Opción Opciones previas a la implementación Opciones posteriores a la implementación Advanced options Descripción Permite configurar las acciones que se deben realizar antes de implementar las aplicaciones seleccionadas. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). Permite configurar las acciones que se deben realizar después de implementar las aplicaciones seleccionadas. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). Configurar otras opciones relacionadas con el reinicio y el apagado, y eliminar archivos copiados de equipos remotos. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). 5. Haga clic en OK. 6. Para ver el progreso de la implementación, haga clic en Remediation Jobs en el panel derecho Desinstalación de aplicaciones personalizadas Utilizando esta característica, puede controlar las aplicaciones que se instalan y los equipos elegidos para esto, y desinstalar las aplicaciones no autorizadas presentes en equipos de la red. Para desinstalar aplicaciones: 1. Seleccione la ficha Remediate,> Remediation Center y haga clic en Uninstall Applications. Captura de pantalla 113: Uninstall Applications 2. Expanda la aplicación para que aparezca la lista de equipos y selecione los equipos en los que la aplicación se desinstalará. GFI LanGuard 8 Corrección de vulnerabilidades 177

178 Nota La lista de aplicaciones que se muestra depende de las aplicaciones no autorizadas configuradas para el perfil de detección en uso. Para obtener más información, consulte (página 153). 3. Repita el paso 2 para todas las aplicaciones que se desinstalarán y haga clic en Uninstall. Nota Escriba un criterio y haga clic en Find para buscar una vulnerabilidad. Haga clic en Clear para borrar resultados de búsqueda previos. 4. Configure las opciones descritas a continuación: Tabla 64: Desinstalación de aplicaciones Opción Uninstall immediately Uninstall on Credentials Opciones previas a la implementación Opciones posteriores a la implementación Advanced options Descripción Desinstala las aplicaciones seleccionadas de inmediato. Desinstala las aplicaciones seleccionadas en una fecha y hora específicas. Determine mediante configuración cuándo desinstalar las aplicaciones. Permite seleccionar el método de autenticación que se debe utilizar o especificar un nombre de usuario y contraseña. Seleccione Use per computer credentials when available para utilizar las credenciales especificadas en las propiedades del equipo. Para obtener más información, consulte Propiedades de los agentes (página 54). Permite configurar las acciones que se deben realizar antes de implementar las aplicaciones seleccionadas. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). Permite configurar las acciones que se deben realizar después de implementar las aplicaciones seleccionadas. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). Permite configurar otras opciones relacionadas con el reinicio y el apagado, y eliminar archivos copiados de equipos remotos. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). 5. Haga clic en OK. 6. Para ver el progreso de la desinstalación, haga clic en Remediation Jobs en el panel derecho Protección de malware Utilice la sección Malware Protection para corregir vulnerabilidades relacionadas con la protección de malware identificado en equipos de destino. Entre otras posibilidades, esta sección le permite examinar equipos de destino en busca de spyware y virus y habilitar el cortafuegos local. Nota Para examinar un equipo en busca de virus y spyware, el equipo de destino debe contar con antivirus y antispyware instalados. GFI LanGuard 8 Corrección de vulnerabilidades 178

179 Captura de pantalla 114: Protección de malware Para corregir vulnerabilidades en la protección de malware: 1. Seleccione la ficha Remediate, Remediation Center y haga clic en Malware Protection. 2. Localice y expanda la vulnerabilidad de malware y seleccione los equipos que se someterán a corrección. Nota Escriba un criterio y haga clic en Find para buscar una vulnerabilidad. Haga clic en Clear para borrar resultados de búsqueda previos. 3. Haga clic en Remediate y configure las opciones descritas a continuación: Tabla 65: Opciones de implementación Opción Deploy immediately Deploy on Credentials Opciones previas a la implementación Descripción Implementa las aplicaciones seleccionadas de inmediato. Implementa las aplicaciones seleccionadas en una fecha y hora específicas. Determine mediante configuración cuándo implementar las aplicaciones. Permite seleccionar el método de autenticación que se debe utilizar o especificar un nombre de usuario y contraseña. Seleccione Use per computer credentials when available para utilizar las credenciales especificadas en las propiedades del equipo. Para obtener más información, consulte Propiedades de los agentes (página 54). Permite configurar las acciones que se deben realizar antes de implementar las aplicaciones seleccionadas. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). GFI LanGuard 8 Corrección de vulnerabilidades 179

180 Opción Opciones posteriores a la implementación Advanced options Descripción Permite configurar las acciones que se deben realizar después de implementar las aplicaciones seleccionadas. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). Configurar otras opciones relacionadas con el reinicio y el apagado, y eliminar archivos copiados de equipos remotos. Para obtener más información, consulte Configuración de opciones de corrección automática (página 157). 4. Haga clic en OK. 5. Para visualizar el progreso de la acción, haga clic en Remediation Jobs en el panel derecho Utilización de la asistencia de escritorios remotos A través de la asistencia remota, puede controlar equipos remotos utilizando servicios de terminal y protocolo de escritorio remoto. La asistencia remota le permite instalar revisiones, Service Pack y software personalizado faltantes a través de una conexión remota. Captura de pantalla 115: Conexión a un escritorio remoto Para establecer una conexión remota con un equipo de destino: 1. Haga clic en la ficha Remediate y, en el panel izquierdo, seleccione un equipo, un dominio o un grupo de trabajo. 2. Expanda Remote Support via Remote Desktop Connection en el panel derecho. 3. Según su selección, la lista contiene los equipos disponibles que permiten la conexión a escritorios remotos. 4. Haga doble clic en una máquina de la lista para establecer la conexión. GFI LanGuard 8 Corrección de vulnerabilidades 180

181 Nota Para desconectar una máquina, seleccione Remediation Center, Remote Support via, haga con el botón secundario en un equipo de la lista y seleccione Disconnect. Nota Para deshabilitar la conexión remota, haga clic con el botón secundario en un equipo y seleccione Disable Remote Connection. 8.3 Envío de notificaciones de dispositivos móviles GFI LanGuard le permite enviar, a una cuenta de correo electrónico asociada con el dispositivo móvil, una notificación por este medio relacionada con actualizaciones para el dispositivo. La notificación puede ser un mensaje de correo electrónico personalizado o predeterminado. Para configurar alertas de dispositivos móviles: 1. Haga clic en la ficha Dashboard (panel) y en el árbol de equipos seleccione > Mobile Devices (dispositivos móviles). 2. Haga clic con el botón secundario en una cuenta seleccionada y elija Send notification (enviar notificación por correo electrónico). Captura de pantalla 116: Envío de notificaciones por correo: Tipo de notificación 3. Seleccione Missing operating system updates (actualizaciones de sistema operativo faltantes) o Custom mail (correo personalizado). GFI LanGuard 8 Corrección de vulnerabilidades 181

182 Captura de pantalla 117: Envío de notificaciones por correo: Selección de un dispositivo 4. Seleccione los dispositivos a los que se enviará un mensaje de correo electrónico de notificación relacionados con actualizaciones de sistema operativo faltantes y haga clic en Next (siguiente). 5. Especifique un asunto y un cuerpo de mensaje de correo electrónico si se selecciona Custom mail (correo personalizado) y haga clic en Next para enviarlo. GFI LanGuard 8 Corrección de vulnerabilidades 182

183 Captura de pantalla 118: Envío de notificaciones por correo: Plantilla de notificación predeterminada Captura de pantalla 119: Envío de notificaciones por correo: Plantilla de notificación predeterminada GFI LanGuard 8 Corrección de vulnerabilidades 183

184 9 Supervisión de actividad La supervisión de actividades le permite obtener más información sobre cómogfi LanGuard se desempeña en su infraestructura. La ficha Activity Monitor de GFI LanGuard le permite controlar exámenes de seguridad, tareas de corrección y operaciones de descarga de actualizaciones faltantes y definiciones e seguridad. Temas de este capítulo: 9.1 Supervisión de los exámenes de seguridad Supervisión de la descarga de actualizaciones de software Supervisión de operaciones de corrección Supervisión de actualizaciones de productos Supervisión de los exámenes de seguridad La sección Security Scans permite el control de todos los exámenes de seguridad en progreso. Para monitorizar los exámenes de seguridad activos: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Activity Monitor y, en el panel izquierdo, en Security Scans. Captura de pantalla 120: Supervisión de los exámenes de seguridad GFI LanGuard 9 Supervisión de actividad 184

185 Nota Para detener un examen de seguridad, haga clic con el botón secundario en este y seleccione Stop selected scans. Nota Arrastre y suelte un encabezado de columna en el área designada para agrupar datos por criterios Filtrado de exámenes de seguridad La sección Security Scan le permite configurar el tipo de exámenes que se controlarán. Para configurar los tipos de exámenes que se mostrarán: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Activity Monitor y, dentro de Common Tasks, en Filter security scans. Captura de pantalla 121: Cuadro de diálogo de filtrado de exámenes de seguridad 3. Configure las opciones descritas a continuación: GFI LanGuard 9 Supervisión de actividad 185

186 Tabla 66: Cuadro de diálogo de filtrado de exámenes de seguridad Opción All scans Only last X scans Only scans performed in the last X days Interactive scans Exámenes programados Agent scans Descripción Muestra todos los exámenes. Muestra únicamente los últimos X exámenes. Muestra únicamente los exámenes realizados en los últimos X días. Muestra únicamente los exámenes manuales. Para obtener más información, consulte Exámenes manuales (página 74). Muestra únicamente exámenes programados. Para obtener más información, consulte Exámenes programados (página 79). Muestra únicamente exámenes realizados en equipos de agentes. Para obtener más información, consulte Inicio manual de un exámenes de agentes (página 91). 4. Haga clic en OK. 9.2 Supervisión de la descarga de actualizaciones de software La pantalla Software Updates Download le permite supervisar, pausar y cancelar todas las descargas de revisiones programadas, y también o cambiar la prioridad de estas. Captura de pantalla 122: Descarga de actualizaciones de seguridad El icono de la primera columna indica el estado de la descarga. En la siguiente tabla se describen los diferentes estados: GFI LanGuard 9 Supervisión de actividad 186

187 Tabla 67: Estado de las descargas de actualizaciones Icono Descripción Descargada Actualización descargada con éxito. Descarga en curso La actualización se está descargando. Error en la descarga Se produjo un error durante la descarga de la actualización. Consulte la columna Error para obtener más información relacionada con el error hallado. Pendiente La actualización se encuentra en cola para su descarga. Cancelada El usuario canceló la descarga de la actualización. Haga clic con el botón secundario en una entrada y seleccione una de las opciones descritas a continuación: Tabla 68: Descarga de actualizaciones de seguridad Opción Configure Patch Auto Download Edit proxy settings Change download priority Cancel selected downloads Pause all downloads Descripción Habilita o deshabilita la descarga automática de revisiones y se utiliza para configurar el punto de almacenamiento de las revisiones. Para obtener más información, consulte Configuración de la descarga automática de revisiones. Permite configurar los parámetros de proxy que utiliza GFI LanGuard para conectarse a Internet. Para obtener más información, consulte Configuración de actualizaciones del programa (página 220). Permite cambiar la prioridad de las descargas. Seleccione los valores de prioridad alta, normal o baja. Permite detener y quitar las descargas seleccionadas. Permite pausar temporalmente todas las descargas Solución de problemas de actualizaciones de software fallidas En esta sección se le proporciona información acerca de tres errores de actualización de software que pueden hacer que las actualizaciones de software no se descarguen o se instalen. En la siguiente tabla se le proporciona el mensaje de error real que recibirá si uno de los errores se produce, además de una posible causa y una solución en cada caso: GFI LanGuard 9 Supervisión de actividad 187

188 Tabla 69: Solución de problemas de actualizaciones de software fallidas Mensaje de error Causa Solución The file URL points to a different file than expected. Try re-scanning with the latest program updates El proveedor independiente reemplaza revisiones anteriores por revisiones actualizadas utilizando la misma URL. GFI no tiene control sobre la manera en que los proveedores independientes reemplazan las actualizaciones y las URL. Descargue las actualizaciones del producto más recientes de forma manual y examine nuevamente sus destinos. Para obtener más información, consulte Configuración de actualizaciones del programa (página 220). Nota Existe una demora de 12 a 24 horas entre terceros que publican nuevas actualizaciones y GFI LanGuard agregan compatibilidad para ellas. Durante este tiempo continuará recibiendo el mensaje de error aunque descargue y examine sus destinos utilizando las actualizaciones del producto más recientes. The repository folder is not accessible. See Configuration - Patch Auto-download Internet connection not available La carpeta de repositorio es la ubicación en la cual las actualizaciones se descargan. GFI LanGuard Le permite especificar ubicaciones de repositorio alternativas a la predeterminada. Este error se produce generalmente después de especificar una ruta de acceso de repositorio inválida o inaccesible (por ejemplo, la ruta proporcionada hace referencia a una ubicación de un equipo apagado). El equipo en el que GFI LanGuard está instalado no cuenta con acceso a Internet. Existen muchas causas posibles para este problema. 1. Compruebe manualmente que pueda acceder a la ruta de acceso de la carpeta utilizando las mismas credenciales de inicio de sesión. 2. Asegúrese de que la ruta especificada sea válida: Ruta de acceso local; ejemplo: C:\Compartir o C:\Carpeta Ruta de acceso UNC; ejemplo: \\CompartirRed\Carpeta 3. Asegúrese de que la ruta de acceso especificada se escriba correctamente. Nota Para obtener más información, consulte Configuración de los parámetros de descarga automática de revisiones en Configurar la implementación automática de actualizaciones faltantes. Establezca una conexión a Internet e intente descargar las actualizaciones fallidas. 9.3 Supervisión de operaciones de corrección Las operaciones de corrección se puede controlar desde los siguientes puntos: Subficha Remediation Jobs Vista Remediation Jobs Subficha Remediation Jobs La sección Remediation Jobs le permite supervisar las acciones de corrección en curso. Para ver las tareas de corrección en progreso: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Remediate y después en la subficha Remediation Jobs. GFI LanGuard 9 Supervisión de actividad 188

189 Captura de pantalla 123: Supervisión de tareas desde la subficha Remediation Jobs 3. Desde el árbol de equipos, seleccione Entire Network para ver todo el funcionamiento además de las operaciones completadas. Seleccione equipos o grupos específicos para visualizar el historial de tareas de corrección o el progreso de la corrección para los elementos seleccionados. Nota Haga clic con el botón secundario en una tarea de corrección y seleccione Cancel selected deployment para detener la operación. Nota Haga clic en una tarea de corrección y seleccione Go to associated schedule scan pars ver el examen preconfigurado que desencadenó la corrección. Nota En la sección Remediation job details se le proporciona información de progreso muy detallada que indica el número total de archivos que se deben descargar, el progreso de la descarga de cada archivo y la operación que se ejecuta en el momento como parte de la tarea de corrección. GFI LanGuard 9 Supervisión de actividad 189

190 9.3.2 Vista Remediation Operations La pantalla Remediation Operations le permite supervisar y cancelar todas las características de corrección programadas dentro de GFI LanGuard. Para ver la actividad de las tareas de corrección: 1. Inicie GFI LanGuard. 2. Haga clic en Activity Monitor y después en Remediation Operations. Captura de pantalla 124: Supervisión de tareas desde la vista Remediation Operations 3. Utilice la vista para supervisar el estado y el historial de todo el funcionamiento, y para completar las tareas de corrección. Nota Haga clic con el botón secundario en una tarea de corrección y seleccione Cancel selected deployment para detener la operación. Nota Haga clic en una tarea de corrección y seleccione Go to associated schedule scan pars ver el examen preconfigurado que desencadenó la corrección. GFI LanGuard 9 Supervisión de actividad 190

191 Nota En la sección Remediation job details se le proporciona información de progreso muy detallada que indica el número total de archivos que se deben descargar, el progreso de la descarga de cada archivo y la operación que se ejecuta en el momento como parte de la tarea de corrección. 9.4 Supervisión de actualizaciones de productos La pantalla Actividad de las actualizaciones del producto le permite visualizar un historial de las actualizaciones del producto realizadas por GFI LanGuardy la actividad de actualizaciones en tiempo real de los agentes de GFI LanGuard. Para obtener más información, consulte Configuración de actualizaciones del programa (página 220). Para supervisar actualizaciones de GFI LanGuard: 1. Haga clic en la ficha Supervisión de actividades y seleccione Actividad de actualizaciones de programas. 2. En el panel derecho, seleccione Actualizaciones de GFI LanGuard. Captura de pantalla 125: Actividad de las actualizaciones del producto - Actualizaciones de GFI LanGuard Para supervisar actualizaciones del agente de GFI LanGuard: GFI LanGuard 9 Supervisión de actividad 191

192 1. Haga clic en la ficha Supervisión de actividades y seleccione Actividad de actualizaciones de programas. 2. En el panel derecho, seleccione Actualizaciones del agente de GFI LanGuard. Captura de pantalla 126: Actividad de las actualizaciones del producto - Actualizaciones del agente de GFI LanGuard GFI LanGuard 9 Supervisión de actividad 192

