Worry-Free Business Security Advanced6

Transcripción

1 Worry-Free Business Security Advanced6 TM for Small and Medium Business Manual del administrador

2

3 Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a utilizar el software, consulte los archivos Léame, las notas de la versión y la última versión de la correspondiente información para el usuario, documentación que encontrará disponible en el sitio Web de Trend Micro, en: Trend Micro, el logotipo en forma de pelota de Trend Micro, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan y ScanMail son marcas registradas o marcas comerciales de Trend Micro Incorporated. El resto de nombres de productos o empresas pueden ser marcas comerciales o marcas comerciales registradas de sus respectivos propietarios. Copyright Trend Micro Incorporated. Reservados todos los derechos. Nº de documento: WAEM64409/ Fecha de publicación: marzo de 2010 Nombre de producto y número de versión: Trend Micro Worry-Free Business Security Advanced 6.0 SP 2 Protegido por los números de patentes de Estados Unidos y

4 El objetivo de la documentación de Trend Micro Worry-Free Business Security Advanced consiste en presentar las funciones principales del software y las instrucciones de instalación específicas para cada entorno de producción. Es recomendable leerla por completo antes de instalar o utilizar el software. También encontrará información pormenorizada sobre cómo utilizar funciones específicas del software en el archivo de ayuda en línea y en la Base de conocimientos en línea del sitio Web de Trend Micro.

5 Contenido Contenido Capítulo 1: Introducción a Trend Micro Worry-Free Business Security Advanced Información general sobre Trend Micro Worry-Free Business Security Advanced Novedades Versión Service Pack 1, versión Service Pack 2, versión Funciones principales Red de protección Smart de Trend Micro Comentarios inteligentes Reputación Web Reputation Reputación de archivos Filtrado de URL Ventajas de protección Componenti Descripción de las amenazas Glosario de componentes Capítulo 2: Introducción Acceso a la consola Web Estado de actividad Ver la configuración de seguridad Capítulo 3: Instalar agentes Información general sobre la instalación de agentes Resumen de instalación/actualización/migración de agentes iii

6 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Realizar una instalación nueva Instalar desde una página Web interna Instalar con Configuración de inicio de sesión Instalación con secuencias de comandos Instalar con Client Packager Instalar con un archivo MSI Instalar con Instalación remota Instalar con Vulnerability Scanner Instalar con notificación por correo electrónico Instalar MSA desde la consola Web Comprobar la instalación, actualización o migración del agente Verificar la instalación del cliente con Vulnerability Scanner Probar la instalación del cliente mediante la secuencia de comandos de prueba EICAR Eliminar agentes Eliminar agentes con el programa de desinstalación de agentes Eliminar el agente mediante la consola Web Eliminar el agente de servidores Exchange Ejecución del programa de desinstalación de Messaging Security Agent Capítulo 4: Gestionar grupos Información general sobre los grupos Ver los clientes de un grupo Agregar grupos Eliminar equipos y grupos de la consola Web Agregar clientes a grupos Mover clientes Replicar la configuración de un grupo Importar y exportar configuración iv

7 Contenido Capítulo 5: Gestionar la configuración de seguridad básica Opciones de grupos de equipos de sobremesa y servidores Tipos de exploración Configurar la exploración en tiempo real Administración del cortafuegos Sistema de detección de intrusiones Inspección de estado Configurar el cortafuegos Utilizar la reputación Web Configurar la reputación Web Configuración del filtrado de URL Utilizar la supervisión de comportamiento Configurar la supervisión del comportamiento TrendSecure Configurar TrendSecure Administración de POP3 Mail Scan Configurar la exploración de correo Derechos del cliente Administración del directorio de cuarentena Capítulo 6: Administrar Messaging Security Agent Acerca de Messaging Security Agents Acciones de MSA Exploración de macros avanzada Opciones que pueden configurarse para Messaging Security Agent Configuración predeterminada de Messaging Security Agent Antivirus Configurar la exploración en tiempo real para Messaging Security Agent Antispam Configurar Reputation v

8 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Exploración del contenido Listas de remitentes permitidos y bloqueados Configurar la exploración del contenido Filtrado de contenido Palabras clave Expresiones regulares Ver reglas de filtrado de contenido Agregar/Editar reglas de filtrado de contenido Reordenar las reglas Bloqueo de archivos adjuntos Configurar el bloqueo de archivos adjuntos Supervisor en tiempo real Carpeta de cuarentena de Messaging Agent Configurar directorios de cuarentena Consultar directorios de cuarentena Mantener directorios de cuarentena Administrar la herramienta End User Quarantine Operaciones Configuración de la notificación Mantenimiento del spam Depurador/asistencia de Trend Agregar servidores Microsoft Exchange al árbol Grupos de seguridad Quitar servidores Microsoft Exchange de la consola Web Replicar la configuración en servidores Microsoft Exchange Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes Capítulo 7: Utilizar la característica Defensa frente a epidemias Estrategia de la defensa frente a epidemias Estado actual de Defensa frente a epidemias Limpieza de amenazas vi

9 Contenido Amenaza potencial Ejecutar Limpiar ahora Configurar Defensa frente a epidemias Configurar las opciones de Defensa frente a epidemias Ver los detalles de la defensa frente a epidemias automática Definir la configuración de la valoración de vulnerabilidades Capítulo 8: Gestionar las exploraciones Acerca de la exploración Métodos de exploración Selección del método de exploración Tipos de exploración Configurar las opciones de exploración manual y programada Editar la lista de spyware/grayware permitido Configurar opciones de exploración para servidores Microsoft Exchange Programar exploraciones Capítulo 9: Gestionar las notificaciones Notificaciones Configurar notificaciones de sucesos Personalizar las alertas de notificación Uso de testigos Definir la configuración de las notificaciones Configurar ajustes de notificación para servidores Microsoft Exchange Capítulo 10: Administrar la configuración general Configurar las preferencias generales Opciones del proxy de Internet Opciones del servidor SMTP vii

10 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Opciones del equipo de sobremesa/servidor Opciones del sistema Capítulo 11: Administrar las actualizaciones Actualización de los componentes ActiveUpdate Componentes que se pueden actualizar Actualizar Security Server Fuentes de actualización Configurar una fuente de actualización Utilizar agentes de actualización Actualizaciones manuales Actualizar manualmente los componentes Actualizaciones programadas Programar actualizaciones de componentes Recuperar o sincronizar componentes Archivos Hotfix, parches y Service Packs Capítulo 12: Usar los registros y los informes Registros Utilizar la consulta al registro Informes Interpretar informes Generar informes Administrar los registros y los informes Mantener los informes Eliminar registros Capítulo 13: Administrar WFBS-A Cambiar la contraseña de la consola Web Trabajar con Plug-in Manager viii

11 Contenido Ver los detalles de la licencia del producto Participar en Smart Protection Network Cambiar el idioma de la interfaz del agente Desinstalar Trend Micro Security Server Apéndice A: Lista de exclusión de productos Trend Micro Lista de exclusión de servidores Microsoft Exchange... A-6 Apéndice B: Información del cliente Tipos de clientes...b-2 Iconos del cliente normal...b-2 Conocimiento de ubicación...b-7 Clientes en modo roaming...b-8 Clientes de 32 y 64 bits...b-10 Apéndice C: Servicios de Trend Micro Política de prevención de epidemias...c-2 Damage Cleanup Services...C-2 Valoración de vulnerabilidades...c-3 IntelliScan...C-4 ActiveAction...C-4 IntelliTrap...C-7 Servicios de reputación de correo electrónico...c-8 Reputación Web...C-9 Apéndice D: Recomendaciones para proteger los clientes Recomendaciones...D-2 ix

12 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Apéndice E: Utilizar herramientas administrativas y de cliente Tipos de herramientas... E-2 Herramientas administrativas... E-3 Configuración de inicio de sesión... E-3 Vulnerability Scanner... E-4 Utilizar Vulnerability Scanner... E-5 Remote Manager Agent... E-9 Herramienta Disk Cleaner... E-9 Herramientas de cliente...e-11 Client Packager...E-11 Restaurar virus cifrados...e-12 Herramienta Touch...E-15 Client Mover...E-16 Complementos...E-17 Instalar los complementos de SBS y EBS...E-17 Apéndice F: Solución de problemas y preguntas más frecuentes Solución de problemas...f-2 No se puede replicar la configuración de Messaging Security Agent... F-10 Preguntas más frecuentes... F-11 Dónde puedo encontrar el código de activación y la clave de registro?... F-11 Registro... F-12 Instalación, actualización y compatibilidad... F-12 Cómo puedo recuperar una contraseña perdida u olvidada?... F-13 Protección de software Intuit... F-13 Definir la configuración... F-14 Tengo el archivo de patrones o el Service Pack más reciente?... F-16 Exploración inteligente... F-16 Problemas conocidos... F-17 x

13 Contenido Apéndice G: Obtener ayuda Documentación del producto...g-2 Base de conocimientos...g-3 Asistencia técnica...g-4 Ponerse en contacto con Trend Micro...G-5 Enviar archivos sospechosos a Trend Micro...G-5 Centro de información sobre virus...g-6 TrendLabs...G-7 Apéndice H: Glosario Índice xi

14 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 xii

15 Capítulo 1 Introducción a Trend Micro Worry-Free Business Security Advanced En este capítulo se ofrece información general sobre las funciones y capacidades clave de Trend Micro Worry-Free Business Security Advanceddk(WFBS-A). Este capítulo incluye los siguientes temas: Información general sobre Trend Micro Worry-Free Business Security Advanced en la página 1-2 Novedades en la página 1-2 Funciones principales en la página 1-6 Ventajas de protección en la página 1-9 Descripción de las amenazas en la página 1-14 Glosario de componentes en la página

16 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Información general sobre Trend Micro Worry-Free Business Security Advanced Trend Micro Worry-Free Business Security Advanced (WFBS-A) protege a los usuarios y activos de pequeñas empresas del robo de datos, sustracción de identidades, sitios web peligrosos y spam. Creado con Trend Micro Smart Protection Network, Worry-Free Business Security Advanced es: Más seguro: evita que los virus, el spyware, el spam y las amenazas Web lleguen a los equipos o servidores. El filtrado de URL bloquea el acceso a los sitios Web peligrosos y contribuye a mejorar la productividad del usuario. Más inteligente: la exploración rápida y las continuas actualizaciones evitan nuevas amenazas, con un impacto mínimo en los equipos de los usuarios. Más fácil: con una instalación sencilla y sin requisitos de administración, WFBS-A detecta amenazas de forma más efectiva, para que pueda centrarse en su negocio sin preocuparse por la seguridad. Novedades Versión 6.0 Exploración inteligente: La característica Exploración inteligente traslada la función de exploración de malware y spyware a un servidor de exploración. Consigue que el espacio ocupado en el cliente sea pequeño y reduce la necesidad por parte de los clientes de descargar continuamente actualizaciones, ofreciendo protección frente a las tasas sin precedentes a las que se multiplican las amenazas en la actualidad. Al entregar soluciones a un servidor en vez de actualizar clientes individuales, puede ofrecer la protección más reciente casi instantáneamente. ConsulteMétodos de exploración en la página 8-2 y Selección del método de exploración en la página 8-3 para obtener más información. 1-2

17 Introducción a Trend Micro Worry-Free Business Security Advanced Filtrado de contenido de URL de Internet: Confíe en Trend Micro para bloquear sitios Web con contenido inapropiado. El filtrado de URL le ayuda a mejorar la productividad, salvaguardar los recursos de red y proteger la información confidencial. Consulte Configuración del filtrado de URL en la página 5-18 para obtener más información. Integración de red de protección Smart: Trend Micro Smart Protection Network se basa en una serie de tecnologías y reúne una amplia variedad de información sobre las amenazas de Internet para ofrecer información actualizada sobre las amenazas más recientes. Filtrado de URL, Reputación Web y Smart Scan son funciones integradas en la red de protección Smart de Trend Micro. Consulte Participar en Smart Protection Network en la página 13-6 para obtener más información. Estado de actividad más simple y fácil: El panel Estado de actividad es aún más sencillo de leer. Consulte Estado de actividad en la página 2-5 para obtener más información. Instalación integrada con Worry-Free Remote Manager 2.1: Ahora, los distribuidores tienen la opción de instalar un agente Worry-Free Remote Manager para administrar de forma remota cada nuevo Security Server WFBS-A que se instale. Consulte Installing the Trend Micro Worry-Free Remote Manager Agent on page 3-35 para obtener más información. Nueva interfaz gráfica para la herramienta de puesta en cuarentena Restaurar virus cifrados: Facilita la gestión de puesta en cuarentena con la herramienta Restaurar virus cifrados. Consulte Restaurar virus cifrados en la página E-12 para obtener más información. Exploración variable basada en el nivel de utilización de CPU: Proporciona más flexibilidad para la exploración cuando el uso de la CPU es elevado. WFBS-A responde ahora al estado de la CPU y se puede configurar para que se detenga si hay un consumo de recursos de CPU muy elevado. Consulte Configurar las opciones de exploración manual y programada en la página 8-3 para obtener más información. 1-3

18 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Protección frente a amenazas de ejecuciones automáticas USB: Impide que los archivos de ejecución automática de los dispositivos USB se ejecuten cuando la unidad se inserta en el puerto USB de un cliente. Consulte Restaurar virus cifrados en la página E-12 para obtener más información. Service Pack 1, versión 6.0 Seguridad de clientes mejorada Evita que programas maliciosos modifiquen o cierren componentes importantes del Agente. Posibilidad de desactivar el cortafuegos en múltiples clientes Desactiva el cortafuegos de todos los clientes que utilizan la nueva opción de Configuración general. Compatible con sistemas operativos nuevos WFBS-A es ahora compatible con Windows 7, Windows Server 2008 R2 y Windows Server 2008 Foundation. Otras mejoras Ahora el instalador solicita a los servidores de Trend Micro durante la instalación o actualización que compruebe la validez del código de activación (AC) Migración de la base de datos mejorada para Security Servers con una actualización desde v3.6; esta versión trata el error de inicio de sesión al consultar archivos de registro en servidores actualizados Mecanismo de comprobación actualizado que asegura que el archivo del Patrón de la exploración inteligente se descarga sólo cuando hay suficiente espacio en disco Compatible con el protocolo HTTPS (además del protocolo HTTP) para la reputación Web y el filtrado de URL 1-4

19 Introducción a Trend Micro Worry-Free Business Security Advanced Service Pack 2, versión 6.0 Mecanismo actualizado del Patrón de la exploración inteligente de bajo impacto Las actualizaciones frecuentes de componentes de la Exploración inteligente en el Security Server aseguran que los clientes puedan explorar con los últimos patrones. Para reducir el impacto de las actualizaciones en el rendimiento de Security Server, se han movido algunos procesos que requieren muchos recursos a los servidores de Trend Micro en Internet. Ajustes en la supervisión de comportamiento y en el cortafuegos para el rendimiento Para evitar el impacto en aplicaciones de servidor críticas, la supervisión de comportamiento se ha desactivado de forma predeterminada en los clientes en grupos de servidores, mientras que el cortafuegos permanece desactivado de forma predeterminada en todos los clientes. Al actualizar al Service Pack 2 se desactivan automáticamente ambas funciones en todos los clientes de los grupos de servidores existentes. Para liberar los recursos del sistema, al desactivar cualquier función en cualquier grupo se descargan todos los controladores y procesos relacionados. Para obtener más información acerca de la configuración predeterminada de las funciones, consulte Opciones de grupos de equipos de sobremesa y servidores en la página 5-2. Rutas de acceso UNC para la lista de excepciones de la supervisión de comportamiento Ya que las rutas de acceso UNC son compatibles con la lista de excepciones de la supervisión de comportamiento, puede bloquear o permitir automáticamente los programas que se ejecutan desde las carpetas de red. Para obtener más información acerca de la lista de excepciones, consulte Utilizar la supervisión de comportamiento en la página Mecanismo de limpieza tras las actualizaciones Con Service Pack 2, la herramienta de limpieza Disk Cleaner elimina automáticamente los archivos de restos cada vez que se actualiza Security Server. Al asegurarse de que los componentes no utilizados no ocupan espacio en el disco, la herramienta puede liberar hasta 900 MB de espacio. La herramienta también se puede ejecutar manualmente para limpiar Security Server. Otras mejoras Frecuencia reducida de comunicación del estado de seguridad a Worry-Free Remote Manager para mejorar el rendimiento 1-5

20 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 El umbral de recuento de licencias para mostrar advertencias en la pantalla Estado de actividad ha cambiado al 100% Cambios de texto en la pantalla de instalación de Messaging Security Agent para incluir el control de acceso para usuarios en Windows Small Business Server 2008 Funciones principales Las funciones del producto en esta versión incluyen una mejor integración con Trend Micro Smart Protection Network. Red de protección Smart de Trend Micro Trend Micro Smart Protection Network es una infraestructura de seguridad Internet-cliente de próxima generación diseñada para proteger a los clientes de las amenazas Web. A continuación se indican los elementos clave de Smart Protection Network. Comentarios inteligentes La función Comentarios inteligentes de Trend Micro ofrece una comunicación continua entre los productos de Trend Micro y los centros de tecnologías de investigación constante de amenazas de la empresa. Cada nueva amenaza que se identifica a través de la comprobación de reputación de rutina de un cliente actualiza automáticamente todas las bases de datos de amenazas de Trend Micro, y evita que el siguiente cliente se encuentre con esa amenaza. Al procesar constantemente la información de amenazas recogida en su amplia red global de clientes y socios, Trend Micro ofrece protección automática y en tiempo real frente a las amenazas más recientes y proporciona la seguridad "mejor juntos", que se parece mucho a un servicio de vigilancia global automatizado, que hace que la comunidad se implique en la protección de los demás. Puesto que la información recopilada sobre las amenazas se basa en la reputación del origen de la comunicación, y no en el contenido específico de ésta, se garantiza la protección de la privacidad de la información personal o empresarial. 1-6