193 10 Generación de informes GFI LanGuard incluye un módulo de generación de informes que le permite crear informes textuales y gráficos a partir de información obtenida en exámenes de seguridad de red. En este capítulo se le proporciona información general sobre los informes disponibles y sobre cómo crear sus propios informes para una solución a medida. A través de la ficha Reports, puede generar informes de actividad técnicos para personal de TI y también informes ejecutivos que normalmente contienen menos detalles técnicos y se centran más en estadísticas generales. Temas de este capítulo: 10.1 Informes disponibles Generación de informes Programación de informes Personalización de informes predeterminados Búsqueda de texto completo Informes disponibles En esta sección se le brinda información acerca de los informes que se encuentran disponibles de forma predeterminada en la ficha Reports de GFI LanGuard. Existen dos tipos de informes principales: Informes generales: proporcionan informes técnicos detallados e informes de resumen ejecutivo acerca de la seguridad de LAN y la actividad de administración de revisiones Informes de cumplimiento legal: proporcionan información de auditoría de sistemas y redes que le permite cumplir con estándares, leyes y normativas que se relacionan con convenciones de utilización y administración de redes corporativas. Consulte las secciones siguientes para obtener información sobre: Informes generales disponibles Informes de cumplimiento legal disponibles Informes generales Para ver informes Generales: 1. Haga clic en la ficha Reports. 2. En la lista de informes, expanda General y seleccione cualquiera de los siguientes informes: GFI LanGuard 10 Generación de informes 193

194 Tabla 70: Informes generales disponibles Título del informe Network Security Overview Descripción Informe de resumen ejecutivo en el que se muestra lo siguiente: Nivel de vulnerabilidad de la red Equipos más vulnerables Estado de agentes Estado de auditorías Tentendencias de vulnerabilidad con el tiempo Información sobre sistemas operativos Computer Security Overview Servidores y estaciones de trabajo. Informe de resumen ejecutivo en el que se muestra lo siguiente: Nivel de vulnerabilidad del equipo Estado de agentes Estado de auditorías Tentendencias de vulnerabilidad con el tiempo Vulnerability Status Resumen y detalles de equipos. Muestra información estadística relacionada con vulnerabilidades detectadas en equipos de destino. Las vulnerabilidades se pueden agrupar por: Nombre de equipo Gravedad de las vulnerabilidades Marca hora Patching Status Categoría. Muestra información estadística relacionada con actualizaciones faltantes e instaladas detectadas en sus equipos de destino. Las actualizaciones se pueden agrupar por nombre, gravedad, marca de hora, proveedor y categoría. Utilice este informe para obtener: Comparaciones entre actualizaciones faltantes e instaladas Tablas y gráficos en los que se muestra la distribución de actualizaciones faltantes para cada elemento del primer y segundo criterio de agrupación Tablas y gráficos en los que se muestra la distribución de actualizaciones instaladas para cada elemento del primer y segundo criterio de agrupación Missing Microsoft Security Updates Detalles de aplicación de revisiones para revisiones faltantes e instaladas. Muestra información estadística relacionada con actualizaciones de seguridad de Microsoft faltantes detectadas en sus equipos de destino. Seleccione los elementos que incluirá en su informe: Gráfico de distribución de actualizaciones generales faltantes Tabla de distribución Missing Non-Microsoft Security Updates Lista de vulnerabilidades. Muestra información estadística relacionada con actualizaciones de seguridad faltantes que no pertenecen a Microsoft detectadas en sus equipos de destino. Seleccione los elementos que incluirá en su informe: Gráfico de distribución de actualizaciones generales faltantes Tabla de distribución Missing Security Updates Lista de vulnerabilidades. Enumera información estadística relacionada con actualizaciones de seguridad faltantes halladas en equipos examinados. GFI LanGuard 10 Generación de informes 194

195 Título del informe Full Audit Descripción Informe técnico en el que se muestra información recuperada durante una auditoría. Entre otros aspectos, el informe contiene información sobre: Vulnerabilidades Puertos abiertos Computer Summary Hardware y software. Resumen de información de destinos de examen que incluye lo siguiente: Información del sistema operativo Estado de agentes Hardware Audit Detalles de equipos Gravedad de las vulnerabilidades. Muestra información relacionada con el hardware hallado durante una auditoría. Proporciona una lista detallada de propiedades de equipos, entre las que se incluye lo siguiente: Dirección MAC Periodo de vida Rol de red Dominio Administrador de LAN Es un agente de retransmisión Utiliza un agente de retransmisión Atributos Sistema operativo Open Shares Open Ports Scan Based Full Audit Last Scan Summary Last Scan Details Last Auto remediation Last Scan Security Changes Software Audit Dirección IP. Enumera todas las carpetas de recursos compartidos halladas durante una auditoría. Los resultados se agrupan por nombre de equipo. Enumera todos los puertos abiertos hallados durante una auditoría. Los resultados se agrupan por tipo de puerto (TCP y UDP). Informe técnico en el que se muestra información recuperada durante un examen especificado. El informe contiene detalles completos de los equipos examinados y también sobre correcciones automáticas realizadas después del examen. Informe técnico que contiene el resumen de la información recuperada durante el último examen. Informe técnico que contiene toda la información obtenida durante el último examen. El informe contiene detalles completos del destino examinado. Informe técnico que contiene toda la información relacionada con correcciones automáticas realizadas después del último examen. Muestra todos los cambios detectados durante el último examen. Muestra todas las aplicaciones no autorizadas instaladas en equipos de destino halladas durante una auditoría. Entre otros aspectos, el informe incluye información sobre lo siguiente: Antivirus Antispyware Unauthorized Applications Antivirus Applications Inventario de aplicaciones. Enumera todas las aplicaciones no autorizadas instaladas en destinos de examen. Muestra información relacionada con el antivirus instalado en destinos de examen. GFI LanGuard 10 Generación de informes 195

196 Título del informe Scan History Descripción Información general de las auditorías de seguridad de la red realizadas con el tiempo. Entre otros aspectos, el informe incluye información sobre lo siguiente: Equipos más examinados Equipos menos examinados Estado de auditoría Remediation History Listado del historial. Muestra información relacionada con acciones de corrección realizadas en equipos de destino. Entre otros aspectos, el informe incluye información sobre lo siguiente: Acciones de corrección por día Distribución de correcciones por catgoría Network Security History Lista de correcciones agrupadas por equipos. Muestra los cambios realizados en destinos de examen entre auditorías. Entre otros aspectos, el informe incluye cambios relacionados con lo siguiente: El nivel de vulnerabilidad Cuentas de usuario Grupos Puertos Recursos compartidos Baseline Comparison Entradas de registro. Le permite comparar los resultados de todos los destinos de examen con un equipo base. En la lista desplegable, seleccione los equipos base y haga clic en Generate. Los resultados se agrupan por nombre de equipo y, entre otros aspectos, se incluye información sobre lo siguiente: Registry Service Pack y paquetes acumulativos de actualizaciones instalados Actualizaciones de seguridad y no de seguridad faltantes Mobile Devices Audit (auditoría de dispositivos móviles) Nivel de vulnerabilidad. Muestra información relacionada con dispositivos móviles detectados durante una auditoría. Entre otros aspectos, el informe incluye información sobre lo siguiente: Distribución de vulnerabilidades por gravedad Distribución de vulnerabilidades por equipo Lista de vulnerabilidades por equipo Informes de cumplimiento legal Para ver informes de cumplimiento legal: 1. Haga clic en la ficha Reports. 2. En la lista de informes, expanda cualquiera de los conjuntos de informes de cumplimiento siguientes y seleccione el que desee generar: GFI LanGuard 10 Generación de informes 196

197 Tabla 71: Informes de cumplimiento legal disponibles Título del conjunto de informes Informes de cumplimiento de PCI DSS Descripción El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que administran información de titulares de tarjetas para las tarjetas de débito, crédito, prepagas, de monedero electrónico, de ATM y POS más importantes. GFI LanGuard Le proporciona varios informes que tienen en cuenta el cumplimiento de PCI DSS, entre los que se incluyen los siguientes: Requisito de 1.4 del PCI DSS: Aplicaciones de cortafuegos instaladas Requisito del PCI DSS: Aplicaciones de cifrado de discos Requisito de 5.2 del PCI DSS: Aplicaciones Antivirus Requisito de 6.1 del PCI DSS: Historial de correcciones por fecha Informes de cumplimiento de la HIPAA Requisito de del PCI DSS: Puertos de troyanos abiertos por host. La Ley Health Insurance Portability and Accountability Act (HIPAA) es un requisito de los proveedores de atención sanitaria que regula el intercambio de datos de pacientes privados. Esto permite evitar la divulgación o publicación ilegal de información médica. Para que cumpla con las normativas HIPAA regulations de la HIPPA, GFI LanGuard le proporciona un conjunto de informes de cumplimiento de la HIPAA, entre los que se incluyen los siguientes: HIPAA, (a)(1)(ii)(A): Actualizaciones de seguridad faltantes por host HIPAA, (a)(1)(ii)(A): Distribución de vulnerabilidades por host HIPAA, (a)(4)(ii)(A): Puertos abiertos HIPAA, (a)(5)(ii)(D): Directiva de auditorías Informes de cumplimiento de la SOX HIPAA, (a)(8): Comparación de cambios de línea de base. La Ley Sarbanes-Oxley (SOX) es una normativa creada en respuesta a escándalos financieros de gran notoriedad y a modo de protección de accionistas y del público en general contra errores de contabilidad y prácticas fraudulentas en la empresa. GFI LanGuard proporciona una lista de informes de cumplimiento de la Ley SOX, entre los que se inccluyen los siguientes: SOX, 302.a: Resumen de vulnerabilidades de la red SOX, 302.a: Historial de correcciones por host SOX, 302.a: Historial de exámenes de seguridad SOX, 404: Listado de vulnerabilidades por categoría Informes de cumplimiento de la Ley GLBA SOX, 404: Actualizaciones de seguridad faltantes por host. La Gramm Leach Bliley Act (GLBA) es una ley que permite la consolidación entre bancos y empresas aseguradoras. Parte de la ley se centra en el cumplimiento de las redes de TI para dichas empresas. GFI LanGuard Ofrece una lista de informes de cumplimiento de la GLBA, entre los que de inluyen los siguientes: GLBA, 501.b: Comparación de cambios de línea de base GLBA, 501.b: Estado de aplicación de revisiones de red GLBA, 501.b: Puertos de troyanos abiertos por host GLBA, 501.b: Hosts vulnerables en base a puertos abiertos GLBA, 501.b: Hosts vulnerables por nivel de vulnerabilidad. GFI LanGuard 10 Generación de informes 197

198 Título del conjunto de informes Informes de cumplimiento del CoCo de la PSN Descripción El Código de Conexión de la Red Pública de Servicios (PSN CoCo) es simplemente una lista de condiciones que se deben cumplir antes de la conexión de una red acreditada a otra. GFI LanGuard le permite controlar el estado de estas conexiones mediante la lista de informes de cumplimiento del CoCo de la PSN, entre los que se incluyen los siguientes: PSNCoCo, RIS. 1: Comparación de cambios de línea de base PSNCoCo, MAL. 1: Aplicaciones de cifrado de discos PSNCoCo, MAL. 1: Aplicaciones de cortafuegos instaladas PSNCoCo, PAT. 1: Actualizaciones de seguridad instaladas por host Informes de cumplimiento de la FERPA PSNCoCo, PAT. 1: Actualizaciones de seguridad instaladas en orden de gravedad. La Ley del Derecho de la Familia a la Confidencialidad de Información Educativa (FERPA) es una ley federal que protege la privacidad de los registros de educación de los estudiantes. La ley se aplica a todas las escuelas que reciben fondos de acuerdo con un programa aplicable del Departamento de Educación de EE. UU. GFI LanGuard proporciona una lista de informes de cumplimiento de la FERPA, entre los que se incluyen los siguientes: FERPA, 20 USC 1232g (b): Estado de aplicación de revisiones de red FERPA, 20 USC 1232g (b): Registro de seguridad de red por host FERPA 20, USC 1232g (b): Historial de correcciones por fecha FERPA 20, USC 1232g (b): Distribución de vulnerabilidades por host Informes de cumplimiento ISO/IEC y FERPA 20, USC 1232g (b): Hosts vulnerables en base a puertos abiertos. El estándar de tecnología de la información, técnicas de seguridad y sistemas de administración de seguridad de la información (ISO/IEC) especifica formalmente un sistema de administración pensado para brindar seguridad de la información bajo un control de administración explícito. GFI LanGuard ofrece una lista exhaustiva de informes de cumplimiento ISO/IEC, entre los que se incluyen los siguientes: ISO/IEC 27001, A. 10.4: Aplicaciones antivirus ISO/IEC 27001, A : Alicaciones de cifrado de discos ISO/IEC 27001, A : Recursos compartidos abiertos ISO/IEC 27001, A : Servicios Informes de cumplimiento de la FISMA ISO/IEC 27001, A : Información del sistema. The Ley Federal de Administración de Seguridad de la Información (FISMA) asigna responsabilidades específicas a agencias federales, al Instituto Nacional de Estándares y Tecnología (NIST) y a la Oficina de Administración y Presupuesto (OMB) para fortalecer la seguridad del sistema de información. En particular, la FISMA exige que los directores de cada agencia implementen directivas y procedimientos para reducir de forma rentable los riesgos de seguridad de tecnología de la información hasta un nivel aceptable. GFI LanGuard le permite cumplir con los estándares de la FISMA a través de los informes proporcionados, entre los que se incluyen los siguientes: FISMA, NIST SP AC-2: Grupos y usuarios FISMA, NIST SP PM-5: Detalles de equipos FISMA, NIST SP PM-5: Resumen de equipos FISMA, NIST SP SI-5: Actualizaciones de seguridad faltantes por host FISMA, NIST SP SI-7: Aplicaciones antivirus. GFI LanGuard 10 Generación de informes 198

199 Título del conjunto de informes Informes de cumplimiento de las CAG Descripción El documento Directrices de Auditoría de Consenso (CAG) es una publicación de directrices de prácticas recomendadas para la seguridad de equipos. El proyecto se inició en respuesta a las enormes pérdidas de datos experimentadas por organizaciones de la base industrial de defensa de EE. UU. GFI LanGuard ofrece una lista de informes de cumplimiento de las CAG, entre los que se incluyen los siguientes: CAG, CC1: Auditoría de hardware CAG, CC1: Historial de exámenes CAG, CC3: Directiva de auditorías CAG, CC3: Vulnerabilidades de seguridad baja Informes de cumplimiento de CIP de la NERC CAG, CC11 - Open Ports. La North American Electric Reliability Corporation (NERC) desarrolla estándares para el funcionamiento de sistemas eléctricos, supervisar y exige el cumplimiento de dichos estándares, evalúa la adecuación de los recursos y proporciona recursos educativos y de capacitación como parte de un programa de acreditacón para garantizar que los operadores de sistemas eléctricos estén calificados y sean competentes. GFI LanGuard proporciona una lista de informes de cumplimiento de CIP de la FERPA, entre los que se incluyen los siguientes: NERC CIP-005 R2: Aplicaciones de cortafuegos instaladas NERC CIP-005 R2: Puertos abiertos NERC CIP-007 R2: Recursos compartidos abiertos NERC CIP-007 R2: Servicios NERC CIP-007 R2: Información del sistema. GFI LanGuard 10 Generación de informes 199

200 10.2 Generación de informes GFI LanGuard incluye una lista exhaustiva de informes predeterminados. Estos se pueden utilizar como están o se pueden modificar para proporcionar información de forma precisa según sus requisitos. Nota Para obtener más información, consulte Personalización de informes predeterminados (página 205). Para generar un informe: 1. Haga clic en la ficha Reports. 2. En el ábol de equipos, seleccione el equipo o grupo sobre los que desee realizar un informe. Nota Seleccione Entire Network para realizar un informe sobre todos los equipos enumerados en el árbol de equipos. 3. En la lista de informes, seleccione el que desee generar. 4. (Opcional) En el panel derecho, haga clic en Customize report si se requieren cambios en los elementos de informe. 5. Haga clic en Generate report. Captura de pantalla 127: Muestra de informe: Parte 1 GFI LanGuard 10 Generación de informes 200

201 Captura de pantalla 128: Muestra de informe: Parte 2 Captura de pantalla 129: Muestra de informe: Parte 3 GFI LanGuard 10 Generación de informes 201

202 10.3 Programación de informes A fin de automatizar tareas de creación de informes, GFI LanGuard le permite generar y, de manera opcional, enviar informes de acuerdo con una programación. Puede configurar programaciones para informes existentes o personalizados. Esta sección contiene información acerca de lo siguiente: Creación de informes programados nuevos Configuración de opciones de informes programados Administración de informes programados Creación de informes programados nuevos Para crear un informe programado nuevo: 1. Haga clic en la ficha Reports. 2. En Actions, seleccione New scheduled report. Captura de pantalla 130: Selección de una plantilla de informe programado 3. En la sección Report Template, configure las siguientes opciones: Tabla 72: Opciones de plantillas de informes programados Opción Schedule Report Template Schedule Report Name Schedule Report Description Descripción Permite seleccionar un informe existente en el menú desplegable. Esto le permite crear un nuevo informe a partir de la configuración de uno existente. Permite escribir un nombre único para el nuevo informe. De forma opcional, puede escribir datos sobre el informe, como elementos de informe, o parámetros de programación. Captura de pantalla 131: Adición o eliminación de dominios o equipos de destino 4. En la sección Target Domains & Computers, configure las siguientes opciones: GFI LanGuard 10 Generación de informes 202

203 Tabla 73: Opciones de dominios y equipos de destino Opción Descripción 1. En el árbol de equipos, seleccione un dominio o grupo de trabajo y haga clic en Add Domain. Los dominios o grupos de trabajo seleccionados se agregan al informe. Haga clic en Agregar IP para abrir el cuadro de diálogo Add IP address range. En el cuadro de diálogo Add IP address range, escriba un intervalo de direcciones IP o una subred y haga clic en OK. Seleccione el dominio, grupo de trabajo o intervalo de IP que desee quitar y haga clic en Remove Domain/IP. 5. En el menú desplegable Filter, seleccione un filtro que desee aplicar al nuevo informe programado. Esto le permite generar informes a partir de datos que pertenecen a destinos de examen incluidos en el filtro. Nota Solo se pueden aplicar filtros personalizados a los informes programados. Para obtener más información, consulte Utilización del panel (página 106). 6. En Scheduling Settings, configure las siguientes opciones: Tabla 74: Opciones de programación Opción Enable Schedule One time only, on Recurrence pattern Descripción Seleccione esta opción para activar la programación de informes y generar el informe según la configuración de programación. Permite especificar la fecha y la hora en que se generará el informe. Esta opción genera el informe una vez, en la fecha especificada. Permite seleccionar la frecuencia de recursividad y especifique la hora en que el informe programado se generará. GFI LanGuard 10 Generación de informes 203

204 7. En Alerting & Saving Settings, configure las siguientes opciones: Tabla 75: Alerting & Saving Settings Opción Export to file Export Settings Send by Alerting Options Override general alerting options, and send to Descripción Seleccione esta opción para guardar el informe en una carpeta. Haga clic en Export Settings y, en el cuadro de diálogo Scheduled Reports Storage Options, especifique la carpeta en la cual el informe se guardará y el formato con el cual se guardará. Seleccione esta opción para enviar un informe por correo electrónico. El informe se envía a los destinatarios configurados en Alerting Options. Haga clic en Alerting Options y configure las alertas para los destinatarios y los parámetros de los servidores de correo. Para obtener más información, consulte Configuración de opciones de alerta (página 212). Seleccione esta opción para utilizar destinatarios de correo electrónico que no sean los configurados en Alerting Options. 8. Haga clic en Add Schedule para guardar el informe. Nota Configuración de opciones de informes programados Para configurar parámetros de informes programados adicionales: 1. En la sección Scheduled Reports, haga clic en Scheduled Reports Options. 2. Haga clic en Alerting Options para configurar parámetros de correo electrónico que se utilizarán para enviar informes. Para obtener más información, consulte Configuración de opciones de alerta (página 212). 3. Haga clic en Storage Options para especificar el formato y la ubicación que se utilizarán para guardar informes generados. Nota De forma predeterminada, todos los informes generados se almacenan en formato PDF en: <GFI LanGuard install directory>\reports Administración de informes programados Para administrar informes programados: GFI LanGuard 10 Generación de informes 204

205 1. Haga clic en la ficha Reports. 2. En Scheduled Reports, haga clic en Scheduled Reports List. Captura de pantalla 132: Edición de opciones de informes programados 3. Haga doble clic en un informe del panel derecho para editar parámetros de informes programados. Captura de pantalla 133: Control de la actividad de los informes programados 4. Controle la actividad de los informes programados desde la sección Scheduled Reports Activity Logs, en la parte inferior del panel derecho Personalización de informes predeterminados GFI LanGuard le permite crear nuevos informes basados en la configuración de un informe existente. Esto le permite ahorrar tiempo y ajustar informes existentes, de modo que el conjunto de datos utilizado para preparar el informe se adecue de forma precisa a sus requisitos. Esta sección contiene información acerca de lo siguiente: Creación de informes personalizados Personalización de logotipos de informes Personalización del formato de informes de correo electrónico Creación de informes personalizados Para crear un informe personalizado: 1. Haga clic en la ficha Reports. GFI LanGuard 10 Generación de informes 205

206 2. En la lista Reports, seleccione un informe existente en el que se basa la configuración de los nuevos informes. Nota No todos los informes se pueden editar. Captura de pantalla 134: Edición de parámetros de informes desde la vista previa de la muestra de informe 3. En el panel derecho, haga clic en Customize report para que se muestren opciones avanzadas de informes. Captura de pantalla 135: Configuración de elementos de informes 4. Haga clic en la ficha Report Items y seleccione los elementos relacionados que desea incluir en el informe. GFI LanGuard 10 Generación de informes 206

207 Captura de pantalla 136: Configuración de las opciones de filtrado de informes 5. Haga clic en la ficha Filters y configure los filtros disponibles que se relacionan con el informe. Captura de pantalla 137: Configure las opciones de agrupamiento y clasificación de informes 6. Haga clic en la ficha Grouping & Sorting y configure lo siguiente: Agrupamiento de la primera categoría: los datos de informes se agrupan de acuerdo con el campo seleccionado Agrupamiento de la segunda categoría: los datos agrupados se disponen en grupos secundarios de acuerdo con el campo seleccionado Ordenamiento adicional: los datos de informes se ordenan de acuerdo con el campo seleccionado. 7. Haga clic en Save as new report En el cuadro de diálogo Add report, escriba un nombre y una descripción opcional para el nuevo informe personalizado. Haga clic en OK. GFI LanGuard 10 Generación de informes 207

208 Personalización de logotipos de informes GFI LanGuard le permite utilizar el logotipo de su empresa o su logotipo personalizado en los informes incorporados incluidos en el producto. Los logotipos se pueden disponer en las secciones de encabezado o pie de página del informe. Personalización del logotipo del encabezado de un informe 1. Cree o seleccione su imagen. 2. Cambie el tamaño de la imagen a las siguientes medidas: Ancho = 624, alto = Cambie el nombre de la imagen a headerlogo.png. 4. Agregue gráficos personalizados a la carpeta logo, que se puede encontrar en Datos de programa\gfi\languard11\graphics\logo. Personalización del logotipo del pie de página del informe 1. Cree o seleccione su imagen. 2. Cambie el tamaño de la imagen a las siguientes medidas: Ancho = 109, alto = Cambie el nombre de la imagen a footerlogo.png. 4. Agregue gráficos personalizados a la carpeta logo, que se puede encontrar en Datos de programa\gfi\languard11\graphics\logo Personalización del formato de informes de correo electrónico Para cada tipo de informe de correo electrónico programado, existe un archivo de formato HTML que incluye marcadores delimitados con el símbolo % (por ejemplo, %TITLE% y %NAME%). Puede editar el formato y el estilo HTML, y mover y eliminar marcadores para la personalización adicional del cuerpo del correo electrónico de los informes generados. La ubicación de plantillas predeterminada es: <Directorio de instalación de GFI LanGuard>\LanGuard 11\Templates\template_mailbody.xml. Tenga en cuenta que GFI LanGuard solo puede administrar marcadores conocidos (mencionados a continuación) con su rol predefinido. Los marcadores se pueden utilizar en todos los tipos de informes programados. En la siguiente tabla se describen los marcadores personalizables: Tabla 76: Marcadores de informes Marcador %TITLE% %NAME% %DESCRIPTION%: %TARGET% %LAST_RUN% %NEXT_RUN% Descripción Título de correo electrónico para el informe generado. Nombre del informe programado. Descripción del informe programado. Objetivos (equipos, dominios) representados en el informe programado. Fecha y hora de la última ejecución para el informe programado. Fecha y hora de la ejecución siguiente para el informe programado. Nota Este marcador se utiliza únicamente para informes de resumen diario. %PROFILE% Perfil de detección utilizado durante la ejecución del examen programado. Nota Este marcador se utiliza únicamente para informes de examen programados posteriormente. GFI LanGuard 10 Generación de informes 208

209 Marcador %DURATION% Descripción Duración del examen programado. Nota Este marcador se utiliza únicamente para informes de examen programados posteriormente. %ITEMS_COUNT% Conteo de elementos recopilados. Nota Este marcador se utiliza únicamente para informes de examen programados posteriormente. %AUTOREMED_ MISSINGPATCHES% Se utiliza en el informe si la opción Auto remediate Missing Patches se encuentra habilitada para el examen programado. Nota Este marcador se utiliza únicamente para informes de examen programados posteriormente. %AUTOREMED_ MISSINGSPS% Se utiliza en el informe si la opción Auto remediate Missing Service Packs se encuentra habilitada para el examen programado. Nota Este marcador se utiliza únicamente para informes de examen programados posteriormente. %AUTOREMED_ UNINSTAPPS% Se utiliza en el informe si la opción Auto remediate Uninstall Applications se encuentra habilitada para el examen programado. Nota Este marcador se utiliza únicamente en informes de examen programados posteriormente Búsqueda de texto completo La búsqueda de texto completo devuelve resultados de forma estructurada y configurable. En los resultados se ofrecen enlaces seleccionables para obtener más detalles. Para utilizar la característica de búsqueda de texto completo: 1. Haga clic en la ficha Reports y en la subficha Search Nota El acceso también es posible seleccionando Search en el árbol de equipos. 2. Introduzca su elemento de búsqueda y haga clic en Search. GFI LanGuard 10 Generación de informes 209

210 Captura de pantalla 138: Personalización de parámetros de informes 3. (Opcional) Haga clic en Advanced search para configurar filtros de modo que los resultados de búsqueda se reduzcan a algo más específico. 4. Analice los resultados de búsqueda en la sección de resultados de la parte inferior. El resultado contiene enlaces que le permiten navegar entre equipos, productos de software y vulnerabilidades. Por ejemplo, puede hacer clic en un Service Pack faltante para abrir las revisiones faltantes para un equipo específico. GFI LanGuard 10 Generación de informes 210

211 Captura de pantalla 139: Navegación a través de enlaces de informes GFI LanGuard 10 Generación de informes 211

212 11 Personalización de GFI LanGuard GFI LanGuard le permite realizar exámenes de vulnerabilidades de forma inmediata utilizando parámetros configurados antes del envío. Si es necesario, también puede personalizar estos parámetros para cumplir con cualquier requisito de administración de vulnerabilidades específico al cual su organización debiera adaptarse. Puede personalizar y configurar varios aspectos de GFI LanGuard, entre los que se incluyen programaciones de exámenes, comprobaciones de vulnerabilidades, filtros de examen y perfiles de examen. Temas de este capítulo: 11.1 Configuración de opciones de alerta Configuración de opciones de mantenimiento de bases de datos Configuración de actualizaciones del programa Límite de tamaño de la base de datos Métodos para evitar problemas de limitación de bases de datos Configuración de opciones de alerta Para configurar opciones de alerta: 1. Haga clic en la ficha Configuration tab y en Alerting options. 2. Haga clic en el panel derecho. GFI LanGuard 11 Personalización de GFI LanGuard 212

213 Captura de pantalla 140: Configuración de opciones de alerta 3. Escriba los parámetros descritos a continuación: Tabla 77: Parámetros de configuración de correo Opción Para CC From Servidor Port Use SSL/TLS encrypted connection SMTP Server requires login Descripción La dirección de correo electrónico del destinatario. Los mensajes de correo electrónico enviados por GFI LanGuard se reciben en esta dirección de correo electrónico. Escriba otra dirección de correo electrónico en este campo si necesita enviar una copia a otra dirección de correo electrónico. La dirección de correo electrónico del remitente. GFI LanGuard Esta cuenta de correo electrónico se utilizará para enviar los mensajes de correo electrónico requeridos. Define el servidor a través del cual se envían los mensajes de correo electrónico. Puede ser un FQDN (nombre de dominio completo) o una dirección IP. Define el puerto IP a través del cual se envían los mensajes de correo electrónico. El valor predeterminado es 25 Seleccione esta opción si cuenta con conexión cifrada SSL (protocolo de capa de sockets seguros) o TLS (protocolo de seguridad de capa de transporte) para enviar los mensajes de correo electrónico requeridos. Seleccione esta opción si el servidor SMTP requiere un nombre de usuario y una contraseña para la autenticación. 4. Haga clic en el botón Verify Settings para verificar la configuración del correo electrónico. 5. Seleccione Notifications y configure las siguientes opciones: GFI LanGuard 11 Personalización de GFI LanGuard 213

214 Tabla 78: Opciones de notificaciones Opción Enable daily digest Report format Send an on new product news Descripción Permite recibir un informe diario con todos los cambios realizados en toda la red. Configure la hora de recepción del resumen diario. Especifique el formato de los informes recibidos por correo electrónico. Permite recibir un mensaje de correo electrónico con noticias sobre productos nuevos. 6. Haga clic en OK Configuración de opciones de mantenimiento de bases de datos GFI LanGuard incluye un conjunto de opciones de mantenimiento de bases de datos mediante el cual usted puede mantener su back-end de base de datos de resultados de examen en buenas condiciones. Por ejemplo, puede mejorar el rendimiento del producto y evitar que su back-end de base de datos de resultados de examen cobre un tamaño excesivamente grande mediante la eliminación automática de resultados de exámenes con una antigüedad que supere una cantidad de meses específica. Si utiliza un back-end de base de datos de Access, también puede programar la compactación de bases de datos. La compactación le permite reparar cualquier dato dañado y eliminar registros de bases de datos marcados para su eliminación en su back-end de base de datos, lo cual garantiza la integridad de su base de datos de resultados. En las secciones siguientes se le proporciona información acerca de lo que se muestra a continuación: Utilización de Access como back-end de base de datos Utilización de SQL Server como back-end de base de datos Administración de resultados de exámenes Enumeración de equipos examinados Configuración de opciones avanzadas de mantenimiento de bases de datos Configuración de opciones de conservación de bases de datos Utilización de Access como back-end de base de datos GFI LanGuard admite back-end de bases de datos basados en Access y SQL Server (2000 o posterior). Importante: Microsoft Access solo se recomienda para utilizarse durante la evaluación del producto. Para almacenar resultados de exámenes en una base de datos de Access : 1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Database backend settings. GFI LanGuard 11 Personalización de GFI LanGuard 214

215 Captura de pantalla 141: Cuadro de diálogo de propiedades de mantenimiento de bases de datos 2. Seleccione la opción MS Access y especifique la ruta de acceso completa (incluido el nombre del archivo) de su back-end de base de datos de Access. Nota El archivo de base de datos se crea si no existe. Nota Si el archivo de base de datos ya existe y pertenece a una versión anterior de GFI LanGuard, se le solicitará sobrescribir la información existente. 3. Haga clic en OK. GFI LanGuard 11 Personalización de GFI LanGuard 215

216 Utilización de SQL Server como back-end de base de datos Importante: Se recomienda encarecidamente utilizar SQL Server una vez excedida la evaluación del producto. Para descargar SQL Server Express, haga clic en el enlace Install Microsoft SQL Server Express (free) (instalar Microsoft SQL Server Express [gratuito]) disponible en el cuadro de diálogo. Para almacenar resultados de exámenes en una base de datos de SQL Server : 1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Database backend settings. Captura de pantalla 142: Opciones de back-end de base de datos de SQL Server 2. Seleccione la opción MS SQL Server y elija el SQL Server que alojará la base de datos de la lista proporcionada de servidores detectados en su red. 3. Especifique las credenciales de SQL Server o seleccione la opción Use NT authority credentials para la autenticación en el SQL Server utilizando detalles de la cuenta. 4. Haga clic en OK para finalizar su configuración. GFI LanGuard 11 Personalización de GFI LanGuard 216

217 Nota Si las credenciales y el servidor especificados son correctos, GFI LanGuard iniciará sesión de forma automática en su SQL Server y creará las tablas de bases de datos necesarias. Si las tablas de bases de datos ya existen, las utilizará nuevamente. Nota Cuando utilice credenciales de autoridad NT, asegúrese de que los servicios de GFI LanGuard funcionen en una cuenta que tenga acceso y privilegios administrativos en las bases de datos de SQL Server. 5. Haga clic en Yes para detener todos los exámenes en curso. 6. Si la base de datos actual de Access contiene datos, haga clic en OK para transferir todos los datos de exámenes a la base de datos de SQL Server Administración de resultados de exámenes guardados Utilice la ficha Saved Scan Results para conservar su back-end de base de datos y eliminar resultados de exámenes que ya no sean necesarios. La eliminación de resultados de exámenes guardados no necesarios se puede realizar manual y automáticamente a través del mantenimiento programado de bases de datos. Durante el mantenimiento programado de bases de datos GFI LanGuard elimina automáticamente los resultados de exámenes guardados con una antigüedad superior a una cantidad de días, semanas o meses específica. También puede configurar el mantenimiento de bases de datos para que conserve solo una cantidad específica de resultados de exámenes recientes por cada destino y perfil de examen. GFI LanGuard 11 Personalización de GFI LanGuard 217

218 Captura de pantalla 143: Propiedades de mantenimiento de bases de datos: ficha Saved Scan Results administrada Para administrar resultados de exámenes guardados: 1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Manage saved scan results. 2. Para borrar resultados de exámenes guardados, seleccione los resultados en cuestión y haga clic en Delete Scan(s). 3. Para dejar que GFI LanGuard administre el mantenimiento de bases de datos en lugar de usted, seleccione Scans generated during the last para eliminar los resultados que tengan una antigüedad superior a una cantidad de días, semanas o meses específica, o bien Scans per scan target per profile in number of para conservar solo una cantidad específica de resultados de exámenes recientes Enumerar equipos examinados GFI LanGuard conserva una lista global de equipos examinados por razones de licenciamiento. Los equipos que formen parte de un excedente respecto del valor especificado en la información de licenciamiento no se examinarán. GFI LanGuard permite a los administradores de sistemas eliminar equipos examinados para liberar licencias previamente utilizadas. Para eliminar equipos previamente examinados: GFI LanGuard 11 Personalización de GFI LanGuard 218