21 Introducción a Trend Micro Worry-Free Business Security Advanced Reputación Web Con una de las bases de datos de reputación de dominios más grandes del mundo, la tecnología de reputación Web de Trend Micro realiza un seguimiento de la credibilidad de los dominios Web asignándoles una puntuación de reputación basada en factores tales como la edad del sitio Web, el historial de cambios de ubicación y las indicaciones de actividades sospechosas descubiertas en los análisis de comportamiento de malware. Trend Micro continúa explorando sitios y bloqueando el acceso de usuarios a los sitios infectados. Para aumentar la seguridad y reducir los falsos positivos, la tecnología de reputación Web de Trend Micro asigna puntuaciones de reputación a páginas o enlaces concretos dentro de éstas, en lugar de clasificar o bloquear sitios enteros, ya que, a menudo, solo se piratean porciones de sitios legítimos, y la reputación cambia de forma dinámica con el tiempo. Reputation La tecnología de reputación de correo electrónico de Trend Micro valida las direcciones IP y las comprueba en una base de datos de reputación que contiene emisores de spam conocidos, mediante un servicio dinámico que puede valorar la reputación del emisor de correo electrónico en tiempo real. Las clasificaciones se redefinen mediante análisis continuos del "comportamiento" de las direcciones IP, del ámbito de actividad y del historial anterior. Los mensajes de correo maliciosos se bloquean en Internet según la dirección IP del remitente, y así se evita que amenazas como las redes zombi o los programas robot lleguen a la red o al equipo del usuario. 1-7

22 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Reputación de archivos La tecnología de reputación de archivos de Trend Micro comprueba la reputación de cada archivo en una amplia base de datos en Internet antes de permitir el acceso del usuario. Dado que la información acerca del malware se almacena en Internet, al instante está disponible para todos los usuarios. Las redes de contenido de alto rendimiento y los servidores en caché local aseguran una demora mínima durante el proceso de comprobación. La arquitectura Internet-cliente ofrece una protección más inmediata, y elimina la carga de la instalación de archivos de patrones, reduciendo además el impacto general del cliente. Exploración inteligente Trend Micro Worry-Free Business Security Advanced utiliza una nueva tecnología llamada exploración inteligente. En el pasado, los clientes de WFBS-A utilizaban la exploración convencional, que implicaba que cada cliente debía descargar los componentes relacionados con la exploración para realizar las exploraciones. En lugar de ello, con la exploración inteligente, el cliente utiliza el archivo de patrones del servidor de exploración inteligente. Entre las ventajas de la exploración inteligente están: Recursos de hardware reducidos: solo se utilizan los recursos del servidor de exploración para explorar archivos. Filtrado de URL El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un entorno de trabajo más seguro. Puede elegir un nivel de protección de filtrado de URL o personalizar los tipos de sitios Web que desea filtrar. 1-8

23 Introducción a Trend Micro Worry-Free Business Security Advanced Ventajas de protección En la siguiente tabla se describe el modo en que los distintos componentes de WFBS-A protegen a los equipos de las amenazas. TABLA 1-1. Ventajas de la protección AMENAZA PROTECCIÓN Virus/malware: virus, troyanos, gusanos, puertas traseras y rootkits Spyware/grayware: spyware, programas de marcación, herramientas de piratería, aplicaciones de robo de contraseñas, adware, programas de broma y registradores de teclas Virus/malware y spyware/grayware transmitidos a través de mensajes de correo electrónico y spam Gusanos/virus de red Intrusiones Sitios Web/sitios de phishing posiblemente dañinos Comportamiento malicioso Puntos de acceso falsos Contenido explícito/restringido en las aplicaciones de IM Motores de exploración antivirus y antispyware junto con archivos de patrones en Client/Server Security Agent y Messaging Security Agent POP3 Mail Scan en Client/Server Security Agent e IMAP Mail Scan en Messaging Security Agent Protección para Messaging Security Agent de servidores Microsoft Exchange Cortafuegos en Client/Server Security Agent Cortafuegos en Client/Server Security Agent Reputación Web y TrendProtect en Client/Server Security Agent Supervisión de comportamiento en Client/Server Security Agent Transaction Protector en Client/Server Security Agent Filtrado de contenido de mensajería instantánea en Client/Server Security Agent 1-9

24 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Componenti Antivirus Motor de exploración (32 bits/64 bits) para Client/Server Security Agenty Messaging Security Agent: el motor de exploración utiliza el archivo de patrones de virus/malware para detectar virus y otros riesgos de seguridad en los archivos que abren o guardan los usuarios. El motor de exploración trabaja junto con el archivo de patrones de virus para realizar el primer nivel de detección mediante un proceso denominado coincidencia de patrones. Puesto que cada virus contiene una firma única o cadena de caracteres delatores que lo diferencian de cualquier otro código, los expertos antivirus de Trend Micro capturan fragmentos inertes de este código en el archivo de patrones. A continuación, el motor compara determinadas partes de cada archivo explorado con los patrones del archivo de patrones de virus en busca de coincidencias. Patrón de virus: Archivo que ayuda a los agentes Security Agent a identificar firmas de virus, patrones exclusivos de bits y bytes que indican la presencia de un virus. Plantilla de limpieza de virus: utilizada por el motor de limpieza de virus, esta plantilla ayuda a identificar los archivos troyanos y sus procesos, gusanos y spyware/grayware para que dicho motor los pueda eliminar. Motor de limpieza antivirus (32 y 64 bits): motor que utilizan los servicios de limpieza para buscar y eliminar archivos y procesos troyanos, gusanos y spyware/grayware. Patrón de excepciones de IntelliTrap: patrón de excepciones utilizado por IntelliTrap y los motores de exploración para buscar código malicioso en archivos comprimidos. Patrón de IntelliTrap: patrón utilizado por IntelliTrap y los motores de exploración para buscar código malicioso en archivos comprimidos. Patrón del agente de exploración inteligente: el archivo de patrones que utiliza el cliente para identificar las amenazas. Este archivo de patrones se guarda en el equipo del agente. Motor de comentarios de 32 bits y 64 bits: motor que sirve para enviar comentarios a Trend Micro Smart Protection Network. Patrón de la exploración inteligente: archivo de patrones que contiene los datos específicos de los archivos de los equipos del cliente. 1-10

25 Introducción a Trend Micro Worry-Free Business Security Advanced Antispyware Motor de exploración antispyware (32 bits): un motor de exploración independiente que detecta y elimina spyware/grayware de equipos y servidores infectados que tienen instalados sistemas operativos i386 (32 bits). Motor de exploración antispyware (64 bits): parecido al motor de exploración de spyware/grayware para sistemas de 32 bits, este motor de exploración explora, detecta y elimina spyware en sistemas operativos x64 (de 64 bits). Patrón de spyware: contiene firmas de spyware conocidas y lo utilizan los motores de exploración antispyware (de 32 y 64 bits) para detectar la presencia de spyware/grayware en los equipos y servidores durante las exploraciones manuales y programadas. Patrón de supervisión antispyware activa: similar al patrón de spyware, si bien el motor de exploración lo usa para la exploración antispyware. Antispam Motor antispam (32 bits/64 bits): detecta los mensajes de correo electrónico de publicidad o masivos no solicitados, conocidos como "spam". Patrón antispam: contiene definiciones de spam que permiten al motor antispam detectar los mensajes de spam. Reputation Services (ERS): Detiene una gran cantidad de spam antes de que sobrepase el gateway e inunde la infraestructura de mensajería. Defensa frente a epidemias La defensa frente a epidemias advierte con tiempo de una amenaza de Internet o de cualquier otra condición de epidemia a nivel mundial. Responde automáticamente con medidas preventivas para mantener a salvo los equipos y la red; a ello le siguen medidas de protección para identificar el problema reparar el daño. Patrón de vulnerabilidades: archivo que incluye la base de datos para todas las vulnerabilidades. El patrón de vulnerabilidades contiene las instrucciones para que el motor de exploración busque vulnerabilidades conocidas. 1-11

26 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Virus di rete Motor del cortafuegos habitual (32 bits/64 bits): el cortafuegos utiliza este motor, junto con el archivo de patrones de virus de la red, para proteger los equipos frente a ataques de hackers y virus procedentes de la red. Patrón del cortafuegos habitual: Al igual que el archivo de patrones de virus, este archivo ayuda a WFBS-A a identificar firmas de virus de red. Transport Driver Interface (TDI) (32 bits/64 bits): módulo que redirige el tráfico de red hacia los módulos de exploración. WFP driver (32 bits/64 bits): En clientes con Windows Vista, el cortafuegos utiliza este controlador junto con el archivo de patrones de virus para explorar en busca de virus de red. Reputación Web Base de datos de Trend Micro Security: La reputación Web evalúa el posible riesgo de seguridad de la página Web solicitada antes de mostrarla. Dependiendo de la puntuación devuelta por la base de datos y el nivel de seguridad configurado, Client/Server Security Agent bloqueará o permitirá la solicitud. Motor de filtrado de URL (32 bits/64 bits): motor que realiza consultas a la base de datos de Trend Micro Security para evaluar la página. TrendProtect Base de datos de Trend Micro Security: TrendProtect evalúa el posible riesgo de seguridad de los hiperenlaces que recoge una página Web. El complemento clasificará el enlace en función de la clasificación que devuelva la base de datos y del nivel de seguridad establecido en el complemento del explorador. Protección de software Lista de protección de software: los archivos de programa protegidos (EXE y DLL) no se pueden modificar ni eliminar. Para desinstalar o actualizar un programa, desproteja temporalmente la carpeta. 1-12

27 Introducción a Trend Micro Worry-Free Business Security Advanced Supervisión del comportamiento Controlador de la supervisión de comportamiento: este controlador detecta el comportamiento de proceso de los clientes. Servicio básico de la supervisión de comportamiento: CSA utiliza este servicio para gestionar los controladores básicos del monitor de comportamiento. Patrón de aplicación de políticas: lista de políticas configuradas en Security Server que deben aplicar los agentes. Patrón de firmas digitales: lista de empresas aceptadas por Trend Micro cuyo software se puede usar con seguridad. Patrón de configuración de la supervisión de comportamiento: en este patrón se almacenan las políticas predeterminadas de control de comportamiento. Todas las coincidencias de política omitirán los archivos de este patrón. Patrón de detección de la supervisión de comportamiento: patrón que contiene las reglas de detección del comportamiento sospechoso de ser una amenaza. Transaction Protector Asesor de Wi-Fi: comprueba la seguridad de las redes inalámbricas en función de la validez de su identificador de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Filtrado de contenido Lista de palabras/frases restringidas: esta lista se compone de las palabras/frases que no se pueden transmitir por medio de aplicaciones de mensajería instantánea. Estado de actividad y notificaciones El estado de actividad le ofrece una visión general del estado de seguridad de la defensa frente a epidemias, la función antivirus y antispyware y los virus de red. Si WFBS-A está protegiendo los servidores Microsoft Exchange, también podrá ver el estado de la función antispam. De forma similar, WFBS-A puede enviar a los administradores notificaciones cuando se produzcan sucesos significativos. 1-13

28 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Descripción de las amenazas La seguridad informática es una materia en constante evolución. Los administradores y los profesionales en seguridad de la información crean y adoptan una serie de términos y frases para describir los posibles riesgos o incidentes no deseados de los equipos y las redes. En las siguientes líneas se facilitan más detalles sobre estos términos y su significado, tal y como se utilizan a lo largo de la guía. Virus/Malware Un virus/malware informático es un programa (un fragmento de código ejecutable) que tiene la exclusiva habilidad de replicarse. Los virus se pueden adjuntar a cualquier tipo de archivo ejecutable y se propagan cuando los archivos se copian y envían de un usuario a otro. Además de replicarse, algunos virus/malware informáticos comparten otra característica común: una rutina de daños que transmite la acción destructiva del virus. Aunque algunas rutinas de daños solo pueden mostrar mensajes o imágenes, también pueden destruir archivos, formatear el disco duro o causar otro tipo de daños. Malware: el malware es software diseñado para infiltrarse en un sistema informático o dañarlo sin el consentimiento del propietario. Troyanos: un troyano es un programa malicioso que se presenta como una aplicación inofensiva. A diferencia de los virus/malware, los troyanos no se duplican, pero poseen la misma capacidad de destrucción. Un ejemplo de troyano es una aplicación que se supone que puede eliminar los virus/malware del equipo pero que en realidad introduce virus/malware. Gusanos: un gusano informático es un programa (o conjunto de programas) completo capaz de propagar a otros equipos informáticos copias funcionales de sí mismo o de sus segmentos. La propagación suele efectuarse a través de conexiones de red o archivos adjuntos de correo electrónico. A diferencia de los virus/malware, los gusanos no necesitan introducirse en un programa host. Puertas traseras: una puerta trasera es un método para evitar la autenticación normal, garantizar el acceso remoto a un equipo y/u obtener acceso a información mientras intenta pasar desapercibido. 1-14

29 Introducción a Trend Micro Worry-Free Business Security Advanced Rootkit: un rootkit es un conjunto de programas diseñados para dañar el control legítimo de un sistema operativo por parte de los usuarios. Normalmente, un rootkit ocultará su instalación e intentará evitar su eliminación mediante una subversión de la seguridad del sistema estándar. Virus de macro: los virus de macro son específicos de una aplicación. Los virus residen en archivos de aplicaciones como Microsoft Word (.doc) y Microsoft Excel (.xls). Por lo tanto, se pueden detectar en los archivos con extensiones comunes en las aplicaciones que utilizan macros como, por ejemplo,.doc,.xls y.ppt. Los virus de macro se propagan entre los archivos de datos de la aplicación y pueden llegar a infectar cientos de archivos si no se detienen. Los programas agente en los equipos del cliente, Client/Server Security Agents y Messaging Security Agents, pueden detectar virus/malware durante la exploración antivirus. La acción recomendada por Trend Micro para el virus/malware es Limpiar. Spyware/Grayware El grayware es un programa que realiza acciones inesperadas o no autorizadas. Es un término genérico utilizado para hacer referencia a spyware, adware, programas de marcación, programas de broma, herramientas de acceso remoto y a otros archivos y programas no deseados. En función de su categoría, puede incluir código malicioso replicante o no replicante. Spyware: el spyware es software informático que se instala en un equipo sin el conocimiento o consentimiento del usuario y recopila y transmite información personal. Programas de marcación: en el caso de las conexiones que no son de banda ancha son necesarios los programas de marcación para conectarse a Internet. Los programas de marcación maliciosos están diseñados para realizar la conexión a través de números con recargo en lugar de conectar directamente con el proveedor de servicios de Internet. Los proveedores de estos programas de marcación maliciosos se embolsan las ganancias adicionales. Otros usos de los programas de marcación incluyen la transmisión de información personal y la descarga de software malicioso. Herramientas de piratería: una herramienta de piratería es un programa, o conjunto de programas, diseñado para respaldar la piratería. 1-15

30 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Adware: el adware, o software publicitario, es un paquete de software que reproduce, muestra o descarga automáticamente material publicitario en un equipo después de instalarse en este o mientras se utiliza la aplicación. Registradores de teclas: un registrador de teclas es un software informático que registra todas las pulsaciones de teclas del usuario. Posteriormente, un hacker puede recuperar esta información y utilizarla para su uso personal. Programas robot: Un programa robot es un programa que funciona como un agente para un usuario u otro programa o que simula una actividad humana. Una vez ejecutados, los programas robot pueden replicar, comprimir y distribuir copias de sí mismos. Los programas robot se pueden utilizar para coordinar un ataque automático en equipos conectados en red. Client/Server Security Agent y Messaging Security Agent pueden detectar grayware. La acción recomendada por Trend Micro para el spyware/grayware es Limpiar. Virus de red Un virus que se propaga por una red no es, en sentido estricto, un virus de red. Solo algunas de las amenazas mencionadas en este apartado, como los gusanos, pueden calificarse como virus de red. Concretamente, los virus de red utilizan los protocolos de red como TCP, FTP, UDP y HTTP y los protocolos de correo electrónico para replicarse. El cortafuegos trabaja junto al archivo del patrones de virus de red para identificar y bloquear los virus de red. Spam El spam consta de mensajes de correo electrónico no solicitados (correo electrónico basura), a menudo de tipo comercial, que se envían indiscriminadamente a varias listas de correo, usuarios individuales o grupos de noticias. Hay dos tipos de spam: los mensajes de correo electrónico comercial no solicitado (UCE) y los mensajes de correo electrónico masivo no solicitado (UBE). Intrusiones Una intrusión es la entrada en una red o equipo a la fuerza o sin permiso. También significa eludir la seguridad de una red o equipo. 1-16

31 Introducción a Trend Micro Worry-Free Business Security Advanced Comportamiento malicioso Se entiende por comportamiento malicioso los cambios no autorizados que realiza un software en el sistema operativo, las entradas del registro, otro software o en los archivos y carpetas. Puntos de acceso falsos Un punto de acceso falso, también conocido como Evil Twin (gemelo malvado), es un punto de acceso Wi-Fi con fines delictivos que parece legítimo en el edificio, pero que en realidad ha sido diseñado por un hacker para escuchar a hurtadillas las comunicaciones inalámbricas. Contenido explícito/restringido en las aplicaciones de IM Contenido de texto explícito o restringido de una organización y que se transmite a través de aplicaciones de mensajería instantánea. Por ejemplo, información confidencial de la empresa. Servicios de escucha de pulsaciones de teclas en línea Es una versión en línea de un registrador de teclas. Consulte Spyware/Grayware en la página 1-15 para obtener más información. Packers Los packers son herramientas para comprimir programas ejecutables. Al comprimir los archivos ejecutables, el código que contienen es más difícil de detectar con los productos de exploración antivirus tradicionales. Un packer puede esconder un troyano o un gusano. El motor de exploración de Trend Micro puede detectar archivos empaquetados y la acción recomendada para este tipo de archivos es Poner en cuarentena. 1-17