219 1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Manage list of scanned computers. 2. Seleccione los equipos que se borrarán y haga clic en Delete selected computer(s). IMPORTANTE La eliminación de equipos de la base de datos es una operación irreversible que también eliminará todos los datos relacionados con equipos de la base de datos. Una vez borrados, estos datos dejan de estar disponibles Configuración de opciones avanzadas de mantenimiento de bases de datos GFI LanGuard le permite reparar y compactar el back-end de base de datos de Access de forma automática para mejorar el rendimiento. Durante la compactación, los archivos de bases de datos se reorganizan y los registros que se han marcado para su eliminación se borran. De esta manera, puede recuperar espacio de almacenamiento. Durante este proceso, GFI LanGuard también repara archivos de back-end de base de datos dañados. Los daños se pueden producir por varias razones. En la mayoría de los casos, una base de datos de Access se daña cuando se cierra inesperadamente antes de que se guarden registros (por ejemplo, debido a fallas de energía, reinicios forzados por operaciones que no responden, etc.). Captura de pantalla 144: Propiedades de mantenimiento de bases de datos: ficha Advanced GFI LanGuard 11 Personalización de GFI LanGuard 219

220 Para compactar y reparar un back-end de base de datos de Access : 1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Database maintenance plan. 2. Para iniciar manualmente un proceso de reparación y compactación en un back-end de base de datos de Access, haga clic en Compact Now. 3. Para automatizar el proceso de reparación y compactación en el back-end de base de datos de Access, seleccione lo siguiente: One time only: para programar una reparación y compactación de base de datos de Access por única vez Every para ejecutar un proceso de reparación y compactación como parte de una programación regular. Especifique la fecha, la hora y la frecuencia en días, semanas o meses que se emplearán para las operaciones de reparación y compactación en su back-end de base de datos Configurar opciones de conservación de bases de datos Las opciones de conservación de bases de datos le permiten mantener su base de datos limpia y uniforme mediante la configuración de GFI LanGuard para que elimine de forma automática resultados de exámenes e información del historial de exámenes que no se deseen y, al mismo tiempo, mantenga lo importante. Para configurar ajustes de conservación: 1. Haga clic en la ficha Configuration y después en Database Maintenance Options, en Database backend settings y en la ficha Retention. 2. Configure las opiones descritas a continuación: Tabla 79: Opciones de conservación de bases de datos Opción Keep scans generated during the last Keep scans per scan target per profile number of Never delete history Keep history for the last Descripción Permite conservar resultados de exámenes generados durante el número de días, semanas o meses especificado. Permite especificar el número de resultados de exámenes que se conservarán para cada destino de examen por cada perfil de examen. Seleccione esta opción si desea conservar todo el historial de exámenes. Conserve el historial de exámenes generados durante el número de días, semanas o meses especificado. 3. Haga clic en OK Configuración de actualizaciones del programa Esta herramienta permite a GFI LanGuard detectar las vulnerabilidades más recientes y mantener su rendimiento de examen. Configure GFI LanGuardpara que descargue de forma automática actualizaciones publicadas por GFI para mejorar las funcionalidades de GFI LanGuard. Estas actualizaciones también incluyen la búsqueda de actualizaciones más nuevas en el sitio web de GFI. Las actualizaciones se pueden habilitar o deshabilitar seleccionando la casilla de verificación de la columna Auto download. GFI LanGuard puede descargar todos los idiomas para Unicode. Entre estos se incluyen (sin limitaciones) el inglés, alemán, francés, italiano, español, árabe, danés, checo, finlandés, hebreo, húngaro, japonés, coreano, holandés, noruego, polaco, portugués, portugués brasileño, ruso, sueco, chino, chino de Taiwán, griego y turco. GFI LanGuard 11 Personalización de GFI LanGuard 220

221 En las secciones siguientes se le proporciona información acerca de lo que se muestra a continuación: Configuración de parámetros proxy Configuración de opciones de actualización automática Instalación manual de actualizaciones del programa Configuración de parámetros proxy Para configurar manualmente parámetros de servidores proxy para actualizaciones a través de Internet: 1. Haga clic en la ficha Configuration y después en Program Updates. 2. En Common Tasks, seleccione Edit proxy settings. Captura de pantalla 145: Configuración de parámetros de servidores proxy 3. Seleccione Override automatic proxy detection; configure las opciones descritas a continuación: Tabla 80: Configuración de proxy Opción Connect directly to the Internet Connect via a proxy server Proxy server requires authentication Descripción Se encuentra disponible una conexión directa a Internet. El acceso a Internet es posible a través de un servidor proxy. Permite actualizar el nombre del servidor y el número de puerto utilizando este formato<server>:<port> (Opcional) Permite introducir el nombre de usuario y la contraseña si los requiere el servidor proxy. GFI LanGuard 11 Personalización de GFI LanGuard 221

222 4. Haga clic en OK Configuración de opciones de actualización automática GFI LanGuard puede realizar comprobaciones para determinar la disponibilidad de actualizaciones de software cada vez que se inicia. Para deshabilitar o habilitar esta característica: 1. Haga clic en la ficha Configuration y después en Program Updates. En Common Tasks, seleccione Edit program updates options. Captura de pantalla 146: Configuración de actualizaciones al iniciarse la aplicación 2. Seleccione o desactive Check for updates at application startup para habilitar o deshabilitar las comprobaciones de actualizaciones automáticas al iniciarse la aplicación. 3. Seleccione o desactive la habilitación de actualizaciones programadas para configurar la frecuencia de comprobación de actualizaciones. 4. Especifique si GFI LanGuard descargará actualizaciones del sitio web de GFI o desde una ubicación alternativa. 5. Haga clic en OK Instalación manual de actualizaciones del programa Para iniciar las actualizaciones del programa de GFI LanGuard manualmente: 1. Haga clic en la ficha Configuration y después en Program Updates. 2. En Common Tasks, haga clic en Check for updates. GFI LanGuard 11 Personalización de GFI LanGuard 222

223 Captura de pantalla 147: Asistente de comprobación de actualizaciones 3. Especifique la ubicación desde la cual se descargarán los archivos de actualización requeridos. 4. (Opcional) Cambie la ruta de descarga predeterminada; seleccione Download all update files from GFI web site to this path para proporcionar un destino de descarga alternativa para almacenar todas las descargas de GFI LanGuard. 5. Haga clic en Next para continuar con la actualización. 6. Seleccione las actualizaciones y haga clic en Next. 7. Haga clic en Start para iniciar el proceso de actualización Límite de tamaño de la base de datos GFI LanGuard permite trabajar con Microsoft SQL Server o Microsoft Access como back-end de base de datos. Nota: Al usar la edición gratuita Express Edition de SQL Server o Access, puede haber un límite de tamaño para los archivos de base de datos. SQL Server Standard Edition tiene un límite superior de 524 petabytes, pero no es gratuito. GFI LanGuard 11 Personalización de GFI LanGuard 223

224 Nota: Si su base de datos alcanza el límite de su versión de SQL Server Express, comenzarán a producirse errores, ya que las tablas de base de datos no pueden aceptar datos nuevos. La siguiente es una lista de algunos datos breves sobre las versiones de SQL Server Express Edition y sus límites de tamaño: 2000 Desktop - 2 GB 2005 Express - 4 GB 2008 Express - 4 GB 2008 R2 Express - 10 GB 2012 Express - 10 GB Access 2 GB 11.5 Métodos para evitar problemas de limitación de bases de datos Actualice la base de datos Si usa una base de datos de Access, actualícela a una base de datos de Microsoft SQL Server, pero tenga en cuenta que la versión Express Edition de SQL Server es limitada, como se mencionó anteriormente. Se recomienda usar la base de datos de Access en modo de evaluación únicamente. Al migrar su base de datos de Access a SQL Server, GFI LanGuard copia automáticamente los datos a la nueva base de datos, para que no se pierda nada Elimine exámenes antiguos de forma manual o automática Para eliminarlos manualmente: 1. Haga clic en la ficha Configuración y, luego, en Opciones de mantenimiento de la base de datos. 2. Seleccione Administrar resultados de exámenes y elimine exámenes antiguos e innecesarios. GFI LanGuard 11 Personalización de GFI LanGuard 224

225 Captura de pantalla 148: Eliminación manual de exámenes antiguos Para eliminarlos automáticamente: 1. Haga clic en la ficha Configuración y, luego, en Opciones de mantenimiento de la base de datos. 2. Seleccione Administrar directiva de retención y elija la directiva de retención que se adapte a sus necesidades. GFI LanGuard 11 Personalización de GFI LanGuard 225

226 Captura de pantalla 149: Eliminación automática de exámenes antiguos Copia de seguridad Para hacer una copia de seguridad de una base de datos de Microsoft Access: 1. Vaya a C:\Datos de programa\gfi\languard 11 y encuentre su base de datos por nombre. Nota: Puede encontrar la base de datos que está usando GFI LanGuard en Configuración > Opciones de mantenimiento de la base de datos > Configuración del back-end de base de datos 2. Copie la base de datos en la ubicación de las copias de seguridad. 3. Para realizar una limpieza de la base de datos, hay dos opciones: Vaya a Configuración > Opciones de mantenimiento de la base de datos > Administrar resultados de exámenes y elimine todos los exámenes. Vaya a Configuración > Opciones de mantenimiento de la base de datos > Configuración del back-end de base de datos e introduzca una ruta y un nombre nuevos para la nueva base de datos. La nueva base de datos se crea automáticamente. GFI LanGuard 11 Personalización de GFI LanGuard 226

227 Captura de pantalla 150: Base de datos de Microsoft Access Para hacer una copia de seguridad de una base de datos de Microsoft SQL Server, siga las instrucciones de: Para realizar una limpieza de la base de datos: 1. Vaya a Configuración > Opciones de mantenimiento de la base de datos > Configuración del back-end de base de datos 2. Desconecte GFI LanGuard de la base de datos de la que hizo la copia de seguridad y que desea eliminar. Para ello, conéctese a otra base de datos temporal (finalmente, la base de datos de Access). 3. Elimine la base de datos de SQL Server utilizando SQL Server Management Studio. 4. Vaya a GFI LanGuard en Configuración > Opciones de mantenimiento de la base de datos > Configuración del back-end de base de datos y vuelva a conectarse a SQL Server. GFI LanGuard 11 Personalización de GFI LanGuard 227

228 Captura de pantalla 151: Base de datos de Microsoft SQL Server/SQL Server Express GFI LanGuard 11 Personalización de GFI LanGuard 228

229 12 Scanning Profile Editor Los perfiles de detección incluidos en GFI LanGuard vienen preestablecidos para la ejecución de varias comprobaciones de vulnerabilidades en los destinos seleccionados. No obstante, puede deshabilitar la detección de vulnerabilidades y personalizar la lista de comprobaciones de vulnerabilidades ejecutadas durante un examen. Los exámenes se pueden modificar a través de Scanning Profile Editor. Temas de este capítulo: 12.1 Creación de un nuevo perfil de detección Configuración de vulnerabilidades Configuración de revisiones Configuración de opciones de auditoría de redes y software Configuración de opciones de detección de seguridad Creación de un nuevo perfil de detección Scanning Profiles Editor le permite crear nuevos perfiles de detección. Para crear un nuevo perfil de detección personalizado: 1. Inicie GFI LanGuard. 2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Como alternativa, presione Ctrl + P para iniciar Scanning Profiles Editor. 3. En Scanning Profiles Editor, en Common Tasks, haga clic en New scanning profile... GFI LanGuard 12 Scanning Profile Editor 229

230 Captura de pantalla 152: Scanning Profiles Editor 4. Especifique el nombre del nuevo perfil y seleccione de forma opcional Copy all settings from an existing profile para clonar la configuración de un perfil existente. 5. Haga clic en OK para guardar la configuración. El nuevo perfil de detección se agrega en Profiles, en el panel izquierdo Configuración de vulnerabilidades La ficha Vulnerability Assessment Options le permite configurar las actualizaciones de seguridad y no de seguridad que pertenecen a Microsoft y no pertenecen a Microsoft que se verificarán al detectar destinos con el perfil seleccionado. En las secciones siguientes se le proporciona información acerca de lo que se muestra a continuación: Habilitación de exámenes de vulnerabilidades Personalización de la lista de vulnerabilidades que se deben examinar Personalización de propiedades de comprobaciones de vulnerabilidades Configuración de condiciones de comprobación de vulnerabilidades Habilitación de exámenes de vulnerabilidades Para habilitar los exámenes de vulnerabilidades: 1. Inicie GFI LanGuard. GFI LanGuard 12 Scanning Profile Editor 230

231 2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Como alternativa, presione Ctrl + P para iniciar Scanning Profiles Editor. Captura de pantalla 153: Habilitación de exámenes de vulnerabilidades para el perfil de detección seleccionado 3. En la ficha Vulnerability Assessment Options tab, haga clic en la subficha Vulnerabilities. 4. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. 5. En el panel derecho, seleccione Enable Vulnerability Scanning. Nota Los exámenes de vulnerabilidades se configuran por perfil de examen. Si en un perfil en particular esta opción no se selecciona, no se realizarán pruebas de vulnerabilidad en las auditorías de seguridad llevadas a cabo por este perfil de detección Personalización de la lista de vulnerabilidades que se deben examinar Para especificar las vulnerabilidades que se enumerarán y procesarán mediante un perfil de detección durante una auditoría de seguridad: 1. En la ficha Vulnerability Assessment Options, seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. GFI LanGuard 12 Scanning Profile Editor 231

232 Captura de pantalla 154: Seleccione las comprobaciones de vulnerabilidades que se deben ejecutar a través de este perfil de detección 2. En el panel derecho, seleccione las comprobaciones de vulnerabilidades que se ejecutarán a través de este perfil de detección Personalización de propiedades de comprobaciones de vulnerabilidades Todas las comprobaciones enumeradas en la ficha Vulnerabilities tienen propiedades específicas que determinan cuándo se desencadena la comprobación y qué detalles se enumerarán durante un examen. GFI LanGuard 12 Scanning Profile Editor 232

233 Captura de pantalla 155: Cuadro de diálogo de propiedades de vulnerabilidades: ficha General Para cambiar las propiedades de una comprobación de vulnerabilidades: 1. Haga clic con el botón secundario sobre la vulnerabilidad que personalizará y seleccione Properties. 2. Personalice la comprobación de vulnerabilidades seleccionada en las fichas descritas a continuación: Tabla 81: Cuadro de diálogo de propiedades de vulnerabilidades Ficha General Conditions Descripción References Descripción Utilice esta ficha para personalizar los detalles generales de una comprobación de vulnerabilidades, incluidos el nombre de la comprobación de vulnerabilidades, el tipo de vulnerabilidad, la familia del SO, la versión del SO, el producto, la marca de hora y la gravedad. Utilice esta ficha para configurar los parámetros de operación de esta comprobación de vulnerabilidades. Estos parámetros definirán si una comprobación de vulnerabilidades tiene éxito o no. Utilice esta ficha para personalizar la descripciónb de la comprobación de vulnerabilidades. Utilice esta ficha para personalizar referencias y enlaces que conduzcan a información relevante en los informes de OVAL, CVE, MS Security, Security Focus y de las 20 directrices principales del SANS. 3. Haga clic en OK para guardar su configuración Configuración de condiciones de comprobación de vulnerabilidades La ficha Conditions le permite agregar o personalizar condiciones que determinan si el equipo o la red examinados son vulnerables o no. Por consiguiente, es fundamental que cualquier comprobación GFI LanGuard 12 Scanning Profile Editor 233

234 personalizada definida en esta sección sea configurada por personal calificado que tenga conocimiento de las consecuencias de sus acciones. Captura de pantalla 156: Ficha de configuración de condiciones de vulnerabilidad Para agregar una condición de comprobación de vulnerabilidades: 1. En la ficha Vulnerability Assessment Options, subficha Vulnerabilities, haga clic con el botón secundario en una vulnerabilidad de la lista de vulnerabilidades y seleccione Properties. 2. En el cuadro de diálogo Edit vulnerability, haga clic en la ficha Conditions y después en Add. GFI LanGuard 12 Scanning Profile Editor 234

235 Captura de pantalla 157: Asistente Check properties: selección del tipo de comprobación 3. Seleccione el tipo de comprobación que se configurará y haga clic en Next. GFI LanGuard 12 Scanning Profile Editor 235

236 Captura de pantalla 158: Asistente Check properties: definición del objeto que se examinará 4. Defina el objeto que examinará y haga clic en Next. GFI LanGuard 12 Scanning Profile Editor 236

237 Captura de pantalla 159: Asistente Check properties: determinación de las opciones requeridas 5. Especifique las condiciones requeridas y haga clic en Finish para finalizar su configuración. GFI LanGuard 12 Scanning Profile Editor 237

238 Captura de pantalla 160: Asistente Check properties: definición de operadores condicionales 6. Si se configura más de una condición, defina los operadores condicionales y haga clic en OK para terminar con sus parámetros de configuración. GFI LanGuard 12 Scanning Profile Editor 238

239 Captura de pantalla 161: Opciones avanzadas de vulnerabilidades 7. (Opcional) Haga clic en Advanced en la ficha Vulnerabilities para iniciar las opciones de examen de vulnerabilidades. GFI LanGuard 12 Scanning Profile Editor 239

240 Captura de pantalla 162: Cuadros de diálogo avanzados de examen de vulnerabilidades Las opciones de Advanced Vulnerabilities Options se utilizan para: Configurar características de examen de vulnerabilidades extendidas que verifiquen sus equipos de destino en busca de contraseñas vulnerables, acceso anónimo a FTP y cuentas de usuarios no utilizadas. Configurar la manera en que GFI LanGuard manipule comprobaciones de vulnerabilidades creadas recientemente. Configurar GFI LanGuard de modo que envíe solicitudes de CGI a través de un servidor proxy específico. Esto es obligatorio cuando se envían solicitudes de CGI de un equipo que se encuentra detrás de un cortafuegos a un servidor web de destino que se encuentra detrás del cortafuegos. Por ejemplo, servidores web en un DMZ. El cortafuegos generalmente bloqueará todas las solicitudes de CGI enviadas de forma directa por GFI LanGuard a un equipo de destino que se encuentre frente al cortafuegos. Para evitar esto, modifique la opción Send CGI requests through proxy de modo que el valor sea Yes y especifique el nombre y la dirección IP de su servidor proxy además del puerto de comunicaciones que se utilizará para que transmita la solicitud de CGI al destino Configuración de revisiones En la ficha Patches se especifican las vulnerabilidades de seguridad verificadas durante la detección de vulnerabilidades. Las revisiones verificadas se seleccionan en la lista completa de actualizaciones GFI LanGuard 12 Scanning Profile Editor 240

241 de software compatible, incluidas en esta ficha. Esta lista se configura de forma automática cuando GFI publica un archivo de definición de revisiones faltantes de GFI LanGuard. Las secciones siguientes contienen información sobre lo que se muestra a continuación: Habilitación y deshabilitación de comprobaciones de detección de revisiones faltantes Personalización de la lista de revisiones de software que se deben examinar Búsqueda de información de boletines Habilitación y deshabilitación de comprobaciones de detección de revisiones faltantes Captura de pantalla 163: Propiedades de perfiles de detección: Opciones de la ficha Patches Para habilitar las comprobaciones de detección de revisiones faltantes en un perfil de detección en particular: 1. Inicie GFI LanGuard. 2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Como alternativa, presione Ctrl + P para iniciar Scanning Profiles Editor. 3. En la ficha Vulnerability Assessment Options, haga clic en la subficha Patches. 4. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 5. En el panel derecho, seleccione la opción Detect installed and missing service packs/patches. GFI LanGuard 12 Scanning Profile Editor 241

242 Nota Los parámetros de detección de revisiones faltantes se pueden configurar por perfil de examen. Asegúrese de habilitar la detección de revisiones faltantes en todos los perfiles en los que se requiera Personalización de la lista de revisiones de software que se deben examinar Para especificar las actualizaciones de seguridad faltantes que se enumerarán y procesarán mediante un perfil de detección: 1. En la ficha Vulnerability Assessment Options, haga clic en la subficha Patches. 2. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. Captura de pantalla 164: Selección de las revisiones faltantes que se enumerarán 3. En el panel derecho, seleccione o desactive las revisiones faltantes que se enumerarán a través de este perfil de detección Búsqueda de información de boletines Captura de pantalla 165: Búsqueda de información de boletines Para buscar un boletín en particular: 1. En Vulnerability Assessment Options > Vulnerabilities > Find bulletin, especifique el nombre de boletín (por ejemplo, MS02 017) o QNumber (por ejemplo, Q311987) en la casilla de entrada de la herramienta de búsqueda incluida en la parte inferior del panel derecho. 2. Haga clic en Find para buscar su entrada. GFI LanGuard 12 Scanning Profile Editor 242

243 Captura de pantalla 166: Información de boletín extendida 12.4 Configuración de opciones de auditoría de redes y software Los perfiles de detección incluidos en GFI LanGuard vienen preestablecidos para la ejecución de varias comprobaciones de auditorías de redes y software en los destinos seleccionados. No obstante, puede deshabilitar los exámenes y personalizar la lista de auditorías de redes y software ejecutadas durante un examen. Esta sección contiene información acerca de lo siguiente: Configuración de opciones de examen de puertos TCP y UDP Configuración de opciones de información del sistema Configuración de opciones de examen de dispositivos Configuración de opciones de examen de aplicaciones GFI LanGuard 12 Scanning Profile Editor 243

244 Configuración de opciones de examen de puertos TCP y UDP Captura de pantalla 167: Propiedades de perfiles de detección: Opciones de la ficha TCP Ports Tabla 82: Opciones examen de puertos TCP Opción Habilitación/deshabilitación de puertos TCP Configuración de la lista de puertos TCP que se examinar Personalización de la lista de puertos TCP Descripción Para habilitar el examen de puertos TCP en un perfil de detección en particular: 1. En la ficha Network & Security Audit Options, haga clic en la subficha TCP Ports. 2. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 3. Seleccione la opción Enable TCP Port Scanning. Para configurar los puertos TCP que se procesarán a través de un perfil de detección: 1. En la ficha Network & Security Audit Options, haga clic en la subficha TCP Ports. 2. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. 3. Seleccione los puertos TCP que se analizarán con este perfil de detección. 1. En la ficha Network & Security Audit Options, haga clic en la subficha TCP Ports. 2. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 3. Personalice la lista de puertos TCP mediante Add..., Edit... o Remove. GFI LanGuard 12 Scanning Profile Editor 244

245 Nota La lista de puertos TCP/UDP compatibles es común a todos los perfiles. La eliminación de un puerto de la lista hará que deje de estar disponible para todos los perfiles de detección Configuración de opciones de información del sistema Captura de pantalla 168: Propiedades de perfiles de detección: Opciones de la fucha System Information Para especificar la información del sistema que se enumerará a través de un perfil de detección en particular: 1. En la ficha Network & Security Audit Options, haga clic en la subficha System Information. 2. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 3. En el panel derecho, expanda el grupo Windows System Information o Linux System Information según corresponda. 4. Seleccione la información del SO Windows o Linux que se recuperará de los destinos examinados a través del examen de seguridad. Por ejemplo, para que se enumeren recursos compartidos administrativos en los resultados de examen, expanda la opción Enumerate shares y configure la opción Display admin shares de modo que el valor sea Yes Configuración de opciones de examen de dispositivos GFI LanGuard 12 Scanning Profile Editor 245

246 Utilice la ficha Devices para que se enumeren dispositivos de red. Además de determinar la enumeración de dispositivos, puede configurar GFI LanGuard de modo que genere alertas de vulnerabilidades de seguridad altas cuando se detecte un dispositivo USB o de red. Esto se logra compilando una lista de dispositivos USB o de red no autorizados o incluidos en la lista negra para los que desee que se emitan alertas. Captura de pantalla 169: Página de configuración de dispositivos de red GFI LanGuard también puede excluir del proceso de detección dispositivos USB específicos que usted considere seguros. Estos dispositivos pueden ser un mouse o teclado USB. Esto se logra a través de una lista segura o blanca de dispositivos USB que se ignorarán durante la detección. Asimismo, puede crear un perfil de detección aparte que enumere únicamente llaves Bluetooth y tarjetas NIC inalámbricas conectadas a sus equipos de destino. En este caso, no obstante, debe especificar Bluetooth y Wireless o WiFi en las listas de dispositivos de red y USB no autorizados de su perfil de detección. El acceso a todas las opciones de configuración de examen de dispositivos es posible a través de las dos subfichas de la página de configuración de dispositivos. Estas son Network Devices y USB Devices. Utilice la subficha Network Devices para configurar las opciones de examen de dispositivos de red conectados y las listas de dispositivos incluidos en la lista negra (no autorizados) o en la lista blanca (seguros). Utilice la subficha USB Devices para configurar las opciones de examen de dispositivos USB conectados y las listas de dispositivos no autorizados o seguros. GFI LanGuard 12 Scanning Profile Editor 246

247 Tabla 83: Opciones de examen de dispositivos Opción Habilitación/deshabilitación de comprobaciones en busca de dispositivos de red instalados Descripción Para habilitar la detección de dispositivos de red (incluidos los dispositivos USB) en un perfil de detección en particular: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices. 2. Haga clic en la ficha Network Devices. 3. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. 4. En el panel derecho, seleccione Enable scanning for hardware devices on target computer(s). Nota La detección de dispositivos de red se puede configurar por perfil de examen. Asegúrese de habilitar la detección de dispositivos de red en todos los perfiles en los que esto se requiera. Compilación de una lista negra/blanca de dispositivos de red Para compilar una lista negra o blanca de dispositivos de red para un perfil de detección: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices. 2. Haga clic en la ficha Network Devices. 3. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. 4. Panel derecho: para crear una lista negra de dispositivos de red, especifique los dispositivos que desee clasificar como vulnerabilidades de seguridad altas en el espacio proporcionado en Create a high security vulnerability for network devices which name contains:. Por ejemplo, si introduce la palabra wireless, recibirá una notificación a través de una alerta de vulnerabilidad de seguridad alta cuando se detecte un dispositivo cuyo nombre contenga la palabra wireless. Para crear una lista blanca de dispositivos de red, especifique los dispositivos que desee ignorar durante el examen de vulnerabilidades de red en el espacio proporcionado en Ignore (Do not list/save to db) devices which name contains:. Nota Incluya únicamente un nombre de dispositivo de red por línea. Configuración de las opciones avanzadas de examen de dispositivos de red En la ficha Network Devices, también puede especificar el tipo de dispositivos de red verificados por este perfil de detección y presentados en los resultados de examen. Entre estos se incluyen dispositivos de red cableados, dispositivos de red inalámbricos, dispositivos de red enumerados por software y dispositivos de redes virtuales. Para especificar los dispositives de red que se enumerarán en los resultados de examen: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices. 2. Haga clic en la ficha Network Devices (se abre de forma predeterminada). 3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 4. Haga clic en Advanced en la parte inferior de la página. 5. Fije las opciones requeridas en Yes. Haga clic en OK para finalizar la configuración. GFI LanGuard 12 Scanning Profile Editor 247

248 Opción Detección de dispositivos USB Descripción Para compilar una lista de dispositivos USB no autorizados o inseguros: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices. 2. Haga clic en la ficha USB Devices. 3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 4. En el panel derecho, especifique los dispositivos que desee clasificar como vulnerabilidades de seguridad altas en el espacio proporcionado en Create a high security vulnerability for network devices which name contains:. Por ejemplo, si introduce la palabra ipod, recibirá una notificación a través de una alerta de vulnerabilidad de seguridad alta cuando se detecte un dispositivo cuyo nombre contenga la palabra ipod. Para crear una lista blanca de dispositivos de red, especifique los dispositivos que desee ignorar durante el examen de vulnerabilidades de red en el espacio proporcionado en Ignore (Do not list/save to db) devices which name contains:. Nota Incluya únicamente un nombre de dispositivo USB por línea Configuración de opciones de examen de aplicaciones La ficha Applications le permite especificar las aplicaciones que activarán una alerta durante un examen. GFI LanGuard 12 Scanning Profile Editor 248

249 Captura de pantalla 170: Página de configuración de aplicaciones Mediante esta ficha, también puede configurar GFI LanGuard para que detecte y presente aplicaciones de software no autorizadas instaladas en los dispositivos examinados y generar alertas de vulnerabilidades de seguridad altas cuando se detecta este software. Tabla 84: Opciones de examen de aplicaciones Opción Examen de aplicaciones instaladas Descripción De forma predeterminada,gfi LanGuard también admite la integración con aplicaciones de seguridad en particular. Entre ellas se incluyen varias aplicaciones de software antivirus y antispyware. Durante la detección de seguridad, GFI LanGuard verifica que los detectores de virus o el software antispyware estén configurados de forma correcta y que los archivos de definición correspondientes estén actualizados. La detección de dispositivos de red se puede configurar por perfil de examen y el acceso a todas las opciones de configuración es posible a través de las dos subfichas de la ficha Applications. Estas son Unauthorized Applications y Advanced Options. GFI LanGuard 12 Scanning Profile Editor 249

250 Opción Habilitación/deshabilitación de comprobaciones en busca de aplicaciones instaladas Descripción Para habilitar la detección de aplicaciones instaladas en un perfil de detección en particular: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications. 2. Haga clic en la subficha Unauthorized Applications. 3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 4. Marque la casilla de verificación Enable scanning for installed applications on target computer(s). Nota La detección de aplicaciones instaladas se puede configurar por perfil de examen. Asegúrese de habilitar la detección de aplicaciones instaladas en todos los perfiles en los que se requiera. Compilación de la lista negra/blanca de aplicaciones instaladas Para compilar la lista negra y blanca de aplicaciones instaldas: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications. 2. Seleccione la subficha Unauthorized Applications. 3. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles. 4. En el panel derecho, marque la casilla de verificación Enable scanning for installed applications on target computer(s). 5. Especifique las aplicaciones cuya instalación se autoriza. Elija una de las siguientes opciones: Only the applications in the list below: especifique nombres de aplicaciones cuya instalación se autoriza. Estas aplicaciones se ignorarán durante un examen de seguridad All applications except the ones in the list below: especifique los nombres de las aplicaciones cuya instalación no se autoriza. Las aplicaciones que no estén en esta lista se ignorarán durante un examen de seguridad. 6. En las opciones de Ignore (Do not list/save to db) applications from the list below, escriba aplicaciones después de hacer clic en Add. Cualquier aplicación enumerada se incluye en la lista blanca. Nota Incluya únicamente un nombre de aplicación por línea. Opciones avanzadas de examen de aplicaciones GFI LanGuard incluye una lista predeterminada de aplicaciones antivirus y antispyware que se pueden verificar durante la detección de seguridad. La ficha Advanced Options le permite determinar mediante configuración cuándo GFI LanGuard generará alertas de vulnerabilidades de seguridad altas si detecta determinadas configuraciones de una aplicación de seguridad. Se generan alertas cuando: No se detectan antivirus, antispyware ni cortafuegos Se detecta un antivirus o antispyware falsos Las definiciones de antivirus o antispyware no están actualizadas El control de antivirus o antispyware en tiempo real se desactiva Un producto antivirus o antispyware caduca Un producto antivirus o antispyware detecta malware en los equipos examinados El cortafuegos se deshabilita Se cumple el tiempo de espera de HTTP/FTP cuando se realizan comprobaciones en busca de actualización del producto en sitios remotos. Esta opción genera una alerta si el número de segundos definido para el tiempo de espera se excede. GFI LanGuard 12 Scanning Profile Editor 250

251 Opción Habilitación/deshabilitación de comprobaciones en busca de aplicaciones de seguridad Descripción Para habilitar la verificación en busca de aplicaciones de seguridad instaladas en un perfil de detección en particular: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications. 2. Haga clic en la subficha Advanced Options. 3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 4. Marque la casilla de verificación Enable scanning for installed applications on target computer(s). 5. (Exámenes sin agente) Marque la casilla de verificación Enable full security applications audit for agent less scans. Nota 1. Los exámenes sin agente ejecutan de forma temporal un servicio de dimensiones reducidas en los equipos remotos para recuperar la información correspondiente. 2. La detección de aplicaciones de seguridad se puede configurar por perfil de examen. Asegúrese de habilitar la detección de aplicaciones de seguridad en todos los perfiles en los que se requiera. 3. El número de aplicaciones de seguridad compatibles se actualiza de forma constante. Haga clic en el enlace disponible para obtener la versión más reciente de la lista. Configuración de aplicaciones de seguridad: opciones avanzadas. Para configurar los desencadenadores de alertas para aplicaciones de seguridad instaladas en un perfil de detección en particular: 1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications. 2. Haga clic en la ficha Advanced Options. 3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles. 4. Marque la casilla de verificación Enable scanning for installed applications on target computer(s). 5. (Exámenes sin agente) Marque la casilla de verificación Enable full security applications audit for agent less scans. 6. En el panel inferior derecho, seleccione el desencadenador que desee configurar y seleccione Yes o No en el menú desplegable junto al desencadenador de alterta correspondiente. Nota La detección de aplicaciones de seguridad se puede configurar por perfil de examen. Asegúrese de habilitar la detección de aplicaciones de seguridad en todos los perfiles en los que se requiera Configuración de opciones de detección de seguridad Utilice la ficha Scanner Options para configurar los parámetros de operación del motor de detección de seguridad. Estos parámetros se pueden configurar por perfil de examen y se puede definir la manera en que el motor de examen realizará detecciones de destinos y consultas de datos del sistema operativo. GFI LanGuard 12 Scanning Profile Editor 251

252 Captura de pantalla 171: Propiedades de perfiles de detección: Ficha Scanner Options Entre las opciones configurables se incluyen los tiempos de espera, los tipos de solicitudes que se ejecutarán durante la detección de objetivos, el conteo de números de subprocesos de detección, el alcance de las solicitudes de SNMP y más. Importante Configure estos parámetros con extremo cuidado! Una configuración incorrecta puede afectar el rendimiento de detección de seguridad de GFI LanGuard. Para configurar las opciones del detector: 1. En Scanning Profile Editor > Profile categories, seleccione la categoría que contiene el perfil de detección que desee editar (por ejemplo, Complete/Combination Scans). 2. En la sección Profiles, seleccione el perfil de detección que desee editar (por ejemplo, Full Vulnerability Assessment). 3. En el panel derecho, haga clic en Scanner Options. 4. Configure los siguientes parámetros que determinan el comportamiento de detección de GFI LanGuard: Tabla 85: Scanner Options Parámetro Descripción Network Discovery Methods GFI LanGuard 12 Scanning Profile Editor 252