32 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Incidentes de phishing Un incidente de phishing comienza con un mensaje de correo electrónico que afirma falsamente provenir de una empresa existente o legítima. El mensaje a los destinatarios a hacer clic en un enlace que redirecciona el explorador a un sitio Web fraudulento. Aquí el usuario debe facilitar información personal como contraseñas, el número de la Seguridad Social y números de tarjetas de crédito. En estos sitios de phishing se intenta engañar al usuario para que facilite información confidencial que podrá ser utilizada para sustraer identidades. Los agentes Messaging Security Agent utilizan la función antispam para detectar los incidentes de phishing. La acción que recomienda Trend Micro para los incidentes de phishing es Eliminar todo el mensaje donde se ha detectado el phishing. Ataques de correo masivo Los virus/malware de correo electrónico tienen la habilidad de propagarse a través de mensajes de correo electrónico mediante la automatización de los clientes de correo electrónico del equipo infectado o propagando los virus/malware. El correo masivo supone una infección que se propaga rápidamente en un entorno Microsoft Exchange. Trend Micro diseñó el motor de exploración para detectar los comportamientos que suelen tener los ataques de correo masivo. Estos comportamientos se graban en el patrón de virus, el cual se actualiza con los servidores ActiveUpdate de Trend Micro. Los agentes Messaging Security Agent pueden detectar los ataques de correo masivo gracias a la exploración antivirus. La acción predeterminada que se haya definido para el comportamiento de correo masivo tiene preferencia sobre el resto de las acciones. La acción recomendada de Trend Micro frente a los ataques de correo masivo es eliminar todo el mensaje. 1-18

33 Introducción a Trend Micro Worry-Free Business Security Advanced Glosario de componentes La siguiente tabla define los términos que aparecen en la documentación del producto: TABLA 1-2. Glosario de componentes ITEM Security Server Servidor de exploración Agente/CSA/MSA Cliente Consola Web DESCRIPTION Security Server aloja la consola Web, la consola de gestión centralizada basada en Web para el producto. Un servidor de exploración explora los clientes configurados para la exploración inteligente. De forma predeterminada, hay un servidor de exploración instalado en Security Server. El agente Client/Server Security Agent o Messaging Security Agent. Los agentes protegen al cliente en el que están instalados. Los clientes son servidores Microsoft Exchange, equipos de sobremesa, equipos portátiles y servidores en los que se haya instalado un agente Messaging Security Agent o un agente Client/Server Security Agent. La consola Web es una consola de administración centralizada basada en Web que administra todos los agentes. Esta consola se encuentra en Security Server. 1-19

34 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

35 Capítulo 2 Introducción En este capítulo se describe cómo familiarizarse con wfbs-a y ejecutarlo. Este capítulo incluye los siguientes temas: Acceso a la consola Web a partir de la página 2-2 Estado de actividad a partir de la página 2-5 Ver la configuración de seguridad a partir de la página

36 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Acceso a la consola Web Este tema resume todos los aspectos relativos a la consola Web y explica cómo acceder a ella. TABLA 2-1. Características principales de la consola Web Característica Menú principal Área de configuración Barra lateral de menús Barra de herramientas de configuración de seguridad Descripción En la parte superior de la consola Web se encuentra el menú principal. Este menú siempre está disponible. Se sitúa debajo de los elementos de menú principales. Utilice esta área para seleccionar opciones según el elemento de menú que haya elegido. Cuando se elige un cliente o un grupo en la pantalla Configuración de seguridad y se hace clic en Configurar aparece una barra lateral de menús. Utilice la barra lateral para definir la configuración de seguridad y las exploraciones de los equipos de sobremesa y servidores. Cuando se selecciona un servidor Microsoft Exchange en la pantalla Configuración de seguridad, puede utilizar la barra lateral para definir la configuración de seguridad y las exploraciones de los servidores Microsoft Exchange. Al abrir la pantalla Configuración de seguridad se observa una barra de herramientas que contiene unos iconos. Si se hace clic en un equipo o grupo en la pantalla Configuración de seguridad y se hace clic en un icono de la barra de herramientas, Security Server realizará la tarea asociada. Al instalar Trend Micro Security Server también se instala la consola de administración centralizada basada en Web. La consola utiliza tecnologías de Internet como ActiveX, CGI, HTML, y HTTP/HTTPS. Para abrir la consola Web: 1. Seleccione una de las opciones siguientes para abrir la consola Web: Haga clic en el acceso directo Worry-Free Business Security que hay en el escritorio. 2-2

37 Introducción Desde el menú Inicio de Windows, haga clic en Trend Micro Worry-Free Business Security > Worry-Free Business Security. También puede abrir la consola Web desde cualquier equipo de la red. Abra un explorador Web y escriba lo siguiente en la barra de direcciones: de puerto}/smb Por ejemplo: Si no utiliza SSL, escriba http en lugar de https. El puerto predeterminado para conexiones HTTP es 8059 y para conexiones HTTPS es Consejo: si el entorno no puede resolver los nombres de servidor mediante DNS, sustituya {Nombre_de_Security_Server} por {Dirección_IP_servidor}. 2. El explorador abrirá la pantalla de inicio de sesión de Trend Micro Worry-Free Business Security. ILUSTRACIÓN 2-1. Pantalla de inicio de sesión de WFBS-A 2-3

38 Manual del administrador de Trend Micro Worry-Free Business Security Advanced Escriba la contraseña en el cuadro de texto Contraseña y, a continuación, haga clic en Iniciar sesión. El explorador mostrará la pantalla Estado de actividad de la consola Web. Iconos de la consola Web En la tabla siguiente se describen los iconos que aparecen en la consola Web y se explica su función. TABLA 2-2. Iconos de la consola Web Icono Descripción Icono de Ayuda. Abre la ayuda en línea. Icono Actualizar. Actualiza la vista de la pantalla actual. / Icono Ampliar/Contraer sección. Muestra u oculta las secciones. Solo se puede ampliar una sección a la vez. Icono Información. Muestra información relacionada con un elemento concreto. 2-4

39 Introducción Estado de actividad Utilice la pantalla Estado de actividad para administrar WFBS-A. La velocidad de actualización de la información de la pantalla Estado de actividad varía según la sección. En general, la velocidad de actualización es de entre 1 y 10 minutos. Para actualizar manualmente la información de la pantalla, haga clic en Actualizar. ILUSTRACIÓN 2-2. Pantalla Estado de actividad 2-5

40 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Descripción de los iconos Los iconos le indican si se debe realizar una acción para proteger los equipos de la red. Expanda una sección para ver más información. También puede hacer clic en los elementos de la tabla para ver detalles más específicos. Para obtener más información sobre clientes específicos, haga clic en los enlaces numéricos que aparecen en las tablas. TABLA 2-3. Iconos del Estado de actividad Icono Descripción normal Solo unos pocos clientes necesitan que se les aplique una versión de revisión. La actividad de virus, spyware y otros tipos de malware de los equipos y la red representa un riesgo insignificante. Advertencia Realice una acción para evitar que aumente el riesgo para la red. Generalmente, un icono de advertencia significa que hay un número de equipos vulnerables que están comunicando demasiados incidentes de virus o malware. Cuando Trend Micro emite una alerta amarilla, la advertencia se muestra para Defensa frente a epidemias. Acción necesaria Un icono de advertencia significa que el administrador debe realizar acciones para solucionar un problema de seguridad. Security Server genera la información que aparece en Estado de actividad según los datos que ha recopilado de los clientes. 2-6

41 Introducción Estado de la amenaza La pantalla Estado de la amenaza muestra información sobre: Antivirus: detección de virus. A partir del incidente número 5, el icono de estado cambia para mostrar la advertencia. Si debe emprender acciones: Client/Server Security Agent no ha realizado correctamente la acción especificada. Haga clic en el enlace numerado para ver información detallada sobre los equipos en los que Client/Server Security Agent no ha podido realizar la acción. La exploración en tiempo real está desactivada en Client/Server Security Agent. Haga clic en Activar ahora para volver a iniciar la exploración en tiempo real. La exploración en tiempo real está desactivada en Messaging Security Agent. Antispyware: La sección Antispyware muestra los últimos resultados de la exploración de spyware y las entradas del registro de spyware. La columna Número de incidentes de la tabla Incidentes de amenazas de spyware muestra los resultados de la última exploración antivirus. Para obtener más información sobre un cliente concreto, haga clic en el enlace numerado de la columna Incidentes detectados de la tabla Incidentes de amenazas de spyware. Desde ahí, puede buscar información sobre las amenazas de spyware concretas que afectan a sus clientes. Filtrado de URL: sitios Web restringidos determinados por el administrador. A partir del incidente número 300, el icono de estado cambia para mostrar la advertencia. Supervisión de comportamiento: infracciones de las políticas de supervisión de comportamiento. Virus de red: detección de virus de red determinada por la configuración del cortafuegos. Defensa frente a epidemias: una posible epidemia de virus en su red. Antispam: detección de spam. Haga clic en el enlace Alto, Medio o Bajo para ir a la pantalla de configuración del servidor Microsoft Exchange seleccionado donde puede definir el umbral de la pantalla Antispam. Haga clic en Desactivado para ir a la pantalla correspondiente. Esta información se actualiza cada hora. Reputación Web: sitios Web potencialmente peligrosos determinados por Trend Micro. A partir del incidente número 200, el icono de estado cambia para mostrar el aviso. 2-7

42 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Estado del sistema Permite consultar información sobre los componentes actualizados y el espacio libre en disco en los equipos con agentes instalados. Actualizaciones de los componentes: estado de las actualizaciones de componentes de Security Server o de la implementación de componentes actualizados en los agentes. Sucesos inusuales del sistema: información sobre el espacio en disco de los clientes que funcionan como servidores (que ejecutan un sistema operativo de servidor). Exploración inteligente: clientes que no se pueden conectar a su servidor de exploración asignado. Consejo: puede personalizar los parámetros que activan la aparición de un icono Advertencia o Acción necesaria en la consola Web desde la pantalla Preferencias > Notificaciones. Estado de la licencia Ver información relativa al estado de la licencia. Licencia: información sobre el estado de la licencia del producto y, más concretamente, información sobre la caducidad. Intervalos de actualización de Estado de actividad Si desea comprender con qué frecuencia se actualiza la información de Estado de actividad, consulte la siguiente tabla. TABLA 2-4. Intervalos de actualización de Estado de actividad Evento Intervalo de actualización (minutos) El agente envía registros al servidor después de... (minutos) Defensa frente a epidemias 3 N/D 2-8

43 Introducción TABLA 2-4. Intervalos de actualización de Estado de actividad (continuación) Evento Antivirus 1 CSA: Inmediato MSA: 5 Antispyware 3 1 Antispam 3 60 Reputación Web 3 60 Filtrado de URL 3 60 Supervisión de comportamiento 3 60 Virus di rete 3 60 Exploración inteligente 10 N/D Licencia 10 N/D Actualizaciones de los componentes Sucesos inusuales del sistema Intervalo de actualización (minutos) 3 N/D El agente envía registros al servidor después de... (minutos) 10 Cuando se ha iniciado el servicio TmListen 2-9

44 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ver la configuración de seguridad La pantalla Configuración de seguridad le permite gestionar todos los equipos en los que ha instalado los agentes. Si selecciona un grupo del árbol Grupos de seguridad, los equipos de ese grupo aparecerán en una tabla a la derecha. La pantalla Configuración de seguridad se divide en dos (2) secciones principales: Menú de navegación general Estas opciones están siempre disponibles independientemente de las opciones seleccionadas en la pantalla Configuración de seguridad y permanecen así en el resto de las pantallas. Área de configuración El área de configuración incluye la barra de información de Security Server, la barra de herramientas para la configuración y, en la parte inferior, el árbol Grupos de seguridad y la tabla de información sobre Security Agent. Barra de información de Security Server: muestra información acerca de Security Server como, por ejemplo, el nombre de dominio, número de puerto y número de equipos de sobremesa y servidores administrados. Barra de herramientas: Configurar: la herramienta Configurar solo está disponible si se ha seleccionado previamente uno de los elementos en el árbol Grupos de seguridad. La herramienta Configurar permite definir la configuración de todos los agentes en un grupo. Todos los equipos de un mismo grupo deben compartir la misma configuración. Puede configurar las siguientes áreas: Método de exploración, Antivirus/Antispyware, Cortafuegos, Reputación Web, Filtrado de URL, Supervisión de comportamiento, Barras de herramientas de TrendSecure y Derechos del cliente, Exploración de correo y Directorio de cuarentena para equipos de sobremesa y servidores. Nota: si utiliza Internet Explorer 8 y hace clic en Configurar para Messaging Security Agent, se le pregunta en un mensaje si desea ver únicamente contenido de páginas Web seguras. Debe hacer clic en No para ver la página de configuración de MSA. 2-10

45 Introducción Replicar configuración: la herramienta Replicar configuración solo está disponible si se ha seleccionado previamente uno de los elementos en el árbol Grupos de seguridad y hay como mínimo otro elemento del mismo tipo en el árbol Grupos de seguridad. Importar/Exportar configuración: guarde su configuración o importe la configuración que haya guardado. Agregar grupo: la herramienta Agregar grupo permite añadir nuevos grupos de equipos de sobremesa o servidores. Agregar: la herramienta Agregar permite añadir equipos a grupos determinados mediante la implementación de Client/Server Security Agents en los equipos especificados. Eliminar: la herramienta Eliminar permite quitar el agente de los equipos especificados. Mover: la herramienta Mover permite mover los equipos o servidores seleccionados de un servidor de seguridad a otro. Restablecer contadores: la herramienta Restablecer contadores funciona en todos los equipos de un grupo. Al hacer clic, el valor correspondiente a las columnas Virus detectados y Spyware detectado de la tabla de información de Security Agent se pone en cero. Árbol Grupos de seguridad: permite seleccionar un grupo del árbol Grupos de seguridad para mostrar a la derecha una lista de los equipos en ese grupo. Tabla de información de Security Agent: al seleccionar un equipo y hacer clic en una herramienta de la barra de herramientas, la consola Web mostrará una nueva zona de configuración. 2-11

46 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

47 Capítulo 3 Instalar agentes En este capítulo se describen los pasos necesarios para instalar y actualizar los agentes. También se facilita información sobre cómo eliminar agentes. Este capítulo incluye los siguientes temas: Información general sobre la instalación de agentes en la página 3-2 Resumen de instalación/actualización/migración de agentes en la página 3-4 Realizar una instalación nueva en la página 3-4 Comprobar la instalación, actualización o migración del agente en la página 3-20 Probar la instalación del cliente mediante la secuencia de comandos de prueba EICAR en la página 3-22 Eliminar agentes en la página

48 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Información general sobre la instalación de agentes WFBS-A ofrece varios métodos para instalar Client/Server Security Agent. En este apartado se ofrece un resumen de los distintos métodos. Consejo: Trend Micro recomienda seleccionar Instalación remota o Configuración de inicio de sesión a las organizaciones que apliquen estrictas políticas de seguridad. Página Web interna: Indicar a los usuarios de la empresa que vayan a la página Web interna y descarguen los archivos de instalación de Client/Server Security Agent (consulteinstalar desde una página Web interna en la página 3-4) Configuración de inicio de sesión: Automatizar la instalación de Client/Server Security Agent en equipos sin protección que inicien sesión en el dominio (consulte Instalar con Configuración de inicio de sesión en la página 3-6) Client Packager: Implementar los archivos de instalación o actualización de Client/Server Security Agent en los clientes a través del correo electrónico (consulte Instalar con Client Packager en la página 3-9) Instalación remota: instalar el agente en todos los clientes con Windows Vista/2000/XP/Server 2003/Server 2008 desde la consola Web (consulte el apartado Instalar con Instalación remota en la página 3-13). Vulnerability Scanner (TMVS): Instalar Client/Server Security Agent en todos los clientes Windows 2000/Server 2003 con Trend Micro Vulnerability Scanner (Instalar con Vulnerability Scanner en la página 3-16) 3-2

49 Instalar agentes TABLA 3-1. Métodos de implementación de agentes Apto para la implementación a través de WAN Apto para la administración y gestión centralizadas Requiere la intervención del usuario Precisa recursos de los servicios informáticos Apto para la implementación en masa Consumo de ancho de banda Derechos necesarios Página Web Secuencias de comandos de inicio de sesión Client Packager Instalación remota Sí No Sí No No Sí Sí No Sí Sí Sí No Sí No No No Sí Sí Sí Sí No Sí No Sí Sí Reducido, si se programa Elevado, si los clientes se inician simultáneamente Reducido, si se programa Reducido, si se programa TMVS Reducido, si se programa Se requieren derechos de administrador para todos los métodos de instalación. 3-3