253 Parámetro NetBIOS queries SNMP queries Ping sweep Custom TCP discovery Descripción Network Discovery Options Scanning delay Network discovery query responses timeout Number of retries Include non-responsive computers Perform a TCP port probing in order to detect mobile devices Network Scanner Options Scanning threads count NetBIOS Query Options Scope ID SNMP Query Options Load SNMP enterprise numbers Community strings Global Port Query Options TCP port scan query timeout UDP port scan query timeout WMI Options WMI timeout SSH Options SSH timeout Alternative SSH port Scanner activity window Type of scanner activity output Display received packets Permite habilitar o deshabilitar la utilización de solicitudes de NetBios para detectar dispositivos de red. Permite habilitar o deshabilitar la utilización de solicitudes de SNMP para detectar dispositivos de red. Permite habilitar o deshabilitar la utilización de barridos de Ping para detectar dispositivos de red. Permite detectar equipos en línea solicitando los puertos TCP abiertos especificados. Escriba el intervalo de tiempo (en milisegundos) entre un examen y otro. Tiempo en milisegundos que el examen de seguridad dejará transcurrir antes de finalizar cuando se realice una solicitud de detección de equipos (NetBIOS, SNMP o Ping). Número de veces que un examen de seguridad intentará de nuevo establecer de nuevo la conexión con un equipo que no responde antes de omitirlo. Permite ejecutar exámenes en todos los equipos sin importar si se detectan como equipos en línea o no. Permite realizar un sondeo de puertos TCP para detectar dispositivos a través de puertos conocidos. Permite escribir el número de subprocesos que pueden funcionar de forma simultánea. Se utiliza para entornos de NetBIOS en los que se requiera una ID de alcance específica para permitir solicitudes. Especifica si en el examen de seguridad se debe utilizar la OID (base de datos de identificadores de objetos) que contiene el mapa de ID a proveedores para identificar los diferentes tipos de dispositivos. Permite especificar si el examen de seguridad debe utilizar la cadena de comunidad especificada para la detección y la obtención de información de servidores SNMP. Tiempo en milisegundos que el examen de seguridad dejará transcurrir durante un examen de puertos TCP antes de finalizar y de continuar con el puerto siguiente. Tiempo en milisegundos que el examen de seguridad dejará transcurrir durante un examen de puertos UDP antes de finalizar y de continuar con el puerto siguiente. Tiempo en milisegundos que el examen de seguridad dejará transcurrir para la recepción de una respuesta del servidor WMI remoto antes de finalizar y de continuar con el elemento de examen siguiente. Tiempo en milisegundos que el examen de seguridad dejará transcurrir para el regreso de un script de SSH antes de finalizar y de continuar con el elemento de examen siguiente. Puertos alternativos de SSH que se deben utilizar cuando el acceso al puerto 22 predeterminado no sea posible. Modos de progreso de actividad: simple (progreso básico; inicio y finalización de operaciones), o detallado (información más detallada sobre el flujo de proceso). Permite obtener paquetes de TCP en formato sin procesar como se recibieron a través del examen de seguridad. GFI LanGuard 12 Scanning Profile Editor 253

254 Parámetro Display sent packets Descripción OS Information Retrieval Options Create custom share if administrative privileges are disabled Start remote registry Permite obtener paquetes de TCP en formato sin procesar como se enviaron a través del examen de seguridad. Si los recursos compartidos administrativos se deshabilitan, el detector creará de forma temporal un recurso compartido personalizado oculto con la forma <random GUID>$. El recurso compartido se utiliza para recuperar datos que ayudan a identificar vulnerabilidades y revisiones faltantes. Si el servicio de registro remoto se interrumpe en el equipo examinado, habilite esta opción para abrirlo de forma temporal durante la detección de seguridad. GFI LanGuard 12 Scanning Profile Editor 254

255 13 Utilidades GFI LanGuard le proporciona un conjunto de utilidades de red que le permiten controlar la actividad de red, reunir información de red y auditrar dispositivos de red. Temas de este capítulo: 13.1 Búsqueda de DNS Traceroute Whois Enumeración de equipos Enumeración de usuarios Auditorías de SNMP SNMP Walk Auditoría de SQL Server Herramientas de línea de comandos Búsqueda de DNS La búsqueda de DNS convierte nombres de dominio en la dirección IP correspondiente y recupera información en particular del dominio de destino (por ejemplo, registro MX, etc.) Para convertir un dominio o nombre de host: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione DNS Lookup en el panel izquierdo, en Tools. 3. Especifique el nombre de host que se convertirá en Hostname/IP to resolve. GFI LanGuard 13 Utilidades 255

256 Captura de pantalla 172: Herramienta DNS Lookup 4. En Common Tasks, en el panel izquierdo, haga clic en Edit DNS Lookup options, o bien en Options en el panel derecho, y especifique la información descrita a continuación: Tabla 86: Opciones de búsqueda de DNS Opción Basic Information Host Information Aliases MX Records NS Records Descripción Permite recuperar el nombre de host y la dirección IP relativa. Permite recuperar detalles de HINFO. La información de host (conocida como HINFO ) generalmente incluye información de equipos de destino, como especificaciones de hardware y detalles de SO. Recupere información sobre los registros A configurados en el dominio de objetivo. Permite enumerar todos los servidores de correo y el orden (es decir, la prioridad) con que reciben y procesan mensajes de correo electrónico para el dominio de destino. Permite especificar los servidores de nombres autoritarios respecto de un dominio o subdominio en particular. Nota Algunas entradas de DNS no contienen determinada información por razones de seguridad. GFI LanGuard 13 Utilidades 256

257 Captura de pantalla 173: Opciones de la herramienta DNS Lookup 5. (Opcional) Especifique el servidor DNS alternativo al que se enviarán consultas a través de la herramienta de búsqueda de DNS de forma predeterminada para utilizar el servidor DNS predeterminado. 6. Haga clic en Retrieve para iniciar el proceso. GFI LanGuard 13 Utilidades 257

258 13.2 Traceroute Traceroute identifica la ruta de acceso que GFI LanGuard utiliza para alcanzar un equipo de destino. Captura de pantalla 174: Herramienta Traceroute Para utilizar la herramienta Traceroute: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione Traceroute en el panel izquierdo, en Tools. 3. En el menú Trace (domain/ip/name), especifique el nombre, la IP o el dominio que se deben alcanzar. 4. (Opcional) En Common Tasks, en el panel izquierdo, haga clic en Edit traceroute options o en Options en el panel derecho para cambiar las opciones predeterminadas. 5. Haga clic en el botón Traceroute para iniciar el proceso de traza. Traceroute fraccionará la ruta de acceso utilizada para alcanzar un equipo de destino en saltos. Un salto indica una etapa y representa un equipo recorrido durante el proceso. Entre la información que se menciona en esta herramienta se incluyen la IP de los equipos recorridos, el número de ocasiones en que un equipo se recorrió y el tiempo empleado para alcanzar el equipo respectivo. También se incluye un ícono junto a cada salto. Este ícono indica el estado de este salto en particular. Entre los íconos utilizados en esta herramienta se incluyen los siguientes: Tabla 87: Íconos de Traceroute Icono Descripción Indica un salto exitoso realizado dentro de parámetros normales. GFI LanGuard 13 Utilidades 258

259 Icono Descripción Indica que el salto fue exitoso, pero que el tiempo requerido fue prolongado. Indica que el salto fue exitoso, pero que el tiempo requerido fue demasiado prolongado. Indica que el tiempo de espera del salto se ha vencido (> 1000 ms) Whois Whois busca información en un dominio o una dirección IP en particular. Captura de pantalla 175: Herramienta Whois 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione Whois en el panel izquierdo, en Tools. 3. En el menú Query (domain/ip/name), especifique el nombre, la IP o el dominio que se deben alcanzar. 4. (Opcional) En Common Tasks, en el panel izquierdo, haga clic en Edit whois options o en Options en el panel derecho para cambiar las opciones predeterminadas. 5. Haga clic en Retrieve para iniciar el proceso. GFI LanGuard 13 Utilidades 259

260 13.4 Enumeración de equipos Captura de pantalla 176: Herramienta Enumerate Computers La utilidad para enumerar equipos identifica dominios y grupos de trabajo en una red. Durante la ejecución, esta herramienta también examinará cada dominio o grupo de trabajo para enumerar sus respectivos equipos. Entre la información que esta herramienta enumera se encuentra la siguiente: El nombre del dominio o grupo de trabajo La lista de equipos del dominio o grupo de trabajo El sistema operativo instalado en los equipos detectados Cualquier detalle adicional que se podría recopilar a través de NetBIOS. Los equipos se enumeran mediante uno de los siguientes pasos: Tabla 88: Opciones de enumeración de equipos Opción From Active Directory From Windows Explorer Descripción Este método es mucho más rápido e incluye equipos que en el momento estén apagados. Este método enumera equipos a través de una red en tiempo real y, por lo tanto, es más lento y no incluirá equipos que estén apagados. Para enumerar equipos: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione Enumerate Computers en el panel izquierdo, en Tools. 3. En el menú Enumerate computers in domain, seleccione el dominio deseado. GFI LanGuard 13 Utilidades 260

261 4. En Common Tasks, en el panel izquierdo, haga clic en Edit enumerate computers options o en Options en el panel derecho. 5. Elija si desea enumerar equipos desde Active Directory o desde el Explorador de Windows. 6. Haga clic en Retrieve para iniciar el proceso. Nota Para un examen de Active Directory deberá ejecutar la herramienta en una cuenta con derechos de acceso a Active Directory Inicio de un examen de seguridad Para iniciar un examen de seguridad directamente desde la herramienta Enumerate Computers, haga clic con el botón secundario en cualquiera de los equipos enumerados y seleccione Scan. También puede iniciar un examen de seguridad y al mismo tiempo continuar utilizando la herramienta Enumerate Computers. Esto se logra haciendo clic con el botón secundario en cualquiera de los equipos enumerados y seleccionando Scan in background Implementación de revisiones personalizadas Puede utilizar la herramienta Enumerate Computers para implementar revisiones personalizadas y software de terceros en los equipos enumerados. Para iniciar el proceso de implementación directamente desde esta herramienta: 1. Seleccione los equipos que requieren implementación. 2. Haga clic con el botón secundario en cualquiera de los equipos elegidos y seleccione Deploy Custom Patches Habilitación de directivas de auditoría La herramienta Enumerate Computers también le permite configurar directivas de auditoría en equipos en particular. Esto se realiza de la siguiente manera: 1. Seleccione los equipos en los que desee habilitar directivas de auditoría. 2. Haga clic con el botón secundario en cualquiera de los equipos elegidos y seleccione Enable Auditing Policies. Esto iniciará Asistente Auditing Policies configuration, que lo guiará en el proceso de configuración. GFI LanGuard 13 Utilidades 261

262 13.5 Enumeración de usuarios Captura de pantalla 177: Cuadro de diálogo de la herramienta Enumerate Users Para examinar Active Directory y recuperar la lista de todos los usuarios y contactos incluidos en esta base de datos: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione Enumerate Users en el panel izquierdo, en Tools. 3. En el menú Enumerate users in domain, seleccione el dominio deseado. 4. En Common Tasks, en el panel izquierdo, haga clic en Edit enumerate users options o en Options en el panel derecho para filtrar la información que se extraerá y para que aparezcan solo los detalles de los usuarios o contactos. A su vez, puede configurar de forma opcional esta herramienta para resaltar cuentas deshabilitadas o bloqueadas. 5. Haga clic en Retrieve para iniciar el proceso. Nota Esta herramienta puede habilitar o deshabilitar las cuentas de usuario enumeradas. Haga clic con el botón secundario en la cuenta y seleccione Enable/Disable account según corresponda. GFI LanGuard 13 Utilidades 262

263 13.6 Auditorías de SNMP Captura de pantalla 178: Herramienta SNMP Audit Esta herramienta identifica e informa cadenas de comunidad de SNMP vulnerables mediante un ataque por diccionario con los valores almacenados en su archivo de diccionario predeterminado ( snmp pass.txt ). Puede agregar nuevas cadenas de comunidad al archivo de diccionario predeterminado utilizando un editor de texto (por ejemplo, notepad.exe ). También puede indicar a la herramienta SNMP Audit que utilice otros archivos de diccionario. Para lograr esto, especifique la ruta de acceso al archivo de diccionario que desee utilizar desde las opciones de la herramienta, a la derecha de la consola de administración. Para realizar auditorias de SNMP en destinos de red e identificar cadenas de comunidad vulnerables: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione SNMP Audit en el panel izquierdo, en Tools. 3. En el menú IP or range of IP addresses for computer(s) running SNMP, especifique la IP que se deberá alcanzar. 4. En Common Tasks, en el panel izquierdo, haga clic en Edit SNMP Audit options o en Options en el panel derecho para editar las opciones predeterminadas. 5. Haga clic en Retrieve para iniciar el proceso. GFI LanGuard 13 Utilidades 263

264 13.7 SNMP Walk Captura de pantalla 179: Herramienta SNMP Walk Para sondear sus nodos de red y recuperar información de SNMP (por ejemplo, OID): 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione SNMP Walk en el panel izquierdo, en Tools. 3. En el menú IP address, especifique la dirección IP del equipo que desea examinar en busca de información de SNMP. 4. En Common Tasks, en el panel izquierdo, haga clic en Edit SNMP walk options o en Options en el panel derecho para editar las opciones predeterminadas, como el suministro de cadenas de comunidad alternativas. 5. Haga clic en Retrieve para iniciar el proceso. IMPORTANTE La actividad de SNMP normalmente se bloquea en el enrutador o el cortafuegos para que los usuarios de Internet no puedan realizar un examen de SNMP de su red. Los usuarios malintencionados pueden utilizar información enumerada mediante detección de SNMP para ingresar de forma no autorizada en su red o sus sistemas. A menos que este servicio sea necesario, se recomienda deshabilitarlo. GFI LanGuard 13 Utilidades 264

265 13.8 Auditoría de SQL Server Esta herramienta le permite probar la vulnerabilidad de la contraseña de la cuenta de sa (es decir, administrador raíz) y de cualquier otra cuenta de usuarios de SQL configurada en SQL Server. Durante el proceso de auditoría, esta herramienta realizará ataques por diccionario en cuentas de SQL Server utilizando las credenciales especificadas en el archivo de diccionario passwords.txt. No obstante, también puede indicar a la herramienta SQL Server Audit que utilice otros archivos de diccionario. También puede personalizar su diccionario agregando nuevas contraseñas a la lista predeterminada. Para realizar una auditoría de seguridad en una instalación de SQL Server en particular: 1. Inicie GFI LanGuard. 2. Haga clic en la ficha Utilities y seleccione SQL Server Audit en el panel izquierdo, en Tools. Captura de pantalla 180: SQL Server Audit 3. En el menú Audit MS SQL Server, especifique la dirección IP del SQL Server que desea someter a auditoría. 4. En Common Tasks, en el panel izquierdo, haga clic enedit SQL Server audit options o en Options en el panel derecho para editar las opciones predeterminadas, como los ataques por diccionario en todas las demás cuentas de usuarios de SQL. 5. Haga clic en Audit para iniciar el proceso. GFI LanGuard 13 Utilidades 265

266 13.9 Herramientas de línea de comandos Las herramientas de línea de comandos le permiten iniciar exámenes de vulnerabilidad de la red y sesiones de implementación de revisiones, además de importar y exportar perfiles y vulnerabilidades sin cargar la consola de administración de GFI LanGuard. Utilice la información de esta sección para saber cómo ejecutar funciones de administración de revisiones utilizando las siguientes herramientas CMD: Lnsscmd.exe Deploycmd.exe Impex.exe Utilización de Insscmd.exe La herramienta de detección de destinos de línea de comando lnsscmd.exe le permite ejecutar comprobaciones de vulnerabilidades en destinos de red directamente desde la línea de comandos o a través de aplicaciones de terceros, archivos de procesamiento por lotes y scripts. La herramienta de línea de comandos lnsscmd.exe admite los siguientes conmutadores: lnsscmd <Target> [/profile=nombredeperfil] [/report=rutadeaccesodeinforme] [/reportname=nombredeinforme] [/output=rutadeaccesoaarchivoxml] [/user=nombredeusuario /password=contraseña] [/ [/ Address=DireccióndeCorreoElectrónico]] [/DontShowStatus] [/UseComputerProfiles] [/Wake] [/Shutdown [/ShutdownIntervalStart=<hh:mm:ss>] [/ShutdownIntervalEnd=<hh:mm:ss>]] [/?] Conmutadores de comandos de lnsscmd Tabla 89: Conmutadores de comandos de lnsscmd Conmutador Target /Profile Descripción Permite especificar la IP o el intervalo de IP o los nombres de host que se examinarán. (Opcional) Permite especificar el perfil de detección que se utilizará durante un examen de seguridad. Si este parámetro no se especifica, se utilizará el perfil de detección activo en GFI LanGuard. Nota En la consola de administración, el perfil de detección predeterminado (es decir, activo) se distingue por la presencia de la palabra (Active) junto a su nombre. Para ver el perfil activo, en la ficha Configuration expanda el nodo Scanning Profiles. /Output /Report /ReportName /User y /Password / / Address (Opcional) Permite especificar la ruta de acceso completa (incluido el nombre de archivo) del archivo XML en el que se guardarán los resultados de examen. (Opcional) Nombre del directorio o archivo completo para el informe de examen de salida. (Opcional) Nombre del informe que se generará. Si no se especifica, el informe se guarda con un nombre predeterminado. (Opcional) Permiten especificar las credenciales alternativas que el motor de examen utilizará para la autenticación en un equipo de destino durante una detección de seguridad. Como alternativa, puede utilizar el connmutador /UseComputerProfiles para emplear las credenciales de autenticación ya configuradas en Dashboard. (Opcional) Permite enviar el informe generado por correo electrónico. Se utilizarán la dirección de correo electrónico y el servidor de correo especificados en Configuration > Alerting Options. (Opcional) Depende de / . Invalida las opciones de alterta generales y utiliza la dirección de correo electrónico especificada. GFI LanGuard 13 Utilidades 266