50 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Nota: Para utilizar cualquiera de los métodos de implementación de Client/Server Security Agent es preciso disponer de derechos de administrador local en los clientes de destino. Resumen de instalación/actualización/migración de agentes En este apartado encontrará información sobre los siguientes temas: Realizar una nueva instalación de Client/Server Security Agent nueva con el método de instalación que elija (consulte Información general sobre la instalación de agentes en la página 3-2) Actualizar desde una versión anterior de Client/Server Security Agent a la versión actual (consulte Comprobar la instalación, actualización o migración del agente en la página 3-20) Migrar de una instalación antivirus de otro fabricante a la versión actual de WFBS-A (consulte Comprobar la instalación, actualización o migración del agente en la página 3-20) Nota: Cierre las aplicaciones que se estén ejecutando en los clientes antes de instalar Client/Server Security Agent. Si realiza la instalación mientras hay otras aplicaciones en ejecución, el proceso tardará más en completarse. Realizar una instalación nueva Siga uno de los procedimientos descritos a continuación si es la primera vez que instala Client/Server Security Agent en los equipos de destino. Instalar desde una página Web interna Si ha instalado Trend Micro Security Server en un equipo que ejecuta Windows 2000, Windows XP, Windows Server 2003 o Windows Server 2008 con servicios de Internet Information Server (IIS) 5.0, 6.0 ó 7.0, o Apache , los usuarios pueden instalar Client/Server Security Agent desde el sitio Web interno que se creó durante la instalación maestra. 3-4

51 Instalar agentes Se trata de un práctico método para implementar Client/Server Security Agent. Solo tiene que indicar a los usuarios que visiten la página Web interna y descarguen los archivos de instalación de Client/Server Security Agent. Consejo: puede utilizar Vulnerability Scanner para qué usuarios no han seguido las instrucciones para realizar la instalación desde la consola Web (consulte el apartado Verificar la instalación del cliente con Vulnerability Scanner en la página 3-20 para obtener más información). Los usuarios deben tener Microsoft Internet Explorer 6.0 o posterior con el nivel de seguridad configurado para permitir que los controles ActiveX descarguen correctamente los archivos de instalación de Client/Server Security Agent. Las siguientes instrucciones responden a la perspectiva del usuario. Envíe por correo electrónico las siguientes instrucciones a los usuarios para que instalen Client/Server Security Agent desde el servidor Web interno. Para realizar la instalación desde la página Web interna: 1. Abra una ventana de Internet Explorer y escriba: Micro Security Server}:{puerto}/SMB/console/html/client Por ejemplo: O utilice la URL de la consola de administración. En la pantalla de la contraseña, verá un enlace Haga clic aquí para realizar la instalación del cliente. Si no utiliza SSL, escriba http en lugar de https. 3-5

52 Manual del administrador de Trend Micro Worry-Free Business Security Advanced Haga clic en Instalar ahora para iniciar la instalación de Client/Server Security Agent. Nota: En Windows Vista, asegúrese de que la función Modo protegido está activada. Para activar el Modo protegido, en Internet Explorer, haga clic en Herramientas > Opciones de Internet > Seguridad. Comienza la instalación. Cuando la instalación haya finalizado, aparecerá el mensaje Se ha completado la instalación del agente. 3. Para verificar que la instalación haya sido correcta, compruebe si el icono de Client/Server Security Agent aparece en la bandeja del sistema Windows. Para la exploración convencional: Para la exploración inteligente: Instalar con Configuración de inicio de sesión Utilice Configuración de inicio de sesión para automatizar la instalación de Client/Server Security Agent en equipos sin protección cuando estos inician una sesión en el dominio. Configuración de inicio de sesión añade el programa autopcc.exe a la secuencia de comandos de inicio de sesión del servidor. El programa autopcc.exe realiza las siguientes funciones: Determina el sistema operativo del equipo no protegido y de Client/Server Security Agent. Actualiza el motor de exploración, el archivo de patrones de virus, los componentes de Damage Cleanup Services, el archivo de limpieza y los archivos de programa. Nota: para aplicar el método de instalación de secuencias de comandos de inicio de sesión, los clientes deben aparecer en la lista de Windows Active Directory del servidor que ejecuta la instalación. 3-6

53 Instalar agentes Para agregar autopcc.exe a la secuencia de comandos de inicio de sesión mediante Configuración de inicio de sesión: 1. En el equipo en el que está instalado WFBS-A, abra C:\Archivos de programa\trend Micro\Security Server\PCCSRV\Admin\SetupUsr.exe. Se cargará la utilidad Configuración de inicio de sesión. La consola muestra un árbol en el que aparecen todos los dominios de la red. 2. Busque el equipo Windows 2000/Server 2003/Server 2008 cuya secuencia de comandos de inicio de sesión desee modificar, selecciónelo y, a continuación, haga clic en Seleccionar. El servidor debe ser un controlador de dominio principal y se requieren derechos de administrador. Configuración de inicio de sesión le solicitará un nombre de usuario y una contraseña. 3. Escriba su nombre de usuario y la contraseña. Haga clic en Aceptar para continuar. Aparecerá la ventana Selección de usuario. La lista Usuarios muestra los equipos que se conectan al servidor. La lista Usuarios seleccionados muestra los usuarios cuya secuencia de comandos de inicio de sesión se desea modificar. Para modificar la secuencia de comandos de inicio de sesión de uno o varios usuarios, selecciónelos de la lista Usuarios y haga clic en Agregar. Para modificar la secuencia de comandos de inicio de sesión de todos los usuarios, haga clic en Agregar todos. Para excluir un usuario cuyo equipo ha modificado con anterioridad, seleccione el nombre de la lista Usuarios seleccionados y haga clic en Eliminar. Para restablecer las selecciones, haga clic en Eliminar todos. 4. Haga clic en Aplicar cuando todos los usuarios de destino se encuentren en la lista Usuarios seleccionados. Aparecerá un mensaje en el que se indica que ha modificado correctamente las secuencias de comando de inicio de sesión del servidor. 5. Haga clic en Aceptar. La utilidad Configuración de inicio de sesión volverá a la pantalla inicial. Para modificar las secuencias de comandos de inicio de sesión de otros servidores, repita los pasos del 2 al

54 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para cerrar la utilidad Configuración de inicio de sesión, haga clic en Salir. Nota: cuando un equipo no protegido inicie la sesión en alguno de los servidores cuya secuencia de comandos de inicio de sesión se ha modificado, autopcc.exe instalará automáticamente el agente en dicho equipo. Instalación con secuencias de comandos Si ya dispone de una secuencia de comandos de inicio de sesión para Windows 2000/Server 2003/Server 2008, la utilidad Configuración de inicio de sesión agrega un comando que ejecuta autopcc.exe; en caso contrario, crea un archivo por lotes denominado ofcscan.bat (que contiene el comando para ejecutar autopcc.exe). Configuración de inicio de sesión añade el texto siguiente al final de la secuencia de comandos: \\{Nombre_servidor}\ofcscan Donde: {Nombre_servidor} es el nombre o la dirección IP del equipo donde se ha instalado Trend Micro Security Server. Consejo: si el entorno no puede resolver los nombres de servidor mediante DNS, sustituya {Nombre_servidor} por {Dirección_IP_servidor}. La secuencia de comandos de inicio de sesión de Windows 2000 se halla en el servidor Windows 2000 (en un directorio compartido de acceso a través de la red), en: \\Servidor Windows 2000\{unidad del sistema}\winnt\sysvol\ domain\scripts\ofcscan.bat La secuencia de comandos de inicio de sesión de Server 2003 se halla en el servidor Server 2003 (en un directorio compartido de acceso a través de la red), en: \\Servidor Windows 2003\{unidad del sistema}\%windir%\sysvol\ domain\scripts\ofcscan.bat 3-8

55 Instalar agentes La secuencia de comandos de inicio de sesión de Server 2008 se halla en el servidor Server 2008 (en un directorio compartido de acceso a través de la red), en: \\Servidor Windows 2008\{unidad del sistema}\%windir%\sysvol\ domain\scripts\ofcscan.bat Instalar con Client Packager Client Packager puede comprimir archivos de instalación y actualización en un archivo autoextraíble para simplificar la entrega a través del correo electrónico, CD-ROM o un medio similar. Cuando los usuarios reciben el paquete, simplemente deben hacer doble clic en el archivo para ejecutar el programa de instalación. Los agentes instalados con Client Packager envían informes al servidor donde Client Packager creó el paquete de instalación. Esta herramienta resulta especialmente útil para implementar los archivos de instalación o actualización del agente en clientes ubicados en oficinas remotas con un ancho de banda reducido. Consideraciones de la instalación de Client Packager Instalar: si el agente no se puede conectar a Security Server, el cliente conservará la configuración predeterminada. Solo si el cliente se puede conectar a Security Server, éste puede obtener la configuración del grupo. Actualizar: si tiene problemas al actualizar el agente con Client Packager, Trend Micro recomienda que desinstale primero la versión anterior del agente y, a continuación, que instale la nueva versión. Nota: Client Packager requiere un mínimo de 370 MB de espacio libre en el disco del cliente. Es preciso tener instalado Windows Installer 3.0 para que el cliente ejecute un paquete MSI. 3-9

56 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Client Packager puede crear dos tipos de archivos autoextraíbles: Ejecutable Nota: en Windows Vista, es preciso ejecutar el programa con derechos de administrador (Ejecutar como administrador). Formato del paquete del Instalador de Microsoft (MSI): este tipo de archivo cumple las especificaciones para paquetes del Instalador de Microsoft Windows y puede usarse para la implementación silenciosa y/o de Active Directory. Si desea más información sobre MSI, consulte el sitio Web de Microsoft. Consejo: Trend Micro recomienda utilizar Active Directory para implementar un paquete MSI con Configuración del equipo en vez de Configuración del usuario. De este modo se garantiza la instalación del paquete MSI, independientemente del usuario que se conecte al equipo. Para crear un paquete con la interfaz gráfica de usuario de Client Packager: 1. En Trend Micro Security Server, abra el Explorador de Windows. 2. Vaya a \PCCSRV\Admin\Utility\ClientPackager. 3. Haga doble clic en ClnPack.exe para ejecutar la herramienta. Se abrirá la consola de Client Packager. Nota: el programa debe ejecutarse únicamente desde Trend Micro Security Server. 4. En Sistema operativo de destino, seleccione el sistema operativo para el que desea crear el paquete. 5. Seleccione el Modo de exploración. Exploración convencional: un motor de exploración local en el cliente explora el equipo del cliente. 3-10

57 Instalar agentes Exploración inteligente: un servidor de exploración ayuda a explorar el cliente. Junto con el servidor de seguridad se instala automáticamente un servidor de exploración. Se puede seleccionar el método de exploración en la pantalla Configuración de seguridad. Los distintos modos de exploración utilizan diferentes archivos de patrones. La exploración convencional utiliza el archivo de patrones de virus tradicional. 6. Seleccione el tipo de paquete que desee crear: Configuración: seleccione esta opción para instalar el agente. Actualización: Seleccione si desea actualizar sólo los componentes de Client/Server Security Agent. 7. Seleccione una de las opciones de instalación que se ofrecen en Opciones: Modo silencioso: crea un paquete que se instala en el cliente en segundo plano sin que el usuario se percate de ello. La ventana de estado de la instalación no aparecerá. Paquete MSI: crea un paquete conforme al formato de Microsoft Windows Installer Package. Nota: el paquete MSI es exclusivo para las implementaciones con Active Directory. Si desea realizar una instalación local, cree un paquete.exe. Desactivar exploración previa (solo para instalación nueva): Desactiva la exploración normal de los archivos que WFBS-A ejecuta antes de iniciar la instalación. 8. En Componentes, seleccione los componentes que desea incluir en el paquete de instalación: Programa: todos los componentes. Motor de exploración: el motor de exploración más reciente de Trend Micro Security Server. Patrón de virus: el archivo de patrones de virus más reciente de Trend Micro Security Server. Patrón de vulnerabilidades: el archivo de patrones de vulnerabilidades más reciente de Trend Micro Security Server. Componentes de spyware: los componentes de spyware más recientes de Trend Micro Security Server. 3-11

58 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Controlador del cortafuegos habitual: el controlador del cortafuegos. Patrón de virus de red: el archivo de patrones más reciente específicamente para virus de red. DCE/DCT: el motor de limpieza de virus más reciente de Trend Micro Security Server. Patrón de IntelliTrap: el archivo de patrones IntelliTrap más reciente de Trend Micro Security Server. 9. Compruebe que la ubicación del archivo ofcscan.ini es correcta y figura junto a Archivo de origen. Para modificar la ruta, haga clic en y desplácese hasta el archivo ofcscan.ini. De manera predeterminada, este archivo suele ubicarse en la carpeta \PCCSRV de Trend Micro Security Server. 10. En Output file, haga clic en para especificar el nombre del archivo (por ejemplo, ClientSetup.exe) y la ubicación en la que desea crear el paquete del cliente. 11. Haga clic en Crear para crear el paquete. Cuando Client Packager haya acabado de crear el paquete, aparecerá el mensaje Paquete creado correctamente. Para verificar que el paquete se ha creado correctamente, compruebe el directorio de salida indicado. 12. Envíe el paquete a los usuarios por correo electrónico o cópielo en un CD o un medio parecido y distribúyalo. ADVERTENCIA: solo puede enviar el paquete a los agentes de Client/Server Security Agents que envían informes al servidor en el que se creó el paquete. No envíe el paquete a los agentes de Client/Server Security Agents que envían informes a otros servidores Trend Micro Security Server. 3-12

59 Instalar agentes Instalar con un archivo MSI Si utiliza Active Directory, puede instalar Client/Server Security Agent mediante la creación de un archivo de instalación de Microsoft Windows. Utilice Client Packager para crear un archivo con una extensión.msi. Aproveche las funciones que ofrece Active Directory para implementar automáticamente el agente en todos los clientes de forma simultánea con el archivo MSI en lugar de tener que solicitar a todos y cada uno de los usuarios que instalen Client/Server Security Agent ellos mismos. Si desea más información sobre MSI, consulte el sitio Web de Microsoft. Si desea obtener instrucciones sobre cómo crear un archivo MSI, consulte el apartado Instalar con Client Packager en la página 3-9. Instalar con Instalación remota Si lo desea, puede instalar Client/Server Security Agent de forma remota en varios equipos Windows 7, Vista, 2000, XP (sólo Professional Edition), Server 2003, Server 2008, SBS 2008 y EBS 2008 a la vez. Nota: para utilizar la instalación remota se necesitan derechos de administrador en los equipos de destino. Para Windows 7, Vista, Server 2008, SBS 2008 y EBS 2008, deberá utilizar una contraseña de administrador de dominio integrada debido al Control de cuentas de usuarios en Windows (UAC). Para instalar CSA con la Instalación remota: Nota: la instalación de Client/Server Security Agent en un equipo Windows Vista requiere algunos pasos adicionales. Consulte el tema Permitir la Instalación remota de Client Server/Security Agent en clientes con Windows Vista en la página 3-14 para obtener información adicional. 1. En el menú principal de la consola Web, haga clic en Configuración de seguridad > Agregar. Aparecerá la pantalla Agregar equipo. 2. Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo. 3. Seleccione Instalación remota en la sección Método. 4. Haga clic en Siguiente. Aparecerá la pantalla Instalación remota. 3-13

60 Manual del administrador de Trend Micro Worry-Free Business Security Advanced En la lista de equipos del cuadro Grupos y equipos, seleccione un cliente y, a continuación, haga clic en Agregar. Se le pedirá el nombre de usuario y la contraseña del equipo de destino. 6. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Iniciar sesión. El equipo de destino aparecerá en el cuadro de lista Equipos seleccionados. 7. Repita estos pasos hasta que en la lista aparezcan todos los equipos Windows del cuadro de lista Equipos seleccionados. 8. Haga clic en Instalar para instalar Client/Server Security Agent en los equipos de destino. Aparecerá un cuadro de confirmación. 9. Haga clic en Sí para confirmar que desea instalar el agente en el cliente. Aparecerá una pantalla en la que se indica el progreso conforme va copiando los archivos de Client/Server Security Agent en cada uno de los equipos de destino. Cuando WFBS-A termine la instalación en un equipo de destino, se indicará el estado de la instalación en el campo Resultado de la lista de equipos seleccionados y junto al nombre del equipo en cuestión aparecerá una marca de verificación verde. Nota: La Instalación remota no instalará Client/Server Security Agent en un equipo que ya ejecute Trend Micro Security Server. Permitir la Instalación remota de Client Server/Security Agent en clientes con Windows Vista La instalación de Client/Server Security Agent en clientes Windows Vista requiere pasos adicionales. Para habilitar la instalación remota en clientes Windows Vista: 1. En el cliente, active temporalmente la función Compartir archivos e impresoras. Nota: si la normativa de seguridad de su empresa es desactivar el Firewall de Windows, continúe con el paso 2 para iniciar el servicio Registro remoto. a. Abra el Firewall de Windows desde el Panel de control. 3-14

61 Instalar agentes b. Haga clic en Permitir un programa a través del Firewall de Windows. Si el programa le pide una contraseña de administrador o confirmación, escriba la contraseña correspondiente o confirme. Aparecerá la ventana de configuración del Firewall de Windows. c. En la lista Programa o puerto de la pestaña Excepciones, compruebe que la casilla Compartir archivos e impresora está activada. d. Haga clic en Aceptar. 2. Inicie temporalmente el servicio Registro remoto. a. Abra la Consola de administración de Microsoft. Consejo: escriba services.msc en la ventana Ejecutar para abrir la Consola de administración de Microsoft. b. Haga clic con el botón derecho del ratón en Registro remoto y seleccione Iniciar. 3. Si es necesario, restaure la configuración original después de instalar Client/Server Security Agent en el cliente Windows Vista. 3-15