267 Conmutador /DontShowStatus /UseComputerProfiles /Wake /Shutdown /ShutdownIntervalStart /ShutdownIntervalEnd Descripción (Opcional) Incluya este conmutador si desea realizar una detección silenciosa. De esta manera, los detalles del progreso de los exámenes no se mostrarán. (Opcional) Use per computer credentials when available. (Opcional) Wake up offline computers. (Opcional) Permite apagar los equipos después del examen. (Opcional) Depende de /Shutdown. Hora de inicio del intervalo cuando se permite el apagado. Utilice el formato hh:mm:ss. (Opcional) Depende de /Shutdown. Hora de finalización del intervalo cuando se permite el apagado. Utilice el formato hh:mm:ss. /? (Opcional) Utilice este conmutador para que aparezcan las instrucciones de utilización de la herramienta de línea de comandos. Nota Agregue siempre las rutas de acceso y los nombres de perfiles completos entre comillas. Por ejemplo, [ruta de acceso o nombre de ruta de acceso] o C:\temp\test.xml. La herramienta de detección de destinos de línea de comandos le permite hacer pasar parámetros por variables espcíficas. Estas variables se reemplazarán de forma automática por su valor respectivo durante la ejecución. En la siguiente tabla se describen las variables admitidas: Variables admitidas Tabla 90: Variables admitidas en lnssmcd Variable %INSTALLDIR% %TARGET% %SCANDATE% %SCANTIME% Descripción Durante la detección, esta variable se reemplazará por la ruta de acceso al directorio de instalación de GFI LanGuard. Durante la detección, esta variable se reemplazará por el nombre del equipo de destino. Durante la detección, esta variable se reemplazará por la fecha del examen. Durante la detección, esta variable se reemplazará por la hora del examen. Ejemplo 1. Para realizar un examen de seguridad en un equipo de destino con la dirección IP Guarde los resultados de examen en c:\out.xml (es decir, un archivo XML). 3. Genere un informe en formato PDF y guárdelo en c:\result.odf. 4. Envíe el informe en formato PDF por correo electrónico a lanss@domain.com El comando debe ser el siguiente: lnsscmd.exe /Profile="Default" /Output="c:\out.xml" /Report="c:\result.pdf" / / address="lanss@domain.com" Utilización de deploycmd.exe La herramienta de implementación de revisiones de línea de comandos deploycmd.exe le permite implementar revisiones de Microsoft y software de terceros en destinos remotos de forma directa desde la línea de comandos a través de aplicaciones, archivos de procesamiento por lotes o scripts de terceros. La herramienta de línea de comandos deploycmd.exe admite los siguientes conmutadores: GFI LanGuard 13 Utilidades 267

268 deploycmd <target> </file=filename> [/switches=conmutadores] [/username=nombredeusuario /password=contraseña] [/warnuser] [/userapproval] [/stopservices] [/customshare=nombrederecursocompartidopersonalizado] [/reboot] [/rebootuserdecides] [/wake] [/shutdown] [/deletefiles] [/timeout=tiempodeespera(seg)] [/usecomputerprofiles] [/RebootCountdown=Tiempo(seg)] [/RebootCountdownMessage="MensajePersonalizado"] [/RebootAtFirstOccurenceOf=Tiempo(formato "hh:mm:ss")] [/ShutDownAtFirstOccurenceOf=Tiempo(formato "hh:mm:ss")] [/RebootInInterval] [/ShutDownInInterval] [/RebootIntervalStart=Tiempo (formato "hh:mm:ss")] [/RebootIntervalEnd=Tiempo(formato "hh:mm:ss")] [/?] Conmutadores de comandos de deploycmd Tabla 91: Conmutadores de comandos de deploycmd Conmutador Target /File /User y /Password /warnuser /useraproval /stopservice Descripción Permite especificar los nombres, las IP o los intervalos de IP de los equipos de destino en los que se implementarán las revisiones. Permite especificar el archivo que desea implementar en los destinos especificados. (Opcional) Permiten especificar las credenciales alternativas que el motor de examen utilizará para la autenticación en un equipo de destino durante la implementación de revisiones. Como alternativa, puede utilizar el connmutador /UseComputerProfiles para emplear las credenciales de autenticación ya configuradas en Dashboard. (Opcional) Incluya este conmutador si desea informar al usuario del equipo de destino que la instalación de un archivo o una revisión se encuentra en curso. Los usuarios recibirán la notificación a través de un cuadro de diálogo de mensaje que se mostrará en la pantalla inmediatamente antes del inicio de la sesion de implementación. (Opcional) Incluya este conmutador para solicitar la aprobación del usuario antes de iniciar el proceso de instalación del archivo o de la revisión. Esto permite a los usuarios posponer el proceso de instalación del archivo o de la revisión para otro momento (por ejemplo, hasta que un proceso que ya esté en ejecución se complete en el equipo de destino). (Opcional) Incluya este conmutador si desea detener servicios específicos en el equipo de destino antes de instalar el archivo o la revisión. Nota No podrá especificar los servicios que se detendrán de forma directa desde la herramienta de línea de comandos. Solo es posible agregar o quitar servicios a través de la consola de administración. /customshare /reboot /rebootuserdecides /wake /shutdown /deletefiles /timeout (Opcional) Permite especificar el recurso compartido de destino al que desea transferir el archivo antes de su instalación. (Parámetro opcional) Incluya este conmutador si desea reiniciar el equipo de destino después de la implementación del archivo o de la revisión. (Parámetro opcional) Incluya este conmutador para permitir al usuario del equipo de destino actual decidir cuándo reiniciar este equipo (después de la instalación de la revisión). Reactiva equipos fuera de línea. (Parámetro opcional) Incluya este conmutador si desea apagar el equipo de destino después de la instalación del archivo o de la revisión. (Parámetro opcional) Incluya este conmutador si desea eliminar el archivo de origen una vez que se ha instalado de forma correcta. (Parámetro opcional) Permite especificar el tiempo de espera de la operación de implementación. Este valor define el tiempo de ejecución que se permitirá para un proceso de implementación antes de que se interrumpa la instalación del archivo o de la revisión. GFI LanGuard 13 Utilidades 268

269 Conmutador /usecomputerprofiles /RebootCountdown /RebootCountdownMessage /RebootAtFirstOccurenceOf /ShutDownAtFirstOccurenceOf /RebootInInterval /ShutdownIntervalStart /ShutdownIntervalEnd /ShutDownInInterval Descripción (Opcional) Permite utilizar datos de perfiles de equipos. (Opcional) Permite hacer que se muestre una ventana de cuenta regresiva de reinicio durante varios segundos para el usuario remoto antes del reinicio. (Opcional) Se utiliza junto con /RebootCountdown. Muestra un mensaje personalizado al usuario remoto antes del reinicio del equipo. (Opcional) Permite reiniciar un equipo al transcurrir por primera vez un tiempo determinado. El tiempo debe respetar el formato de 24 horas hh:mm:s s. Por ejemplo, 18:30:00. (Opcional) Permite apagar un equipo al transcurrir por primera vez un tiempo determinado. El tiempo debe respetar el formato de 24 horas hh:mm:s s. Por ejemplo, 18:30:00. (Opcional) Permite reiniciar el equipo después de la implementación si esta se completa en el intervalo de tiempo especificado. De lo contrario, espere para especificar el intervalo de forma manual. Requiere parámetros /RebootIntervalStart y /RebootIntervalEnd. (Opcional) Depende de /Shutdown. Hora de inicio del intervalo cuando se permite el apagado. Utilice el formato hh:mm:ss. (Opcional) Depende de /Shutdown. Hora de finalización del intervalo cuando se permite el apagado. Utilice el formato hh:mm:ss. (Opcional) Permite apagar el equipo después de la implementación si esta se completa en el intervalo de tiempo especificado. De lo contrario, espere para especificar el intervalo de forma manual. /? (Opcional) Utilice este conmutador para que aparezcan las instrucciones de utilización de la herramienta de línea de comandos. Ejemplo 1. Implemente un archivo llamado patcha xxx. 2. En el equipo de destino TMJuanPérez. 3. Reinicie el equipo de destino después de la implementación correcta del archivo. El comando debe ser el siguiente: deploycmd TMJohnDoe /file= revisióna xxx /reboot Utilización de impex.exe Impex es una herramienta de línea de comandos que se puede utilizar para importar y exportar perfiles y vulnerabilidades del examen de seguridad de red de GFI LanGuard. Los parámetros admitidos por esta herramienta son los siguientes: impex [[/H] [/?]] [/XML:xmlfile [/DB:dbfile] [[/EX] [/MERGE]] [/IM [/ONLYNEWER]] [/PROFILES /VULNS /PORTS /PROFILE:name /VULNCAT:cat [/VULN:name] /PORTTYPE:type [/PORT:number]] [/SKIP /OVERWRITE /RENAME:value]] Conmutadores de comandos de impex Tabla 92: Conmutadores de comandos de impex Conmutador /H /? Run impex without parameters Descripción Muestra información de ayuda. GFI LanGuard 13 Utilidades 269

270 Conmutador /XML:<xmlfile> Descripción Este parámetro especifica el nombre del archivo XML importado o exportado. <xmlfile> se debe reemplazar por el nombre del archivo al que el perfil se exportará. Nota Este parámetro es obligatorio para la importación o exportación de alertas. /DB:<dbfile> /EX /MERGE /IM /ONLYNEWER /PROFILES /VULNS /PORTS /PROFILE:<name> /VULNCAT:<category> /VULN:<name> /PORTTYPE:<type> /PORT:<number> /SKIP /OVERWRITE /RENAME:<value> Donde <dbfile> es el archivo de base de datos que se debe utilizar durante la operación de importación o exportación. Si esto no se especifica, se utilizará el archivo operationsprofiles.mdb predeterminado. Permite exportar datos de la base de datos al archivo XML (opción predeterminada) Si se especifica esto cuando el XML de destino para la exportación ya exista, el archivo se abrirá y los datos se combinarán; de lo contrario, el archivo XML se eliminará en primer lugar. Permite importar datos del archivo XML a la base de datos Cuando se especifique esto, solo se importarán las vulnerabilidades más recientes que la vulnerabilidad más reciente de la base de datos. Permite exportar o importar todos los perfiles de detección. Permite exportar o importar todas las vulnerabilidades. Permite exportar o importar todos los puertos. Permite exportar o importar el perfil de detección especificado. Permite exportar o importar todas las vulnerabilidades de la categoría especificada. Permite exportar o importar la vulnerabilidad especificada (se debe especificar /VULNCAT ). Permite exportar o importar todos los del tipo especificado. Permite exportar o importar el puerto especificado (se debe especificar /PORTTYPE ). Si un elemento ya existe en el archivo XML o la base de datos de destino, dicho elemento se omitirá Si un elemento ya existe en el archivo XML o la base de datos de destino, dicho elemento se sobrescribirá. Si un elemento ya existe en el archivo XML o la base de datos de destino, el nombre de dicho elemento se cambiará a <value>. Si se especifican /PROFILE o /VULN, la información de puertos combinada con el elemento se vinculará con un puerto o su nombre se cambiará con la adición del prefijo <value> en cualquier otro caso. Ejemplo 1: Para importar entradas específicas de un archivo XML: impex /xml:regcheck.xml /vuln:"blaster Worm" /vulncat:"registry Vulnerabilities" Ejemplo 2: Para importar un archivo XML completo: impex /xml:regcheck.xml /im Nota El ejecutable Impex se puede localizar en la carpeta de instalación de GFI LanGuard. GFI LanGuard 13 Utilidades 270

271 Nota Si el <xmlfile>, el <dbfile>, el <nombre>, la <categoría> o el <valor> especificados contienen caracteres de espacio, el valor completo se debe poner entre comillas dobles. Ejemplo: <xmlfile> con espacio = "Definiciones de comprobación de vulnerabilidades.xml" <xmlfile> sin espacio = DefinicionesdeComprobacióndeVulnerabilidades.xml Nota Si las vulnerabilidades se importan a otra instalación de GFI LanGuard, se recomienda que dicha instalación tenga el mismo número de compilación que aquel del cual se ha exportado de la base de datos. IMPORTANTE Se recomienda encarecidamente no utilizar la herramienta Impex si se encuentran en ejecución la aplicación de GFI LanGuard (LanGuard.exe) o perfiles de detección de LanGuard (scanprofiles.exe). GFI LanGuard 13 Utilidades 271

272 14 Depurador de scripts Se pueden crear scripts que identifiquen vulnerabilidades personalizadas utilizando cualquier lenguaje de scripting compatible con VBScript. De forma predeterminada, GFI LanGuard incluye un editor de script que usted puede utilizar para crear sus scripts personalizados. Se deben incluir nuevas comprobaciones en la lista de comprobaciones compatibles con GFI LanGuard. Utilice la ficha Vulnerability Assessmente para agregar nuevas comprobaciones a la lista predeterminada de comprobaciones de vulnerabilidades por perfil de examen.gfi LanGuard también admite scripting Python. Temas de este capítulo: 14.1 Creación de scripts personalizados a través de VBscript Creación de scripts personalizados a través de scripting Python Módulo SSH Creación de scripts personalizados a través de VBscript GFI LanGuard admite y ejecuta scrips escritos en idiomas compatibles con VBscript. Utilice lenguajes compatibles con VBscript para crear scripts personalizados que se puedan ejecutar en sus destinos de red. Se pueden desarrollar scripts de auditorías de seguridad utilizando el editor de scripts que se incluye en GFI LanGuard. Este editor de scripts incorporado incluye capacidades de resalte de sintaxis y características de depuración que le proporcionan asistencia durante el desarrollo de scripts. Abra el editor de scripts en Inicio > Programas > GFI LanGuard > LanGuard Script Debugger. Nota 1. Para obtener más información sobre cómo desarrollar scripts utilizando el editor de scripts incorporado, consulte el archivo de ayuda de Documentación de scripting incluido en Inicio > Programas > GFI LanGuard > LanGuard Scripting documentation. Nota GFI no admite solicitudes de asistencia técnica relacionadas con problemas en scripts personalizados. Puede publicar cualquier solicitud que pueda tener acerca de foros de GFI LanGuard en A través de este foro, puede compartir scripts, problemas e ideas con otros usuarios de GFI LanGuard Adición de una comprobación de vulnerabilidades que utilice un VBScript (.vbs) personalizado Para crear nuevas comprobaciones de vulnerabilidades que utilicen VBScripts, siga los pasos descritos en esta sección: Paso 1: Cree el script Paso 2: Agregue comprobaciones de vulnerabilidades GFI LanGuard 14 Depurador de scripts 272

273 Paso 3: Pruebe la comprobación de vulnerabilidades y el script Paso 1: Creación del script 1. Inicie el depurador de scripts en Start (inicio) > Programs (programas) GFI LanGuard > LanGuard Script Debugger. 2. Acceda a File > New. 3. Cree un script. Para este ejemplo, utilice el siguiente código de script de muestra. Function Main echo "Script has run successfully" Main = true End Function 4. Guarde el script en <Ruta de la carpeta de instalación de LanGuard> \Data\Scripts\myscript.vbs. Paso 2: Adición de comprobaciones de vulnerabilidades 1. Inicie GFI LanGuard. 2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Como alternativa, presione Ctrl + P para iniciar Scanning Profiles Editor. 3. En la ventana nueva, agregue una nueva vulnerabilidad haciendo clic en Add en la lista de vulnerabilidades. GFI LanGuard 14 Depurador de scripts 273

274 Captura de pantalla 181: Cuadro de diálogo Add vulnerability 4. Acceda a las fichas General, Description y References y especifique detalles básicos, como el nombre de la vulnerabilidad, una descripción breve, el nivel de seguridad y la Id. OVAL (si corresponde). 5. Haga clic en la ficha Conditions y en el botón Add. Esto activará el asistente Check properties. GFI LanGuard 14 Depurador de scripts 274

275 Captura de pantalla 182: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación 6. Seleccione el nodo Independent checks > VBScript y haga clic en Next. GFI LanGuard 14 Depurador de scripts 275

276 Captura de pantalla 183: Adición de comprobaciones de vulnerabilidades: selección del archivo de VBScript 7. Haga clic en Choose file y seleccione el tipo de archivo de VBScript personalizado que esta comprobación ejecutará. Haga clic en Next. GFI LanGuard 14 Depurador de scripts 276

277 Captura de pantalla 184: Adición de comprobaciones de vulnerabilidades: definición de condiciones 8. Seleccione la configuración de condiciones relativas en el asistente para finalizar la selección de script. Haga clic en Finish para cerrar el asistente. 9. Haga clic en OK para guardar la nueva comprobación de vulnerabilidades. Paso 3: Prueba de la comprobación de vulnerabilidades y del script Examine su equipo localhost utilizando el perfil de detección en el que se agregó la nueva comprobación. En la ficha Scan, Results, se mostrará una advertencia de vulnerabilidad en el nodo Vulnerability Assessment de los resultados de examen Creación de scripts personalizados a través de scripting Python GFI LanGuard también es compatible un nuevo tipo de comprobaciones de vulnerabilidades: la prueba de script Python. Este tipo de comprobación se encuentra disponible en el tipo Independent checks. Importante Para obtener información acerca de scripting Python, consulte la documentación sobre scripting de GFI LanGuard en Inicio > Programas > GFI LanGuard2015 > GFI LanGuard Scripting Documentation (documentación sobre scripting). Para agregar una nueva comprobación de script Python: 1. Inicie GFI LanGuard. GFI LanGuard 14 Depurador de scripts 277