62 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Instalar con Vulnerability Scanner Utilice Trend Micro Vulnerability Scanner (TMVS) para detectar las soluciones antivirus instaladas, buscar equipos de la red que no dispongan de protección e instalar Client/Server Security Agent en dichos equipos. Para determinar si un equipo requiere protección, Vulnerability Scanner envía un comando ping a los puertos que suelen utilizar las soluciones antivirus. En este apartado se explica cómo instalar el agente con Vulnerability Scanner. Si desea obtener instrucciones sobre cómo utilizar Vulnerability Scanner para detectar soluciones antivirus, consulte el apartado Verificar la instalación del cliente con Vulnerability Scanner en la página Nota: puede utilizar Vulnerability Scanner en equipos Windows 2000 o Server 2003; sin embargo, no es recomendable que en los equipos se ejecute Terminal Server. No puede instalar Client/Server Security Agent en un cliente con Vulnerability Scanner si hay una instalación de Trend Micro Security Server presente en el cliente. Para instalar Client/Server Security Agent con Vulnerability Scanner: 1. En la unidad en la que está instalado Trend Micro Security Server, vaya a la siguiente ubicación: {ubicación del servidor} > PCCSRV > Admin > Utility > TMVS. Haga doble clic en TMVS.exe. Aparecerá la consola de Trend Micro Vulnerability Scanner. 2. Haga clic en Settings. Aparecerá la pantalla Configuración. 3-16

63 Instalar agentes ILUSTRACIÓN 3-1. Pantalla Settings de TMVS 3. En Trend Micro Security Server Setting (for Install and Log Report), escriba el nombre o la dirección IP del servidor Trend Micro Security Server y el número de puerto. 4. Active la casilla de verificación Auto-install Client/Server Security Agent for unprotected computer. 3-17

64 Manual del administrador de Trend Micro Worry-Free Business Security Advanced Haga clic en Install Account. 6. Escriba un nombre de usuario y la correspondiente contraseña con derechos de administrador para el servidor (o dominio) y, a continuación, haga clic en OK. 7. Haga clic en OK para volver a la pantalla TMVS principal. 8. Haga clic en Iniciar para empezar la comprobación de los equipos de la red e iniciar la instalación de Client/Server Security Agent. Instalar con notificación por correo electrónico Utilice esta opción para enviar un mensaje con un enlace al programa de instalación. Para notificar la ubicación del paquete desde la consola: 1. En el menú principal de la consola Web, haga clic en Configuración de seguridad > Agregar. Aparecerá la pantalla Agregar equipo. 2. Seleccione Equipo de sobremesa o Servidor en la pantalla Tipo de equipo. 3. Seleccione Instalación mediante notificación por correo electrónico en la sección Método. 4. Haga clic en Siguiente. Aparecerá la pantalla de Instalación mediante notificación por correo electrónico. 5. Escriba el asunto del mensaje y los destinatarios. 6. Haga clic en Aplicar. Se abrirá el cliente de correo electrónico predeterminado con los destinatarios, el asunto y el enlace al programa de instalación. Instalar MSA desde la consola Web El Messaging Security Agent (MSA) también puede instalarse desde la consola Web. Para instalar MSA desde la consola Web: 1. Inicie sesión en la consola Web. 2. Haga clic en la pestaña Configuración de seguridad y, a continuación, en el botón Agregar. 3. En la sección Tipo de equipo, haga clic en servidor Microsoft Exchange. 4. En Información sobre el servidor Microsoft Exchange, escriba la siguiente información: 3-18

65 Instalar agentes Nombre del servidor: el nombre del servidor Microsoft Exchange en el que desea instalar MSA. Cuenta: Nombre de usuario de administrador de dominio integrada. Contraseña: Contraseña de administrador de dominio integrada. 5. Haga clic en Siguiente. Aparecerá la pantalla Configuración del servidor Microsoft Exchange. 6. En Tipo de servidor Web, seleccione el servidor Web que desea instalar en el servidor Microsoft Exchange. Podrá elegir entre Servidor IIS o Servidor Apache. 7. Para el tipo de gestión del spam, se utilizará End User Quarantine. 8. En Directorios, modifique o acepte el destino predeterminado o los directorios compartidos para la instalación de MSA. El destino predeterminado y los directorios compartidos son C:\Archivos de programa\trend Micro\Messaging Security Agent y C$, respectivamente. 9. Haga clic en Siguiente. Aparecerá la pantalla Configuración del servidor Microsoft Exchange. 10. Compruebe que la configuración del servidor Microsoft Exchange especificada en las pantallas anteriores es correcta y haga clic en Siguiente para iniciar la instalación de MSA. 11. Para ver el estado de la instalación de MSA, haga clic en la pestaña Estado de actividad. 3-19

66 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Comprobar la instalación, actualización o migración del agente Después del proceso de instalación o actualización, compruebe que Client/Server Security Agent se haya instalado correctamente. Para comprobar la instalación: Busque los accesos directos al programa WFBS-A en el menú Inicio de Windows del cliente que está ejecutando el agente. Compruebe si WFBS-A se encuentra en la lista Agregar o quitar programas del Panel de control del cliente. Utilice Vulnerability Scanner (consulte el apartado Verificar la instalación del cliente con Vulnerability Scanner en la página 3-20). Utilice la herramienta Client Mover. Verificar la instalación del cliente con Vulnerability Scanner Compruebe que todos los clientes de la red tengan agentes instalados. Puede automatizar Vulnerability Scanner mediante la creación de tareas programadas. Para obtener más información sobre cómo automatizar Vulnerability Scanner, consulte la ayuda en línea de WFBS-A. Nota: puede utilizar Vulnerability Scanner en equipos Windows 2000 y Server 2003; sin embargo, no es recomendable que en los equipos se ejecute Terminal Server. Para comprobar la instalación del agente mediante Vulnerability Scanner: 1. En la unidad en la que haya instalado Trend Micro Security Server, vaya a Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Haga doble clic en TMVS.exe. Aparecerá la consola de Trend Micro Vulnerability Scanner. 2. Haga clic en Settings. Aparecerá la pantalla Configuración. 3. En Product Query, active la casilla de verificación Security Server y especifique el puerto que utiliza el servidor para comunicarse con los clientes. 4. En Description Retrieval Settings, haga clic en un método de recuperación. La recuperación normal es más precisa, pero también es un proceso más largo. 3-20

67 Instalar agentes Si hace clic en Normal retrieval, puede definir Vulnerability Scanner para que intente obtener las descripciones de los equipos, si están disponibles. A tal efecto, seleccione la casilla de verificación Retrieve computer descriptions when available. 5. Si desea enviar automáticamente los resultados a algún administrador de la empresa, o a usted mismo, active la casilla de verificación results to the system administrator que encontrará en Alerts Settings. A continuación, haga clic en Configure para especificar la configuración del correo electrónico. En To, escriba la dirección de correo electrónico del destinatario. En From, escriba su dirección de correo electrónico. En SMTP server, escriba la dirección de su servidor SMTP. Por ejemplo, puede escribir smtp.ejemplo.com. La información sobre el servidor SMTP es necesaria. En Subject, escriba un nuevo asunto de mensaje o acepte el que se muestra de manera predeterminada. 6. Haga clic en Aceptar para guardar la configuración. 7. Si desea mostrar una alerta en los equipos sin protección, active la casilla de verificación Display alert on unprotected computers. A continuación, haga clic en Customize para configurar el mensaje de alerta. Aparecerá la pantalla Alert Message. 8. Escriba un nuevo mensaje de alerta en el cuadro de texto o acepte el mensaje predeterminado. A continuación, haga clic en OK. 9. Para guardar los resultados en un archivo de datos de valores separados por comas (CSV), active la casilla de verificación Automatically save the results to a CSV file. De manera predeterminada, Vulnerability Scanner guarda los archivos de datos CSV en la carpeta TMVS. Si quiere modificar la carpeta predeterminada de los archivos CSV, haga clic en Browse, seleccione una carpeta de destino del equipo o de la red y haga clic, por último, en OK. 10. En Ping Settings, especifique el modo en que Vulnerability Scanner debe enviar los paquetes a los equipos y cómo debe esperar las respuestas. Acepte la configuración predeterminada o escriba valores nuevos en los campos Packet size y Timeout. 11. Haga clic en Aceptar. Aparecerá la consola de Vulnerability Scanner. 12. Para ejecutar una exploración de vulnerabilidades manual en un rango de direcciones IP: 3-21

68 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 a. En IP Range to Check, escriba el rango de direcciones IP que desee para comprobar si hay soluciones antivirus instaladas y equipos desprotegidos. b. Haga clic en Start para empezar la comprobación de los equipos de la red. 13. Para ejecutar una exploración de vulnerabilidades manual en equipos que solicitan direcciones IP desde un servidor DHCP: a. Haga clic en la pestaña DHCP Scan del cuadro Results. Aparecerá el botón DHCP Start. b. Haga clic en DHCP Start. Vulnerability Scanner comienza a escuchar las solicitudes DHCP y realiza la exploración de vulnerabilidades en los clientes a medida que inician sesión en la red. Vulnerability Scanner comprueba la red y muestra los resultados en la tabla Results. Compruebe que todos los servidores, equipos de sobremesa y portátiles tengan el agente instalado. Si Vulnerability Scanner detecta algún servidor, equipo de sobremesa o portátil sin protección, instale el agente en dichos equipos siguiendo el método de instalación que prefiera. Probar la instalación del cliente mediante la secuencia de comandos de prueba EICAR El Instituto europeo de investigación antivirus EICAR (European Institute for Computer Antivirus Research) ha creado un virus de prueba que puede utilizarse para comprobar la instalación y la configuración de su programa antivirus. Se trata de un archivo de texto inerte con un patrón binario que se incluye en el archivo de patrones de virus de los proveedores de antivirus. No es ningún virus real ni contiene ningún código de programa. 3-22

69 Instalar agentes Obtener el archivo de prueba EICAR: Puede descargar el virus de prueba EICAR desde las siguientes direcciones de Internet: Otra opción sería crear un virus de prueba EICAR propio; para ello, cree un archivo de texto llamado eicar.com y escriba lo siguiente: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H* Nota: elimine la caché del servidor de caché y del explorador local antes de realizar la prueba. Eliminar agentes Hay dos formas de eliminar agentes: Ejecutando el programa de desinstalación del agente Utilizando la consola Web ADVERTENCIA: durante la eliminación de los agentes los clientes quedan expuestos a las amenazas. 3-23

70 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Eliminar agentes con el programa de desinstalación de agentes Si concede a los usuarios el derecho a eliminar el agente, puede indicarles que ejecuten el programa de desinstalación del agente desde sus equipos. Para ejecutar el programa de desinstalación del agente: 1. En el menú Inicio de Windows, haga clic en Configuración > Panel de control > Agregar o quitar programas. 2. Seleccione Trend Micro Client/Server Security Agent y haga clic en Cambiar o quitar. Aparecerá la pantalla Desinstalación de Client/Server Security Agent, donde se le solicitará la contraseña de desinstalación (si existe). 3. Escriba la contraseña y haga clic en Aceptar. Eliminar el agente mediante la consola Web También puede eliminar Client/Server Security Agent de forma remota mediante la consola Web. Para eliminar un agente de forma remota mediante la consola Web: 1. Inicie sesión en la consola Web. 2. Haga clic en la pestaña Configuración de seguridad. 3. En el árbol Grupos de seguridad, seleccione el cliente del que desea eliminar el agente y, a continuación, haga clic en Quitar. Aparecerá la pantalla Eliminar equipo. 4. En Tipo de eliminación, haga clic en Desinstalar los agentes seleccionados y, a continuación, en Aplicar. Aparecerá un mensaje de confirmación. 5. Haga clic en Aceptar. Aparecerá una pantalla emergente con el número de notificaciones de desinstalación que envió el servidor y recibió el cliente. 6. Haga clic en Aceptar. Para comprobar que se ha eliminado el agente, actualice la pantalla Configuración de seguridad. Ahora el cliente ya no debe aparecer en el árbol Grupos de seguridad. 3-24

71 Instalar agentes Eliminar el agente de servidores Exchange Para quitar Messaging Security Agent mediante la consola Web: 1. Inicie una sesión en el servidor Microsoft Exchange con derechos de administrador. 2. En el servidor Microsoft Exchange, haga clic en Inicio y después en Panel de control. 3. Abra Agregar o quitar programas. 4. Seleccione Trend Micro Messaging Security Agent y haga clic en Quitar. Siga las instrucciones que aparecen en la pantalla. Ejecución del programa de desinstalación de Messaging Security Agent Para quitar Messaging Security Agent: 1. Inicie una sesión en el servidor Microsoft Exchange con derechos de administrador. 2. En el servidor Microsoft Exchange, haga clic en Inicio y después en Panel de control. 3. Abra Agregar o quitar programas. 4. Seleccione Trend Micro Messaging Security Agent y haga clic en Quitar. Siga las instrucciones que aparecen en la pantalla. 3-25

72 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

73 Capítulo 4 Gestionar grupos En este capítulo se describe el concepto y el uso de grupos en WFBS-A. Este capítulo incluye los siguientes temas: Información general sobre los grupos a partir de la página 4-2 Ver los clientes de un grupo a partir de la página 4-3 Agregar grupos a partir de la página 4-5 Eliminar equipos y grupos de la consola Web a partir de la página 4-6 Agregar clientes a grupos a partir de la página 4-7 Mover clientes a partir de la página 4-9 Replicar la configuración de un grupo a partir de la página 4-10 Importar y exportar configuración a partir de la página

74 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Información general sobre los grupos En WFBS-A, los grupos son colecciones de equipos y servidores (excepto servidores Microsoft Exchange) que comparten la misma configuración y ejecutan las mismas tareas. La agrupación de clientes permite configurar y gestionar varios agentes a la vez. Para facilitar la administración, los clientes se agrupan en función de los departamentos a los que pertenecen o las funciones que realizan. También se pueden agrupar los clientes con mayor riesgo de ser infectados para aplicarles una configuración más segura a todos de una sola vez. Los servidores Microsoft Exchange no se pueden agrupar. Para configurar servidores Microsoft Exchange, consulte Opciones que pueden configurarse para Messaging Security Agent en la página 6-7. De forma predeterminada, Security Server asigna clientes a grupos (equipos de sobremesa, servidores o servidores Exchange) en función del tipo de agente que tienen instalado. 4-2

75 Gestionar grupos Ver los clientes de un grupo Ruta de navegación: Configuración de seguridad > Seleccionar un grupo Desde la pantalla Configuración de seguridad se pueden gestionar todos los clientes en los que ha instalado Client/Server Security Agent y Messaging Security Agent, además de personalizar la configuración de seguridad de estos agentes. ILUSTRACIÓN 4-1. Pantalla Configuración de seguridad en la que se muestran los clientes en un grupo Los clientes se muestran según el grupo al que pertenecen en el árbol Grupos de seguridad. El árbol Grupos de seguridad es una lista expandible de grupos lógicos de clientes. 4-3

76 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Si selecciona un grupo de la lista de la izquierda y hace clic en Configurar, la consola Web mostrará una zona de configuración nueva. Consejo: para seleccionar varios clientes seguidos, haga clic en el primer equipo del intervalo y, con la tecla Mayús pulsada, haga clic en el último equipo del intervalo que desea seleccionar. Para seleccionar un intervalo de clientes discontinuos, haga clic en el primer equipo del intervalo. Mantenga pulsada la tecla CTRL y haga clic en los otros clientes que desee seleccionar. Nota: los servidores Microsoft Exchange con Messaging Security Agent instalado se registran en el grupo de servidores. Sin embargo, en el árbol de grupos de seguridad aparecen individualmente. Si selecciona un grupo del árbol Grupos de seguridad de la izquierda, aparecerá una lista de los clientes que hay en el grupo a la derecha. Utilice la información de esta pantalla para: Garantizar que los agentes están utilizando los motores más recientes Regular la configuración de seguridad según el número de incidentes de virus y spyware Emprender una acción especial en los clientes con un recuento excepcionalmente alto Comprender la condición general de la red Compruebe el método de exploración seleccionado para los agentes Desde aquí puede realizar estas acciones: Configurar grupos: consulte Agregar grupos en la página 4-5. Replicar la configuración entre grupos: consulte Replicar la configuración de un grupo en la página Agregar grupos nuevos: consulte Agregar grupos en la página 4-5. Eliminar grupos: consulte Eliminar equipos y grupos de la consola Web en la página 4-6. Mover clientes de un grupo a otro o de un servidor de seguridad a otro: consulte Mover clientes en la página

77 Gestionar grupos Restablecer contadores. haga clic en Restablecer contadores en la Barra de herramientas de configuración de seguridad. Restablece los incidentes de spam, virus/malware, spyware/grayware e infracciones de URL. Agregar grupos Ruta de navegación: Configuración de seguridad > Agregar grupo Puede crear grupos para administrar varios clientes de forma colectiva. Nota: los clientes deben estar asociados a un grupo. Es decir, no pueden estar fuera de un grupo. ILUSTRACIÓN 4-2. Pantalla Agregar grupo Para agregar un grupo: 1. En la pantalla Agregar grupo, actualice la siguiente información según sea necesario: Tipo de grupo: seleccione Equipo de sobremesa o Servidor. Importar configuración de un grupo: importa la configuración de seguridad del grupo seleccionado. 2. Haga clic en Guardar. 4-5