278 2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Como alternativa, presione Ctrl + P para iniciar Scanning Profiles Editor. 3. En la ventana nueva, agregue una nueva vulnerabilidad haciendo clic en Add en la lista de vulnerabilidades. Captura de pantalla 185: Cuadro de diálogo Add vulnerability 4. Acceda a las fichas General, Description y References y especifique detalles básicos, como el nombre de la vulnerabilidad, una descripción breve, el nivel de seguridad y la Id. OVAL (si corresponde). 5. Haga clic en la ficha Conditions y en el botón Add. Esto activará el asistente Check properties. GFI LanGuard 14 Depurador de scripts 278

279 Captura de pantalla 186: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación 6. Seleccione el nodo Independent checks > Independent Python Script Test y haga clic en Next. GFI LanGuard 14 Depurador de scripts 279

280 Captura de pantalla 187: Adición de comprobaciones de vulnerabilidades: selección del archivo de script Python 7. Haga clic en Choose file y seleccione el tipo de archivo de script Python que esta comprobación ejecutará. Haga clic en Next. GFI LanGuard 14 Depurador de scripts 280

281 Captura de pantalla 188: Adición de comprobaciones de vulnerabilidades: definición de condiciones 8. Seleccione la configuración de condiciones relativas en el asistente para finalizar la selección de script. Haga clic en Finish para cerrar el asistente. 9. Haga clic en OK para guardar la nueva comprobación de vulnerabilidades Módulo SSH GFI LanGuard incluye un módulo SSH que administra la ejecución de scripts de vulnerabilidades en sistemas basados en Linux o UNIX. El módulo SSH determina el resultado de las comprobaciones de vulnerabilidades a través de los datos (texto) de la consola producidos por un script ejecutado. Esto significa que puede crear comprobaciones de vulnerabilidades de Linux o UNIX personalizadas utilizando cualquier método de scripting compatible con el sistema operativo de destino Palabras claves El módulo SSH puede ejecutar scripst de detección de seguridad a través de su ventana de terminal. Cuando se inicia un examen de seguridad en equipos de destino basados en Linux/UNIX, se copian scripts de comprobación de vulnerabilidades al equipo de destino respectivo a través de una conexión SSH y se ejecutan de nivel local. La conexión SSH se establece utilizando las credenciales de inicio de sesión (es decir, nombre de usuario y contraseña/archivo de clave privada SSH) especificadas antes del inicio del examen de seguridad. El módulo SSH puede determinar el estado de una comprobación de vulnerabilidades a través de palabras claves específicas presentes en los resultados de texto del script ejecutado. Estas palabras GFI LanGuard 14 Depurador de scripts 281

282 claves se procesan a través del módulo y se interpretan como instrucción para GFI LanGuard. Entre las palabra claves identificadas por el módulo SSH se incluyen las siguientes: Tabla 93: Palabras claves para vulnerabilidades Palabra clave TRUE: / FALSE AddListItem Descripción Estas cadenas indican el resultado de la comprobación de vulnerabilidades o del script ejecutados. Cuando el módulo SSH detecta TRUE, significa que la comprobación fue exitosa; FALSE: indica que la comprobación de vulnerabilidades ha fallado. Esta cadena desencadena una función interna que agrega resultados al informe de comprobación de vulnerabilidades (es decir, resultados de examen). Estos resultados se muestran en la consola de administración de GFI LanGuard una vez finalizado un examen. El formato de esta cadena es el siguiente: AddListItem([[[[nodo principal]]]],[[[[cadena real]]]]) [[[[nodo principal]]]] [[[[cadena real]]]] SetDescription!!SCRIPT_ FINISHED!! Incluye el nombre del nodo de resultados de examen al que se puede agregar el resultado. Permite incluir el valor que se agregará al nodo de resultados de examen. Nota Cada comprobación de vulnerabilidades se vincula a un nodo de resultados de examen asociado. Esto significa que los resultados de AddListItem se incluyen de forma predeterminada en un nodo de vulnerabilidades asociado o predeterminado. De esta manera, si el parámetro del nodo principal se deja vacío, la función agregará la cadena especificada al nodo predeterminado. Esta cadena desencadena una función interna que sobescribirá la descripción predeterminada de una comprobación de vulnerabilidades con una nueva descripción. El formato de esta cadena es el siguiente: SetDescription([nueva descripción]) Esta cadena marca el final de la ejecución de cada script. El módulo SSH continuará buscando esta cadena hasta que se encuentre hasta que se venza un tiempo de espera. Si se produce un vencimiento de tiempo de espera antes de que se genere la cadena!!script_finished!!, el módulo SSH clasificará la comprobación de vulnerabilidades respectiva como fallida. Nota Es imprescindible que cada script personalizado produzca la cadena!!script_finished!! al final de su proceso de comprobación Adición de una comprobación de vulnerabilidades que utilice un script shell personalizado En el siguiente ejemplo se crea una comprobación de vulnerabilidades (para destinos basados en Linux) que utiliza un script escrito en Bash. La comprobación de vulnerabilidades de este ejemplo realizará una prueba en busca de un archivo ficticio llamado test.file Paso 1: Creación del script 1. Inicie su editor de archivos de texto favorito. 2. Cree un nuevo script utilizando el siguiente código: #!/bin/bash if [ e test.file ] then else fi echo "TRUE:" echo "FALSE:" echo "!!SCRIPT_FINISHED!!" GFI LanGuard 14 Depurador de scripts 282

283 3. Guarde el archivo en <Ruta de la carpeta de instalación de GFI LanGuard 2011>..\Data\Scripts\myscript.sh Paso 2: Adición de la nueva comprobación de vulnerabilidades 1. Inicie GFI LanGuard. 2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Como alternativa, presione Ctrl + P para iniciar Scanning Profiles Editor. 3. En el panel intermedio, seleccione la categoría en la que se incluirá la nueva comprobación de vulnerabilidades (por ejemplo, High Security Vulnerabilities...). 4. En la ventana nueva, agregue una nueva vulnerabilidad haciendo clic en Add en el panel intermedio. Captura de pantalla 189: Cuadro de diálogo Add vulnerability GFI LanGuard 14 Depurador de scripts 283

284 5. Acceda a las fichas General, Description y References y especifique detalles básicos, como el nombre de la vulnerabilidad, una descripción breve, el nivel de seguridad y la Id. OVAL (si corresponde). 6. Elija la ficha Conditions y haga clic en el botón Add. Esto activará el asistente Check properties. Captura de pantalla 190: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación 7. Seleccione el nodo Unix checks > SSH Script Test y haga clic en el botón Next para continuar con la configuración. GFI LanGuard 14 Depurador de scripts 284

285 Captura de pantalla 191: Adición de comprobaciones de vulnerabilidades: selección del archivo SSH 8. Haga clic en Choose file y seleccione el archivo de script SSH personalizado que se ejecutará durante esta comprobación. Haga clic en Siguiente para continuar. GFI LanGuard 14 Depurador de scripts 285

286 Captura de pantalla 192: Adición de comprobaciones de vulnerabilidades: definición de condiciones 9. Seleccione la configuración de condiciones relativas en el asistente para finalizar la selección de script. Haga clic en Finish para cerrar el asistente. 10. Haga clic en OK para guardar la nueva comprobación de vulnerabilidades. Paso 3: Prueba de la comprobación de vulnerabilidades y del script utilizados en el ejemplo Examine su equipo localhost utilizando el perfil de detección en el que se agregó la nueva comprobación. 1. Inicie sesión en un equipo de destino con Linux y cree un archivo con el nombre test.file. Esta comprobación generará una alerta de vulnerabilidades si se encuentra un archivo con el test.file. 2. Inicie un examen en el destino con Linux en el que creó el archivo. 3. Verifique sus resultados de examen. GFI LanGuard 14 Depurador de scripts 286

287 15 Miscelánea Este capítulo contiene información sobre cómo configurar NetBIOS en sus equipos y cómo desinstalargfi LanGuard. Temas de este capítulo: 15.1 Configuración de NetBIOS Desinstalación de GFI LanGuard Configuración de NetBIOS Para comprobar si sus destinos de examen utilizan NetBIOS: 1. Navegue hasta Control Panel > Network and Internet > Network and Sharing Center > Change adapter settings. Nota En Windows XP, haga clic en Control Panel > Network Connections. 2. Haga clic con el botón secundario en Local Area Connection y seleccione Properties. 3. Haga clic en Internet Protocol (TCP/IP) y seleccione Properties. 4. Haga clic en Advanced > WINS. 5. En el área NetBIOS setting, asegúrese de que se seleccionen Default o Enable NetBIOS over TCP/IP. 6. Haga clic en OK y cierre el cuadro de diálogo Local Area Properties. Nota Si se utiliza una IP estática o el servidor DHCP no proporciona una configuración de NetBIOS, seleccione la opción Enable NetBIOS over TCP/IP Desinstalación de GFI LanGuard Para desinstalar GFI LanGuard: 1. Haga clic en Start (inicio) > Control Panel (panel de control) > Add or Remove Programs (agregar o quitar programas). 2. Seleccione GFI LanGuard en la lista y haga clic en Remove. 3. En el asistente de desinstalación, haga clic en Next. 4. Seleccione los archivos de datos de configuración que se quitarán durante la desinstalación y haga clic en Next. 5. Una vez completado el proceso, haga clic Finish. GFI LanGuard 15 Miscelánea 287

288 16 Solución de problemas y asistencia técnica En este capítulo se explica cómo solucionar problemas que se pueden encontrar durante la utilización de GFI LanGuard. Estos problemas se pueden resolver recurriendo al contenido de esta Guía del administrador. Si quedan problemas sin resolver después de revisar el manual, verifique si su problema se enumera a continuación. Consulte las secciones siguientes para obtener información sobre cómo resolver problemas comunes y contactar al equipo de asistencia técnica. Temas de este capítulo: 16.1 Resolución de problemas comunes Utilización del asistente para el solucionador de problemas Uso de la herramienta de diagnóstico de agentes GFI SkyNet Foro web Solicitud de asistencia técnica Resolución de problemas comunes En la siguiente tabla se le proporcionan soluciones para los problemas más comunes que puede encontrar al utilizar GFI LanGuard: Tabla 94: Problemas comunes de GFI LanGuard Problema hallado Se encuentra el error Failed to connect to database al intentar configurar el back-end de base de datos. The database structure is incorrect. Do you want to delete and recreate the database? Esta advertencia se encuentra al intentar configurar el back-end de base de datos. Solución/Descripción Descripción Este problema se puede producir cuando se cumplen las dos condiciones siguientes: 1. GFI LanGuard se instala en Windows 2000 SP4 con MDAC 2.5 SP 3 2. El back-end de base de datos es SQL Server y tiene un nombre de instancia de base de datos que difiere del nombre del equipo con SQL Server. Solución Instale Microsoft Data Access Components (MDAC, 2.6 o posterior) en el equipo con GFI LanGuard y realice un nuevo intento. MDAC se puede descargar desde: Descripción Este problema se produce cuando la estructura de la base de datos está dañada. O bien La base de datos devuelve un vencimiento de tiempo de espera debido a que la conexión no se puede establecer. Solución Cuando aparezca este mensaje: Verifique que todas las credenciales de SQL sean correctas y que no existan problemas de conectividad entre el equipo con GFI LanGuard y SQL Server. Es importante tener en cuenta que cuando se hace clic en OK todos los exámenes guardados se pierden. GFI LanGuard 16 Solución de problemas y asistencia técnica 288

289 Problema hallado Se encuentra el error Failed to connect to database al intentar acceder a la ficha Change database mientras se configura la base de datos SQL. Solución/Descripción Descripción Este problema se puede producir cuando se cumplen las dos condiciones siguientes: GFI LanGuard se instala en Windows 2000 SP4 con MDAC 2.5 SP 3 El back-end de base de datos es SQL Server y tiene un nombre de instancia de base de datos que difiere del nombre del equipo con SQL Server. Solución Instale Microsoft Data Access Components (MDAC, 2.6 o posterior) en el equipo con GFI LanGuard y realice un nuevo intento. Nota MDAC se puede descargar desde: mdac Resultados incompletos y errores al examinar equipos remotos Descripción Se pueden encontrar errores similares a los siguientes: Failed to open test key to remote registry The scan will not continue Access Denied Could not connect to remote SMB server. Estos errores se pueden encontrar debido a que: El equipo remoto tiene una cuenta similar a la utilizada por GFI LanGuard para iniciar sesión como administrador. La cuenta de usuario utilizada por GFI LanGuard no tiene privilegios administrativos. Solución Para resolver este problema, realice una de las siguientes acciones: Inicie sesión en el equipo con GFI LanGuard y configure GFI LanGuard para utilizar una cuenta de administrador de dominio alternativa. Borre la cuenta de usuario local del equipo remoto. Inicie GFI LanGuard ejecutándolo con Run As a través de una cuenta de administrador de dominio. Nota Para obtener más información, consulte ProbScanningRM Las actualizaciones de programa de GFI LanGuard no funcionan Descripción Las actualizaciones no funcionarán si el equipo con GFI LanGuard no tiene una conexión directa a Internet. Solución Para resolver este problema, realice una de las siguientes acciones: Configure el equipo con GFI LanGuard para que tenga acceso directo a Internet. Instale otro GFI LanGuard en un equipo con acceso a Internet y configure GFI LanGuard para que busque actualizaciones en la nueva instalación. Nota Para obtener más información, consulte CheckAltUpdates GFI LanGuard 16 Solución de problemas y asistencia técnica 289

290 Problema hallado El cortafuegos instalado en GFI LanGuard bloquea la conexión con los equipos de destino. Solución/Descripción Descripción La detección podría perder velocidad o bloquearse si se instala un cortafuegos en el equipo con GFI LanGuard. Solución Configure el cortafuegos para que permita los siguientes componentes en conexiones salientes: <..\Program Files\GFI\LanGuard>\*.exe <..\Program Files\GFI\LanGuard Agent>\*.exe Nota Para obtener más información, consulte SetBestPerformance GFI LanGuard no puede recuperar los equipos del grupo de trabajo cuando se utiliza Enumerate Computers Descripción GFI LanGuard utiliza el mecanismo de Windows para recuperar equipos dentro de un grupo de trabajo. En este mecanismo, un equipo examinador principal creará y almacenará una lista de todos los equipos. En algunos casos, el rol de examinador principal puede exhibir errores que pueden hacer que GFI LanGuard no obtenga la información de los equipos. Nota Para solucionar este problema, consulte CannotEnumerate GFI LanGuard encontró puertos abiertos que otro detector encontró cerrados Descripción GFI LanGuard utiliza un enfoque diferente del de otros detectores de puertos para detectar puertos abiertos. Solución Para ver el estado de un puerto y determinar si está cerrado o abierto: 1. Haga clic en Inicio > Programas > Accesorios > Símbolo del sistema. 2. Escriba netstat an y presione Entrar. 3. En la lista que se genera se muestran todas las conexiones activas de equipos Utilización del asistente para el solucionador de problemas El asistente para el solucionador de problemas de GFI LanGuard es una herramienta diseñada para brindarle asistencia cuando encuentre problemas técnicos relacionados con GFI LanGuard. A través de este asistente, puede detectar y solucionar de forma automática problemas comunes y recopilar información y registros para enviarlos a nuestro equipo de asistencia técnica. Para utilizar el asistente para el solucionador de problemas: 1. Inicie el asistente de solución de problemas en Inicio > Programas > GFI LanGuard 2015 > GFI LanGuard 2015 Troubleshooter (solucionador de problemas). 2. Haga clic en Next en la página de introducción. GFI LanGuard 16 Solución de problemas y asistencia técnica 290

291 Captura de pantalla 193: Asistente para el solucionador de problemas: detalles de información 3. En la página Information Details seleccione una de las siguientes opciones descritas a continuación: Tabla 95: Opciones de recopilación de información Opción Automatically detect and fix known issues (Recommended) Gather only application information and logs Descripción Permite configurar GFI LanGuard para que detecte y solucione problemas de forma automática. Permite recopilar registros para enviarlos al servicio de asistencia de GFI. 4. Haga clic en Next para continuar. GFI LanGuard 16 Solución de problemas y asistencia técnica 291

292 Captura de pantalla 194: Asistente para el solucionador de problemas: recopilación de información sobre problemas conocidos 5. El asistente para el solucionador de problemas recuperará toda la información requerida para resolver problemas comunes. Haga clic en Next para continuar. 6. El solucionador de problemas solucionará cualquier problema conocido que encuentre. Seleccione Yes si su problema se ha resuelto o No si esto ha sucedido para buscar información en la Knowledge Base de GFI Knowledge Uso de la herramienta de diagnóstico de agentes La herramienta de diagnóstico de agentes de GFI LanGuard está diseñada para ofrecerle asistencia en caso de problemas técnicos relacionados con GFI LanGuard. A través de esta herramienta, puede verificar la conectividad de los agentes, ver mensajes de error y obtener un resumen con toda la información de estado relevante sobre el agente. Para usar la herramienta de diagnóstico de agentes: 1. Seleccione el agente en el árbol de equipos del Panel. 2. Haga clic con el botón secundario en Diagnóstico de agentes. 3. La herramienta de diagnóstico de agentes reúne toda la información necesaria para resolver problemas comunes. Haga clic en Exportar para exportar y ver el informe de diagnóstico GFI SkyNet GFI mantiene un exhaustivo repositorio de su base de conocimientos, que incluye respuestas a los problemas más habituales. GFI SkyNet tiene siempre la lista más actualizada de preguntas y revisiones de asistencia técnica. Si la información de esta guía no soluciona sus problemas, consulte GFI SkyNet visitando: Foro web GFI LanGuard 16 Solución de problemas y asistencia técnica 292