78 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Eliminar equipos y grupos de la consola Web Ruta de navegación: Configuración de seguridad > Seleccionar un grupo La función Quitar permite llevar a cabo dos tareas: Quitar el icono del cliente de la consola Web: en algunas situaciones, un cliente puede volverse inactivo (por ejemplo, cuando se reformatea o cuando el usuario deshabilita Client/Server Security Agent durante un largo periodo de tiempo). En tales casos, quizá desee eliminar el icono del equipo de la consola Web. Desinstalar Client/Server Security Agent de un cliente (y en consecuencia, quitar el icono del cliente de la consola Web): si en un equipo o servidor se ha instalado el agente Client/Server Security Agent, éste podrá activarse y aparecer en la consola Web. Para eliminar un cliente inactivo, desinstale primero Client/Server Security Agent. Desde la consola Web puede eliminar un solo equipo o todo un grupo. ADVERTENCIA: si elimina el agente de un equipo, puede exponer el equipo a virus y otros tipos de malware. Para eliminar un cliente o grupo: 1. Haga clic en el grupo o equipo que desea eliminar. 2. Haga clic en Eliminar en la barra de herramientas. Seleccione Eliminar los agentes inactivos seleccionados para eliminar el icono de cliente de la consola Web. Seleccione Desinstalar los agentes seleccionados para eliminar Client/Server Security Agent de los equipos seleccionados y para eliminar los iconos de los equipos de la consola Web. 3. Haga clic en Aplicar. Nota: no podrá eliminar el grupo si aún quedan clientes registrados en él. Para eliminar el grupo, elimine o desinstale antes los agentes. 4-6

79 Gestionar grupos Agregar clientes a grupos Worry-Free Business Security ofrece varios métodos para instalar Client/Server Security Agent. En este apartado se ofrece un resumen de los distintos métodos. Consejo: en empresas en las que las políticas de servicios informáticos se aplican de forma estricta, se recomienda realizar la instalación remota y la configuración de inicio de sesión. Página Web interna: indicar a los usuarios de la empresa que vayan a la página Web interna y descarguen los archivos de instalación de Client/Server Security Agent Configuración de inicio de sesión: automatizar la instalación de Client/Server Security Agent en equipos sin protección cuando estos inician una sesión en el dominio Client Packager: implementar los archivos de instalación o actualización de Client/Server Security Agent en los clientes a través del correo electrónico Instalar mediante notificación por correo electrónico: enviar un mensaje de correo electrónico con un enlace para el instalador Instalación remota: instalar el agente en todos los clientes con Windows Vista/2000/XP/Server 2003/Server 2008 desde la consola Web Vulnerability Scanner (TMVS): instalar Client/Server Security Agent en todos los clientes con Windows 2000/Server 2003 mediante Trend Micro Vulnerability Scanner Al agregar un equipo de sobremesa o un servidor, Security Server implementa un agente en el equipo y agrega el icono de ese cliente a la pantalla Configuración de seguridad. Una vez instalado en el cliente, el agente empezará a enviar información de seguridad a Security Server. De forma predeterminada, Security Server crea los grupos según los dominios de Windows que existan y establece una relación con cada cliente en función del nombre del equipo. Puede eliminar los grupos que Security Server ha creado además de transferir clientes de un grupo a otro. 4-7

80 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para agregar un cliente a un grupo: 1. En la pantalla Configuración de seguridad, haga clic en la herramienta Agregar de la barra de herramientas. 2. Actualice los siguientes datos según sea necesario: Tipo de equipo: el tipo de cliente. Equipo de sobremesa o servidor Servidor Microsoft Exchange Método Instalación remota: instalar el agente en el cliente de forma remota. Consulte Instalar con Instalación remota en la página 3-13 para obtener más información. Crear secuencia de comandos de inicio de sesión para dominio: instalar el agente mediante una secuencia de comandos de inicio de sesión para dominio. La próxima vez que el cliente inicie sesión en la red, el agente se instalará. Consulte Instalar con Configuración de inicio de sesión en la página 3-6 para obtener más información. Información sobre el servidor Microsoft Exchange Nombre del servidor: nombre o dirección IP del servidor Microsoft Exchange de destino. Cuenta: Nombre de cuenta de administrador de dominio integrada. Contraseña: Contraseña de cuenta de administrador de dominio integrada. 3. Haga clic en Siguiente. Siga las instrucciones que aparecerán en la pantalla. 4-8

81 Gestionar grupos Mover clientes Ruta de navegación: Configuración de seguridad > Seleccionar un grupo WFBS-A ofrece la opción de mover clientes de un grupo a otro o de un Security Server a otro. ILUSTRACIÓN 4-3. Pantalla Mover equipo de sobremesa/servidor Para mover un cliente de un grupo a otro: 1. En la pantalla Configuración de seguridad, seleccione el Grupo y, a continuación, el cliente. 2. Arrastre el cliente a otro Grupo. El cliente heredará la configuración del nuevo grupo. Para mover un cliente de un servidor Security Server a otro: 1. En la pantalla Configuración de seguridad, seleccione el Grupo y, a continuación, el cliente. 2. Haga clic en Mover. 3. Escriba el nombre y el número de puerto del nuevo servidor. Puede obtener el número de puerto en la pantalla Configuración de seguridad si hace clic en un servidor (consulte Ilustración 4-1. Pantalla Configuración de seguridad en la que se muestran los clientes en un grupo). El número de puerto aparece en la parte superior. 4. Haga clic en Mover. 4-9

82 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Replicar la configuración de un grupo Utilice Replicar configuración para copiar la configuración de un grupo de la red a otro. La configuración se aplicará a todos los clientes que formen parte del grupo de destino. Ruta de navegación: Configuración de seguridad > Seleccionar un grupo ILUSTRACIÓN 4-4. Pantalla Replicar configuración Para replicar la configuración de un grupo a otro: 1. En la pantalla Configuración de seguridad, seleccione el grupo de origen cuya configuración desea replicar en otros grupos. 2. Haga clic en Replicar configuración. 3. Seleccione los grupos de destino que deben heredar la configuración del grupo de origen. 4. Haga clic en Aplicar. 4-10

83 Gestionar grupos Importar y exportar configuración Puede guardar la configuración de los equipos de sobremesa y servidores e importarla más adelante para equipos y servidores nuevos. La configuración se guarda como un archivo de datos (.dat). Se pueden importar y exportar los siguientes parámetros de configuración: En Configuración de seguridad: Antivirus/Antispyware, Cortafuegos, Reputación Web, Filtrado de URL, Supervisión del comportamiento, Barra de herramientas de Trend Secure, Exploración de correo, Derechos del cliente, Poner en cuarentena En Exploraciones: Exploración manual, Exploración programada Nota: puede importar o exportar la configuración entre equipos de sobremesa y servidores. La configuración no depende de un tipo de grupo. Para importar la configuración: 1. En la pantalla Configuración de seguridad, seleccione un equipo de sobremesa o servidor. 2. Haga clic en Importar. Aparecerá la pantalla Importar configuración. 3. Haga clic en Examinar, busque el archivo y, a continuación, haga clic en Importar. Para exportar la configuración: 1. En la pantalla Configuración de seguridad, seleccione un equipo de sobremesa o servidor. 2. Haga clic en Exportar. Aparecerá la pantalla Exportar configuración. 3. Haga clic en Exportar. En el cuadro de diálogo de Windows, haga clic en Guardar y seleccione una ubicación. Para exportarla a uno o varios dominios que también gestione este servidor, use la opción Replicar configuración. 4-11

84 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

85 Capítulo 5 Gestionar la configuración de seguridad básica En este capítulo se explica cómo definir la configuración para proteger la red. Este capítulo incluye los siguientes temas: Opciones de grupos de equipos de sobremesa y servidores a partir de la página 5-2 Tipos de exploración a partir de la página 5-3 Configurar la exploración en tiempo real a partir de la página 5-5 Administración del cortafuegos a partir de la página 5-8 Utilizar la reputación Web a partir de la página 5-16 Configuración del filtrado de URL a partir de la página 5-18 Utilizar la supervisión de comportamiento a partir de la página 5-19 TrendSecure a partir de la página 5-25 Administración de POP3 Mail Scan a partir de la página 5-27 Derechos del cliente a partir de la página 5-28 Administración del directorio de cuarentena a partir de la página

86 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Opciones de grupos de equipos de sobremesa y servidores Los grupos en WFBS-A son una agrupación de clientes que comparten la misma configuración y ejecutan las mismas tareas. La agrupación de clientes permite configurar y gestionar varios clientes a la vez. Para obtener más información, consulte Información general sobre los grupos en la página 4-2. Los siguientes elementos están accesibles si se selecciona un grupo en la pantalla Configuración de seguridad y se hace clic en Configurar: TABLA 5-1. Opciones de configuración en grupos de equipos de sobremesa y servidores Opción Descripción Predeterminadas Método de exploración Antivirus/ Antispyware Cortafuegos Reputación Web Supervisión del comportamiento Filtrado de URL Cambiar entre la exploración inteligente y la exploración convencional Configure las opciones de exploración en tiempo real, antivirus y antispyware. Configure las opciones del cortafuegos. Configure las opciones de reputación Web para la oficina o fuera de la oficina. Configure las opciones de supervisión de comportamiento. El filtrado de URL bloquea los sitios Web que infringen las políticas configuradas. Exploración convencional (para actualización) Exploración inteligente (para instalación nueva) Activada (exploración en tiempo real) Desactivada En la oficina: activada (nivel bajo) Fuera de la oficina: activada (nivel medio) Habilitado para grupos de equipos de sobremesa Desactivado para grupos de servidores Activada 5-2

87 Gestionar la configuración de seguridad básica TABLA 5-1. Opciones de configuración en grupos de equipos de sobremesa y servidores (continuación) Opción Descripción Predeterminadas TrendSecure POP3 Mail Scan Derechos del cliente Poner en cuarentena Configure las opciones de Transaction Protector y TrendProtect para la oficina o fuera de la oficina. Configure la exploración de mensajes de correo electrónico POP3. Configure el acceso a los parámetros de configuración desde la consola del cliente. Especifique el directorio de cuarentena. En la oficina: desactivada Fuera de la oficina: activada Desactivada N/D N/D Nota: la configuración de otros clientes como, por ejemplo, el filtrado de contenidos de IM, se aplica a todos los clientes y puede acceder a ella mediante la pestaña Equipo de sobremesa/servidor situada en la pantalla Preferencias > Configuración general. Tipos de exploración La exploración antivirus es el componente central de la estrategia de Worry-Free Business Security. Durante una exploración, el motor de exploración de Trend Micro trabaja junto con el archivo de patrones de virus para realizar el primer nivel de detección mediante un proceso denominado coincidencia de patrones. Puesto que cada virus contiene una firma única o cadena de caracteres delatores que lo diferencian de cualquier otro código, los expertos antivirus de TrendLabs capturan fragmentos inertes de este código en el archivo de patrones. El motor compara a continuación determinadas partes de cada archivo explorado con el archivo de patrones de virus en busca de coincidencias. 5-3

88 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Cuando el motor de exploración detecta un archivo que contiene un virus u otro tipo de malware, ejecuta una acción como limpiar, poner en cuarentena, eliminar o sustituir con texto u otro archivo. Estas acciones se pueden personalizar cuando se definen las tareas de exploración. WFBS-A ofrece tres tipos de exploraciones para proteger a sus clientes de las amenazas de Internet: Exploración en tiempo real: la exploración en tiempo real es un proceso continuo. Cada vez que se recibe, abre, descarga, copia o modifica un archivo, la exploración en tiempo real explora el archivo en busca de amenazas. En el caso de los mensajes de correo electrónico, Messaging Security Agent protege todos los puntos de entrada de virus posibles mediante la exploración en tiempo real de todos los mensajes entrantes, mensajes SMTP, documentos publicados en carpetas públicas y archivos replicados desde otros servidores Microsoft Exchange. Exploración manual: la exploración manual funciona a petición. La exploración manual elimina las amenazas de los archivos. Esta exploración también elimina las infecciones antiguas, si las hay, para minimizar el riesgo de reinfección. Durante una exploración manual, los agentes realizan acciones contra las amenazas según las acciones establecidas por el administrador (o el usuario). Para detener la exploración, haga clic en Detener exploración cuando la exploración esté en curso. Nota: el tiempo que tarde la exploración dependerá de los recursos de hardware del cliente y del número de archivos que deban explorarse. Exploración programada: la exploración programada es similar a la exploración manual, pero explora todos los archivos y mensajes de correo electrónico a la hora y frecuencia configuradas. Utilice las exploraciones programadas para automatizar las exploraciones rutinarias de los clientes y mejorar la eficacia de la gestión de amenazas. Para configurar una exploración programada, haga clic en Exploraciones > Exploración programada. Consulte Programar exploraciones para obtener más información. Nota: no confunda los tipos de exploración arriba mencionados con los métodos de exploración. El método de exploración hace referencia a la exploración inteligente y a la exploración convencional (Métodos de exploración en la página 8-2). 5-4

89 Gestionar la configuración de seguridad básica Configurar la exploración en tiempo real Ruta de navegación: Configuración de seguridad > Seleccionar grupo > Configurar > Antivirus/Antispyware ILUSTRACIÓN 5-1. Pantalla Configuración de seguridad > Antivirus/Antispyware Para configurar la exploración en tiempo real: 1. En la pestaña Destino de la pantalla Antivirus/Antispyware, actualice la siguiente información si es necesario: Activar antivirus/antispyware en tiempo real Archivos para explorar Todos los archivos explorables: solo quedan excluidos los archivos cifrados o protegidos por contraseña. IntelliScan: explora los archivos basándose en el tipo de archivo verdadero. Consulte IntelliScan en la página C-4 para obtener más información. Explorar archivos con las siguientes extensiones: WFBS-A explorará los archivos con las extensiones seleccionadas. Separe las distintas entradas mediante comas (,). 5-5

90 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Seleccione cuándo desea explorar los archivos Explorar archivos creados, modificados o recuperados Explorar archivos recuperados Explorar archivos creados o modificados Exclusiones: excluye de la exploración determinados archivos, carpetas o archivos de una extensión concreta. Activar exclusiones No explorar los directorios de instalación de los productos de Trend Micro No explorar los siguientes directorios: escriba el nombre de la carpeta que no desee incluir en la exploración. Haga clic en Agregar. Para eliminar una carpeta, selecciónela y haga clic en Eliminar. No explorar los siguientes archivos: escriba el nombre del archivo que no desee incluir en la exploración. Haga clic en Agregar. Para eliminar un archivo, selecciónelo y haga clic en Eliminar. No explorar archivos con las siguientes extensiones: escriba el nombre de la extensión que no desee incluir en la exploración. Haga clic en Agregar. Para eliminar una extensión, selecciónela y haga clic en Eliminar. Nota: si el servidor Microsoft Exchange se está ejecutando en el cliente, Trend Micro recomienda excluir todas las carpetas del servidor Microsoft Exchange de la exploración. Para excluir la exploración de las carpetas de servidores Microsoft Exchange de forma general, vaya a Preferencias > Configuración general, haga clic en la pestaña Equipo de sobremesa/servidor y, a continuación, seleccione Excluir las carpetas del servidor Microsoft Exchange cuando se instala en un servidor Microsoft Exchange. Configuración avanzada Activar IntelliTrap (para antivirus): IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte IntelliTrap en la página C-7 para obtener más información. Explorar unidades asignadas y carpetas compartidas de la red (para antivirus) 5-6

91 Gestionar la configuración de seguridad básica Explorar disquete durante el apagado del sistema (para antivirus) Explorar archivos comprimidos (para antivirus): seleccione el número de capas que desee explorar. Lista de spyware/grayware permitido (para antispyware): esta lista contiene los detalles de las aplicaciones spyware/grayware permitidas. Haga clic en el enlace para actualizar la lista. Consulte Editar la lista de spyware/grayware permitido en la página 8-7 para obtener más información. 2. En la pestaña Acción de la pantalla Antivirus/Antispyware, especifique cómo actuará WFBS-A ante las amenazas detectadas: Acción para las detecciones de virus ActiveAction: utilice las acciones preconfiguradas de Trend Micro para las amenazas. Consulte ActiveAction en la página C-4 para obtener más información. Ejecutar la misma acción para todas las amenazas de Internet detectadas: seleccione Omitir, Eliminar, Cambiar nombre, Poner en cuarentena o Limpiar. Si selecciona Limpiar, ajuste la acción para una amenaza que no se puede limpiar. Acción personalizada para las siguientes amenazas detectadas: seleccione Omitir, Eliminar, Cambiar nombre, Poner en cuarentena o Limpiar para cada tipo de amenaza. Si selecciona Limpiar, ajuste la acción para una amenaza que no se puede limpiar. Crear copia antes de limpiar: guarda una copia del archivo infectado en el directorio siguiente del cliente: C:\Archivos de programa\trend Micro\Client Server Security Agent\Backup Acción para detecciones de spyware/grayware Limpiar: durante la limpieza de spyware/grayware, WFBS-A podría eliminar entradas de registro relacionadas, archivos, cookies y accesos directos. Los procesos relacionados con spyware/grayware también podrían terminarse. Denegar acceso ADVERTENCIA: al denegar que el spyware/grayware acceda al equipo, no significa que la amenaza se elimine de los clientes infectados. 5-7

92 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configuración avanzada Mostrar mensaje de alerta en el equipo de sobremesa o en el servidor al detectar un virus/spyware 3. Haga clic en Guardar. También puede configurar las personas que reciben notificaciones cuando tiene lugar un suceso. Consulte Configurar notificaciones de sucesos en la página 9-3. Administración del cortafuegos Ayude a proteger a los clientes de los ataques de los hackers y los virus de red creando una barrera entre el cliente y la red. El cortafuegos puede bloquear o permitir determinados tipos de tráfico de red. Asimismo, el cortafuegos identifica patrones de los paquetes de red que pueden indicar un ataque a los clientes. WFBS-A ofrece dos opciones para configurar el cortafuegos: el modo simple y el modo avanzado. El modo simple activa el cortafuegos con la configuración predeterminada recomendada por Trend Micro. Utilice el modo avanzado para personalizar la configuración del cortafuegos. Consejo: Trend Micro recomienda desinstalar otros cortafuegos basados en software antes de implementar y activar el cortafuegos. Configuración predeterminada del cortafuegos en modo simple El cortafuegos proporciona una configuración predeterminada como base para iniciar la estrategia de protección del cortafuegos de cliente. Esta configuración predeterminada incluye las condiciones más habituales que pueden existir en los clientes, como la necesidad de acceder a Internet y descargar o cargar archivos con FTP. Nota: de forma predeterminada, WFBS-A desactiva el cortafuegos en todos los grupos y clientes nuevos. 5-8

93 Gestionar la configuración de seguridad básica TABLA 5-2. Configuración predeterminada del Cortafuegos Nivel de seguridad Baja Descripción Se permite el tráfico entrante y saliente; solo se bloquean los virus de red. Configuración Sistema de detección de intrusiones Mensaje de alerta (enviar) Estado Desactivada Desactivada Nombre de excepción Acción Dirección Protocolo Puerto DNS Permitir Entrante y saliente TCP/UDP 53 NetBIOS Permitir Entrante y saliente TCP/UDP 137, 138, 139, 445 HTTPS Permitir Entrante y saliente TCP 443 HTTP Permitir Entrante y saliente TCP 80 Telnet Permitir Entrante y saliente TCP 23 SMTP Permitir Entrante y saliente TCP 25 FTP Permitir Entrante y saliente TCP 21 POP3 Permitir Entrante y saliente TCP 110 MSA Permitir Entrante y saliente TCP 16372, Ubicación En la oficina Fuera de la oficina Configuración del cortafuegos Desactivado Desactivado 5-9

94 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Filtrado de tráfico El cortafuegos supervisa todo el tráfico entrante y saliente, lo que permite bloquear determinados tipos de tráfico según los criterios que se indican a continuación: Dirección (entrante o saliente) Protocolo (TCP/UDP/ICMP) Puertos de destino Equipo de destino Buscar virus de red El cortafuegos examina cada paquete de datos para determinar si está infectado por un virus de red. Inspección de estado El cortafuegos incluye funciones de inspección de estado y supervisa todas las conexiones con el cliente para garantizar que las transacciones efectuadas sean válidas. Identifica condiciones específicas de cualquier transacción, predice las acciones que pueden suceder a continuación y detecta las violaciones de las condiciones normales. Por lo tanto, las decisiones de filtrado se basan no solo en los perfiles y las políticas, sino también en el contexto establecido a partir del análisis de las conexiones y el filtrado de paquetes que ya han pasado a través del cortafuegos. Sistema de detección de intrusiones El cortafuegos también incluye un sistema de detección de intrusiones (IDS). El sistema IDS ayuda a identificar patrones de los paquetes de red que pueden ser síntoma de un ataque al cliente. El cortafuegos impide las siguientes intrusiones conocidas: Fragmentos de gran tamaño: este exploit contiene fragmentos extremadamente grandes en el datagrama IP. Algunos sistemas operativos no gestionan correctamente los fragmentos grandes y pueden emitir excepciones o comportarse de otras formas no deseadas. Ping de la muerte: un ping de la muerte (abreviado POD ) es un tipo de ataque a un equipo que implica el envío de un ping mal construido o malicioso a dicho equipo. Un ping suele tener 64 bytes de tamaño (u 84 bytes si se considera el encabezado IP); muchos sistemas informáticos no pueden gestionar un ping mayor al tamaño máximo de paquete IP, que consta de bytes. El envío de un ping de este tamaño puede colapsar el equipo de destino. 5-10

95 Gestionar la configuración de seguridad básica ARP en conflicto: esto ocurre cuando la dirección IP de origen y la dirección IP de destino son idénticas. Desbordamiento SYN: un desbordamiento SYN es una forma de ataque de denegación de servicio en la que un atacante envía una secuencia de solicitudes SYN a un sistema de destino. Solapamiento de fragmentos: este exploit contiene dos fragmentos en el mismo datagrama IP y tiene offsets que indican que comparten la misma posición en el datagrama. Esto puede significar que el fragmento B sobrescribe totalmente el fragmento A, o que el fragmento B sobrescribe parcialmente el fragmento A. Algunos sistemas operativos no gestionan correctamente el solapamiento de fragmentos y pueden emitir excepciones o comportarse de otras formas no deseadas. Esta es la base de los ataques teardrop de denegación de servicio. Ataque teardrop: el ataque teardrop implica el envío de fragmentos IP con rutinas de gran tamaño que se solapan en el equipo de destino. Un error en el código de ensamblado de fragmentación TCP/IP de varios sistemas operativos ha provocado una gestión inadecuada de los fragmentos y estos se han colapsado. Ataque con fragmentos pequeños: cuando un fragmento que no sea el fragmento final es inferior a 400 bytes, lo que indica que es probable que el fragmento se haya creado intencionadamente. Los fragmentos pequeños se pueden utilizar en los ataques de denegación de servicio o al intentar evitar las medidas de seguridad o detección. IGMP fragmentado: cuando un cliente recibe un paquete IGMP (Protocolo de gestión de grupos de Internet) fragmentado, el rendimiento del cliente puede disminuir o el equipo puede dejar de responder (se puede colgar), en cuyo caso será necesario reiniciarlo para restaurar la funcionalidad. Ataque LAND: un ataque LAND es un ataque DoS (denegación de servicio) que consiste en enviar un paquete especial falseado y envenenado a un equipo, lo que hará que el equipo se comporte de forma no deseada. El ataque implica el envío de un paquete TCP SYN falseado (iniciación de conexión) con la dirección IP del host de destino y un puerto abierto definido como origen y destino. 5-11

96 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Inspección de estado El cortafuegos incluye funciones de inspección de estado y supervisa todas las conexiones con el cliente para garantizar que las transacciones efectuadas sean válidas. Identifica condiciones específicas de cualquier transacción, predice las acciones que pueden suceder a continuación y detecta las violaciones de las condiciones normales. Por lo tanto, las decisiones de filtrado se basan no solo en los perfiles y las políticas, sino también en el contexto establecido a partir del análisis de las conexiones y el filtrado de paquetes que ya han pasado a través del cortafuegos. Configurar el cortafuegos Nota: configure el cortafuegos para la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las conexiones Fuera de la oficina. Consulte Conocimiento de ubicación en la página Ruta de navegación: Configuración de seguridad > Seleccionar grupo > Configurar > Cortafuegos > En la oficina/fuera de la oficina ILUSTRACIÓN 5-2. Cortafuegos - En la oficina 5-12

97 Gestionar la configuración de seguridad básica Para configurar el cortafuegos: 1. En la pantalla Cortafuegos, actualice las siguientes opciones según sea necesario: Activar cortafuegos: seleccione esta opción para activar el cortafuegos con respecto a este grupo y ubicación. Modo simple: activa el cortafuegos con la configuración predeterminada. Consulte Configuración predeterminada del Cortafuegos en la página 5-9. Modo avanzado: activa el cortafuegos con una configuración personalizada. Consulte Opciones avanzadas del cortafuegos en la página 5-13 para conocer las opciones de configuración. 2. Haga clic en Guardar. Los cambios surtirán efecto inmediatamente. Opciones avanzadas del cortafuegos Utilice las opciones avanzadas del cortafuegos para definir una configuración personalizada del cortafuegos con respecto a un grupo determinado de clientes. Para configurar las opciones avanzadas del cortafuegos: 1. En la pantalla Cortafuegos, seleccione Modo avanzado. 2. Actualice las siguientes opciones si es necesario: Nivel de seguridad: el nivel de seguridad controla las reglas de tráfico que se aplicarán en puertos que no estén en la lista de excepciones. Alto: bloquea el tráfico entrante y saliente. Medio: bloquea el tráfico entrante y permite el saliente. Baja: permite el tráfico entrante y saliente. Configuración Activar el sistema de detección de intrusiones: el sistema de detección de intrusiones identifica patrones en paquetes de red que pueden indicar un ataque. Consulte Sistema de detección de intrusiones en la página 5-10 para obtener más información. Activar mensajes de alerta: cuando WFBS-A detecta una infracción, el cliente recibe una notificación al respecto. Excepciones: los puertos de la lista de excepciones no se bloquearán. Consulte Trabajar con las excepciones del cortafuegos en la página 5-14 para obtener más información. 3. Haga clic en Guardar. 5-13

98 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Desactivar el cortafuegos Ruta de navegación: Configuración de seguridad > Seleccionar grupo > Configurar > Cortafuegos > En la oficina/fuera de la oficina Para desactivar el cortafuegos: 1. Para desactivar el cortafuegos para el grupo y el tipo de conexión, desmarque la casilla de verificación Activar cortafuegos. 2. Haga clic en Guardar. Nota: Para desactivar el cortafuegos en todos los clientes vaya a Preferencias > Configuración general > Equipo de sobremesa/servidor y seleccione Desactivar cortafuegos y desinstalar los controladores en Configuración de cortafuegos. Trabajar con las excepciones del cortafuegos Las excepciones constan de determinados parámetros de configuración que permiten o bloquean distintos tipos de tráfico en función de la dirección, el protocolo, el puerto y los equipos. Por ejemplo, durante una epidemia puede optar por bloquear todo el tráfico del cliente, incluido el del puerto HTTP (puerto 80). No obstante, si desea conceder a los clientes bloqueados el acceso a Internet, puede añadir el servidor proxy de Internet a la lista de excepciones. Agregar excepciones Para agregar una excepción: 1. En la pantalla Cortafuegos - Modo avanzado de la sección Excepciones, haga clic en Agregar. 2. Actualice las opciones según sea necesario: Nombre: especifique un nombre único para la excepción. Acción: Bloquear o Permitir el tráfico del protocolo, puertos y clientes seleccionados. Dirección: Entrante se refiere al tráfico proveniente de Internet hacia la red. Saliente se refiere al tráfico proveniente de la red hacia Internet. 5-14

99 Gestionar la configuración de seguridad básica Protocolo: protocolo de tráfico de red para esta exclusión. Puertos Todos los puertos (predeterminada) Intervalo Puertos especificados: separe las entradas entre sí mediante comas. Equipo Todas las direcciones IP (predeterminada) Rango IP IP única: dirección IP de un cliente determinado. 3. Haga clic en Guardar. Aparecerá la pantalla Configuración del cortafuegos junto con la nueva excepción de la lista de excepciones. Editar excepciones Para editar una excepción: 1. En la pantalla Cortafuegos - Modo avanzado de la sección Excepciones, seleccione la exclusión que desee editar. 2. Haga clic en Editar. 3. Actualice las opciones según sea necesario. Consulte Agregar excepciones en la página 5-14 para obtener más información. 4. Haga clic en Guardar. Eliminar excepciones Para eliminar una excepción: 1. En la pantalla Cortafuegos - Modo avanzado de la sección Excepciones, seleccione la exclusión que desee eliminar. 2. Haga clic en Eliminar. 5-15

100 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Utilizar la reputación Web La reputación Web ayuda a prevenir el acceso a las direcciones URL que pueden suponer un riesgo para la seguridad ya que contrasta cualquier URL solicitada con la base de datos de Trend Micro Web Security. En función de la ubicación (En la oficina/fuera de la oficina) del cliente, se deberá configurar un nivel de seguridad distinto. Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura, agréguela a la lista de URL permitidas. Para obtener información sobre cómo agregar una dirección URL a la lista de direcciones URL permitidas, consulte Reputación Web y URL permitidas en la página 10-9 para obtener más información. Configurar la reputación Web Ruta de navegación: Configuración de seguridad > Seleccionar grupo > Configurar > Reputación Web > En la oficina/fuera de la oficina Web Reputation evalúa el posible riesgo de seguridad de todas las URL solicitadas mediante una consulta a la base de datos de seguridad de Trend Micro en el momento de realizar cada solicitud HTTP. Nota: configure la reputación Web para el uso en la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las conexiones Fuera de la oficina. Consulte Conocimiento de ubicación en la página ILUSTRACIÓN 5-3. Pantalla Configuración de seguridad > Reputación Web 5-16

101 Gestionar la configuración de seguridad básica Para editar la configuración de la reputación Web: 1. En la pantalla Reputación Web, actualice la siguiente información si es necesario: Activar Reputación Web Nivel de seguridad Alto: bloquea las páginas que se ha comprobado que son fraudulentas u orígenes de amenazas, se sospecha que son fraudulentas u orígenes de amenazas, están asociadas a spam o posiblemente están comprometidas o no están clasificadas. Medio: bloquea páginas que se ha comprobado que son fraudulentas u orígenes de amenazas, son sospechosas de ser fraudulentas u orígenes de amenazas. Baja: bloquea páginas que se han comprobado que son fraudulentas u orígenes de amenazas. 2. Para modificar la lista de sitios Web aprobados, haga clic en URL aprobadas mundiales y modifique la configuración en la pantalla Configuración general. 3. Haga clic en Guardar. 5-17

102 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configuración del filtrado de URL Ruta de navegación: Configuración de seguridad > Seleccionar grupo > Configurar > Filtrado de URL Use el filtrado de URL para bloquear contenido no deseado de Internet. Puede seleccionar tipos específicos de sitios Web y bloquearlos durante distintas horas del día si selecciona Personalizar. También puede definir Horario laboral y Tiempo libre para bloquear sitios Web a distintas horas del día. ILUSTRACIÓN 5-4. Configuración de seguridad > pantalla Filtrado de URL Para configurar el filtrado de URL: 1. En la pantalla Filtrado de URL, actualice la siguiente información si es necesario: Activar el filtrado de URL Intensidad del filtro Alta: bloquea amenazas de seguridad conocidas o potenciales, contenido inapropiado u ofensivo, contenido que puede afectar a la productividad o al ancho de banda y páginas sin clasificar. Media: bloquea amenazas de seguridad conocidas y contenido inapropiado. 5-18

103 Gestionar la configuración de seguridad básica Baja: bloquea las amenazas de seguridad conocidas. Personalizada: seleccione sus categorías e indique si desea bloquearlas durante el horario laboral o el tiempo libre. 2. Especifique el Horario laboral. 3. Para modificar la lista de sitios Web aprobados, haga clic en URL aprobadas mundiales y modifique la configuración en la pantalla Configuración general. 4. Haga clic en Guardar. Utilizar la supervisión de comportamiento Los agentes supervisan constantemente los clientes para detectar modificaciones inusuales del sistema operativo o del software instalado. Los administradores (o los usuarios) pueden crear listas de excepciones que permitan que algunos programas se inicien mientras infringen un cambio supervisado, o que bloqueen completamente algunos programas. Asimismo, los programas con firma digital válida pueden ejecutarse en todo momento. Consulte la siguiente tabla para ver la descripción y el valor predeterminado de los cambios que se supervisan. TABLA 5-3. Posibles cambios supervisados Cambio supervisado Archivos de sistema duplicados Modificar el archivo Hosts Descripción Muchos programas maliciosos crean copias de sí mismos o de otros programas maliciosos utilizando los mismos nombres de archivo que el sistema Windows. Esto se hace generalmente para sobrescribir o sustituir archivos del sistema, evitar la detección o disuadir a los usuarios de que no eliminen los archivos maliciosos. El archivo Hosts asocia nombres de dominio con direcciones IP. Muchos programas maliciosos modifican el archivo Hosts para redirigir al explorador Web a sitios Web infectados, inexistentes o falsos. Valor predeterminado Preguntar en caso necesario Bloquear siempre 5-19

104 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 5-3. Posibles cambios supervisados (continuación) Cambio supervisado Comportamiento sospechoso Modificar los archivos del sistema Nuevo complemento de Internet Explorer Modificar la configuración de Internet Explorer Modificar las políticas de seguridad Modificar la política de cortafuegos Descripción El comportamiento sospechoso puede ser una acción específica o una serie de acciones que no suelen realizar los programas legítimos. Los programas con un comportamiento sospechoso se deben usar con precaución. Algunos archivos del sistema de Windows determinan el comportamiento del sistema, incluidos los programas de inicio y la configuración del salvapantallas. Muchos programas maliciosos modifican los archivos del sistema para iniciarse automáticamente durante el inicio y controlar el comportamiento del sistema. Los programas de spyware/grayware a menudo instalan complementos de Internet Explorer no deseados, incluidas barras de herramientas y objetos de ayuda del explorador. Muchos virus/malware cambian la configuración de Internet Explorer, incluida la página de inicio, sitios Web de confianza, configuración del servidor proxy y extensiones de menú. Las modificaciones de las políticas de seguridad de Windows pueden permitir que aplicaciones no deseadas se ejecuten y cambien la configuración del sistema. La política de cortafuegos de Windows determina las aplicaciones que tienen acceso a la red, los puertos abiertos para la comunicación y las direcciones IP que pueden comunicarse con el equipo. Muchos programas maliciosos modifican la política para poder acceder a la red y a Internet. Valor predeterminado Preguntar en caso necesario Bloquear siempre Preguntar en caso necesario Bloquear siempre Bloquear siempre Preguntar en caso necesario 5-20

105 Gestionar la configuración de seguridad básica TABLA 5-3. Posibles cambios supervisados (continuación) Cambio supervisado Inyección de biblioteca de programas Modificar el shell Nuevo servicio Modificar los procesos del sistema Nuevo programa de inicio Descripción Muchos programas maliciosos configuran Windows de forma que todas las aplicaciones carguen automáticamente una biblioteca de programas (DLL). Esto permite que las rutinas maliciosas de la DLL se ejecuten cada vez que se inicia una aplicación. Muchos programas maliciosos modifican la configuración del shell de Windows para asociarse a determinados tipos de archivo. Esta rutina permite que los programas maliciosos se inicien automáticamente si los usuarios abren los archivos asociados en el Explorador de Windows. Los cambios en la configuración del shell de Windows también permiten que los programas maliciosos hagan un seguimiento de los programas utilizados y se inicien junto con aplicaciones legítimas. Los servicios de Windows son procesos que tienen funciones especiales y generalmente se ejecutan continuamente en segundo plano con acceso administrativo completo. Los programas maliciosos a veces se instalan como servicios para permanecer ocultos. Numerosos programas maliciosos llevan a cabo acciones en procesos integrados de Windows. Entre estas acciones se pueden incluir terminar o modificar procesos en ejecución. Muchos programas maliciosos configuran Windows de forma que todas las aplicaciones carguen automáticamente una biblioteca de programas (DLL). Esto permite que las rutinas maliciosas de la DLL se ejecuten cada vez que se inicia una aplicación. Valor predeterminado Preguntar en caso necesario Preguntar en caso necesario Preguntar en caso necesario Preguntar en caso necesario Preguntar en caso necesario 5-21

106 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Otra función de la supervisión de comportamiento consiste en impedir que se eliminen o modifiquen los archivos EXE y DLL. Los usuarios que dispongan de este privilegio pueden proteger las carpetas que especifiquen. Además, pueden optar por proteger de forma colectiva todos los programas QuickBooks. Configurar la supervisión del comportamiento Ruta de navegación: Configuración de seguridad > Seleccionar un grupo > Configurar > Supervisión de comportamiento La supervisión de comportamiento protege los clientes de cambios no autorizados en el sistema operativo, las entradas del registro, otro software o los archivos y carpetas. ILUSTRACIÓN 5-5. Pantalla Supervisión de comportamiento 5-22

107 Gestionar la configuración de seguridad básica Para editar la configuración de la supervisión de comportamiento: 1. En la pantalla Supervisión de comportamiento, actualice la siguiente información según sea necesario: Activar Supervisión de comportamiento Nota: acceda a Configuración de seguridad > Seleccionar grupo > Configurar > Derechos del cliente y seleccione Editar la lista de excepciones en la sección Supervisión de comportamiento. Activar la protección de Intuit QuickBooks : protege todos los archivos y carpetas de Intuit QuickBooks de los cambios no autorizados realizados por otros programas. La activación de esta función no afecta a los cambios realizados desde los programas de Intuit QuickBooks, solo evitará que se realicen cambios en los archivos desde otras aplicaciones no autorizadas. Se admiten los siguientes productos: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Evita que se abran automáticamente las aplicaciones de los dispositivos USB: seleccione esta opción para que los programas de los dispositivos USB no se ejecuten automáticamente en los clientes. Posibles cambios supervisados: seleccione Permitir siempre, Preguntar en caso necesario o Bloquear siempre por cada cambio supervisado. Consulte la Tabla 5-3 en la página 5-19 para obtener información sobre los distintos cambios. Excepciones: las excepciones pueden ser una Lista de programas permitidos y una Lista de programas bloqueados: los programas de la Lista de programas permitidos pueden iniciarse incluso si ello infringe un cambio supervisado, mientras que los programas de la Lista de programas bloqueados no pueden iniciarse nunca. 5-23

108 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ruta completa del programa: Escriba la ruta completa de Windows o UNC del programa. Separe las distintas entradas mediante punto y coma (;). Haga clic en Agregar a lista de permitidos o Agregar a lista de bloqueados. Si es necesario, utilice variables de entorno para especificar rutas. Consulte la Tabla 5-4 en la página 5-24 para ver una lista de las variables admitidas. Lista de programas permitidos: los programas de esta lista (un máximo de 100) pueden iniciarse. Haga clic en el icono correspondiente para eliminar una entrada. Lista de programas bloqueados: los programas de esta lista (un máximo de 100) nunca pueden iniciarse. Haga clic en el icono correspondiente para eliminar una entrada. 2. Haga clic en Guardar. Variables de entorno WFBS-A admite las variables de entorno para especificar carpetas determinadas en el cliente. Utilice estas variables para crear excepciones para las carpetas que especifique. En la siguiente tabla se describen las variables disponibles: TABLA 5-4. Variables admitidas Variable de entorno $windir$ $rootdir$ $tempdir$ $programdir$ Señala a... Carpeta Windows Carpeta raíz Carpeta temporal de Windows Carpeta Archivos de programa 5-24

109 Gestionar la configuración de seguridad básica TrendSecure TrendSecure consta de un conjunto de herramientas basadas en explorador (TrendProtect y Transaction Protector) que permiten a los usuarios navegar por Internet de forma segura. TrendProtect advierte a los usuarios sobre sitios Web maliciosos y de phishing. Transaction Protector determina la seguridad de su conexión inalámbrica mediante la comprobación de la autenticidad del punto de acceso. TrendSecure añade una barra de herramientas de explorador que cambia de color en función de la seguridad de la conexión inalámbrica. Puede hacer clic en el botón de la barra de herramientas para acceder a las siguientes funciones: Asesor de Wi-Fi: comprueba la seguridad de las redes inalámbricas en función de la validez de su identificador de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Clasificaciones de páginas: determina la seguridad de la página actual. Nota: configure los parámetros de TrendSecure para el uso en la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las conexiones Fuera de la oficina. Consulte Conocimiento de ubicación en la página Configurar TrendSecure Ruta de navegación: Configuración de seguridad > Seleccionar grupo > Configurar > Barras de herramientas de TrendSecure > En la oficina/fuera de la oficina Puede configurar la disponibilidad de las herramientas de TrendSecure para los usuarios en función de su ubicación. 5-25

110 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 ILUSTRACIÓN 5-6. Pantalla Barras de herramientas de TrendSecure - En la oficina Para editar la disponibilidad de las herramientas de TrendSecure: 1. En la pantalla En la oficina/fuera de la oficina de TrendSecure, actualice la siguiente información según sea necesario: Activar Asesor de Wi-Fi: comprueba la seguridad de las redes inalámbricas en función de la validez de su identificador de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Activar clasificaciones de páginas: determina la seguridad de la página actual. 2. Haga clic en Guardar. Nota: las barras de herramientas de TrendSecure solo están disponibles para los agentes de la consola Web. Los usuarios deben instalar o desinstalar las herramientas desde la consola del agente. 5-26

111 Gestionar la configuración de seguridad básica Administración de POP3 Mail Scan POP3 Mail Scan y el complemento de barra de herramientas antispam de Trend Micro protegen los equipos en tiempo real frente a riesgos de seguridad y spam transmitidos a través de mensajes de correo electrónico POP3. Nota: de manera predeterminada, POP3 Mail Scan solo puede explorar mensajes nuevos enviados mediante el puerto 110 a las carpetas de la bandeja de entrada y del correo no deseado. No es compatible con el correo POP3 seguro (SSL-POP3), que utiliza Exchange Server 2007 de manera predeterminada. Requisitos de POP3 Mail Scan POP3 Mail Scan es compatible con los siguientes clientes de correo: Microsoft Outlook 2000, 2002 (XP), 2003 y 2007 Outlook Express 6.0 con Service Pack 2 (solo en Windows XP) Windows Mail (solo en Microsoft Vista) Mozilla Thunderbird 1.5 y 2.0 Nota: POP3 Mail Scan no puede detectar riesgos de seguridad ni spam en mensajes IMAP. Por lo tanto, utilice Messaging Security Agent para detectar los riesgos de seguridad y spam relativos a los mensajes IMAP. Requisitos de la barra de herramientas de Anti-Spam La barra de herramientas de Trend Micro Anti-Spam es compatible con los siguientes clientes de correo: Microsoft Outlook 2000, 2002 (XP), 2003 y 2007 Outlook Express 6.0 con Service Pack 2 (solo en Windows XP) Windows Mail (solo en Windows Vista) La barra de herramientas de Anti-Spam es compatible con los siguientes sistemas operativos: Windows XP SP2 de 32 bits Windows Vista de 32 y 64 bits 5-27

112 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configurar la exploración de correo Ruta de navegación: Configuración de seguridad > Seleccionar un grupo > Configurar > Mail Scan Para editar la disponibilidad de Mail Scan: 1. En la pantalla Mail Scan, actualice la siguiente información según sea necesario: Activar POP3 Mail Scan en tiempo real Activar la barra de herramientas antispam de Trend Micro 2. Haga clic en Guardar. Derechos del cliente Ruta de navegación: Configuración de seguridad > Seleccionar un grupo > Configurar > Derechos del cliente Otorgue derechos del cliente para permitir a los usuarios modificar la configuración del agente instalado en su equipo. Consejo: si desea aplicar una política antivirus uniforme en toda la empresa, Trend Micro recomienda conceder derechos limitados a los usuarios. Ello garantiza que los usuarios no modifiquen la configuración de exploración ni descarguen el agente Client/Server Security Agent. 5-28

113 Gestionar la configuración de seguridad básica Configurar los derechos del cliente ILUSTRACIÓN 5-7. Pantalla Derechos del cliente Para otorgar derechos a los clientes: 1. En la pantalla Derechos del cliente, actualice la siguiente información si es necesario: Antivirus/Antispyware Configuración de la exploración manual Configuración de la exploración programada 5-29

114 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configuración de la exploración en tiempo real Detener exploración programada Activar el modo roaming Cortafuegos Mostrar la pestaña Cortafuegos Permitir que los clientes activen/desactiven el cortafuegos Nota: si permite a los usuarios activar o desactivar el cortafuegos, no podrá modificar esta configuración desde la consola Web. Si no concede a los usuarios este derecho, sí podrá modificar esta configuración desde la consola Web. La información que aparece en Configuración del cortafuegos local en el agente siempre refleja la configuración realizada desde el agente, no desde la consola Web. Reputación Web Editar la lista de URL permitidas Supervisión del comportamiento Mostrar la pestaña Supervisión de comportamiento y permitir que todos los usuarios personalicen las listas: permita que los usuarios activen/desactiven la supervisión de comportamiento y configuren la lista de excepciones y la lista de protección de software. Exploración de correo Permita que los usuarios configuren la exploración en tiempo real de correo POP3. Configuración del proxy Permita que los usuarios configuren el proxy. Derechos de actualización Ejecute Actualizar ahora. Activar/desactivar la actualización programada Configuración de la actualización 5-30

115 Gestionar la configuración de seguridad básica Realice descargas desde el servidor ActiveUpdate de Trend Micro: cuando los usuarios inician una actualización, el agente recibe las actualizaciones desde el origen especificado en la pantalla Fuente de actualización. Si la actualización es errónea, los agentes intentan actualizar desde Security Server. Al seleccionar Realizar descargas desde el servidor ActiveUpdate de Trend Micro, los agentes pueden intentar actualizar desde el servidor ActiveUpdate de Trend Micro si la actualización desde Security Server no se realiza correctamente. Consejo: para asegurarse de que los agentes en los clientes portátiles se actualicen cuando están fuera de la oficina, active la opción Realizar descargas desde el servidor ActiveUpdate de Trend Micro. Activar la actualización programada Desactive la actualización del programa y la instalación de archivos Hotfix. Seguridad del cliente Alta Impide el acceso de escritura a las claves de registro y a la carpeta de instalación del cliente. Impide que se detengan los procesos y servicios del cliente. Normal: Proporciona acceso de lectura/escritura a carpetas, archivos y entradas del registro del agente. Nota: si selecciona el nivel Alto, la configuración de los permisos de acceso a las carpetas, archivos y entradas del registro del agente se hereda de la carpeta Archivos de programa (para los equipos cliente Windows Vista/XP/Server 2003/Server 2008). Por lo tanto, si la configuración de los derechos (configuración de seguridad en Windows) del archivo Windows o la carpeta de archivos de programa se establece para permitir el acceso completo de lectura/escritura, aunque seleccione Alto se estará permitiendo que los clientes tengan acceso completo de lectura/escritura a las carpetas, archivos y registros de Client/Server Security Agent. 2. Haga clic en Guardar. 5-31

116 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Administración del directorio de cuarentena En el directorio de cuarentena se almacenan los archivos infectados. El directorio de cuarentena puede residir en el mismo cliente o en otro servidor. Si se especifica un directorio de cuarentena no válido, los agentes utilizarán el directorio de cuarentena predeterminado del cliente: C:\Archivos de programa\trend Micro\Client Server Security Agent\SUSPECT La carpeta predeterminada en el servidor es: C:\Archivos de programa\trend Micro\Security Server\PCCSRV\Virus Nota: si CSA no logra enviar el archivo a Security Server por cualquier motivo (un problema de conexión de red, por ejemplo), se guardará en la carpeta Suspect del cliente. El agente intentará volver a enviar el archivo cuando se conecte a Security Server. Configurar el directorio de cuarentena Ruta de navegación: Configuración de seguridad > Seleccionar un grupo > Configurar > Cuarentena ILUSTRACIÓN 5-8. Pantalla Directorio de cuarentena 5-32

117 Gestionar la configuración de seguridad básica Para configurar el directorio de cuarentena: 1. En la pantalla Directorio de cuarentena, actualice la siguiente información si es necesario: Directorio de cuarentena: escriba la ruta de acceso URL (localizador uniforme de recursos) o UNC (convención de nomenclatura universal) en la que desee guardar los archivos infectados. Por ejemplo, o \\TempServer\Quarantine. 2. Haga clic en Guardar. 5-33

118 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

119 Capítulo 6 Administrar Messaging Security Agent En este capítulo se describe Messaging Security Agent y se explica cómo configurar las opciones de exploración en tiempo real, antispam, filtrado de contenidos, bloqueo de archivos adjuntos y mantenimiento de la cuarentena para servidores Microsoft Exchange. Este capítulo incluye los siguientes temas: Acerca de Messaging Security Agents en la página 6-2 Opciones que pueden configurarse para Messaging Security Agent en la página 6-7 Antivirus en la página 6-10 Antispam en la página 6-15 Exploración del contenido en la página 6-18 Filtrado de contenido en la página 6-25 Bloqueo de archivos adjuntos en la página 6-45 Carpeta de cuarentena de Messaging Agent en la página 6-49 Operaciones en la página 6-58 Agregar servidores Microsoft Exchange al árbol Grupos de seguridad en la página 6-64 Replicar la configuración en servidores Microsoft Exchange en la página 6-66 Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes en la página

120 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Acerca de Messaging Security Agents Messaging Security Agents (MSA) protege los servidores Microsoft Exchange. Messaging Security Agent ayuda a evitar las amenazas de correo electrónico mediante la exploración del correo que entra y sale del almacén de correo de Microsoft Exchange, además del correo que se envía y recibe entre el servidor Microsoft Exchange y destinos externos. Además, Messaging Security Agent puede: Reducir el spam Bloquear mensajes de correo electrónico según su contenido Bloquear o restringir mensajes de correo electrónico con archivos adjuntos Messaging Security Agent solo se puede instalar en servidores Microsoft Exchange. El árbol Grupos muestra todos los agentes Messaging Security Agent de una red. Nota: no se pueden combinar varios agentes Messaging Security Agent en un grupo. Hay que administrar cada agente Messaging Security Agent individualmente. WFBS-A utiliza Messaging Security Agent para recopilar información de seguridad de los servidores Microsoft Exchange. Por ejemplo, Messaging Security Agent notifica las detecciones de spam o la finalización de la actualización de componentes a Trend Micro Security Server. Esta información se muestra en la consola Web. Trend Micro Security Server también usa esta información para generar registros e informes sobre el estado de seguridad de los servidores Microsoft Exchange. Nota: cada amenaza detectada genera una entrada/notificación de registro. Esto significa que, si Messaging Security Agent detecta múltiples amenazas en un solo mensaje de correo electrónico, se generarán varias entradas y notificaciones de registro. Asimismo puede ocurrir que se detecte la misma amenaza varias veces, especialmente si se utiliza el modo de caché en Outlook Cuando el modo de caché está activado, podría detectarse la misma amenaza en la carpeta de cola para la transferencia y en la carpeta Elementos enviados o en la carpeta Bandeja de salida. 6-2

121 Administrar Messaging Security Agent Cómo explora Messaging Security Agent los mensajes de correo electrónico Messaging Security Agent (MSA) usa la siguiente secuencia para explorar los mensajes de correo electrónico: 1. Explora en busca de spam (antispam). a. Compara el mensaje de correo electrónico con la lista de remitentes permitidos/bloqueados del administrador. b. Busca casos de phishing. c. Compara el mensaje de correo electrónico con la lista de excepciones suministrada por Trend Micro. d. Compara el mensaje de correo electrónico con la base de datos de firmas de spam. e. Aplica reglas de exploración heurísticas. 2. Busca infracciones de las reglas del filtrado de contenido. 3. Busca archivos adjuntos que excedan los parámetros definidos por el usuario. 4. Explora en busca de virus/malware (antivirus). 6-3

122 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Acciones de MSA Los administradores pueden configurar Messaging Security Agent para realizar acciones según el tipo de amenaza presentada por los virus/malware, troyanos y gusanos. Si utiliza acciones personalizadas, puede definir una acción para cada tipo de amenaza. TABLA 6-1. Acciones personalizadas de Messaging Security Agent Acción Limpiar Descripción Elimina el código malicioso de los cuerpos de los mensajes infectados y los archivos adjuntos. El resto del texto del mensaje, los archivos no infectados y los archivos limpiados se entregan entonces a los destinatarios originales. Trend Micro recomienda utilizar la acción de exploración personalizada Limpiar para los virus/malware. En algunas circunstancias, Messaging Security Agent no puede limpiar un archivo. Durante una exploración manual o programada, Messaging Security Agent actualiza el almacén de información y sustituye el archivo por el limpio. Sustituir por texto/archivo Poner en cuarentena todo el mensaje Messaging Security Agent elimina el contenido infectado y lo sustituye por texto o un archivo. El mensaje de correo electrónico se envía al destinatario original, pero el texto insertado le informa de que el contenido original estaba infectado y ha sido sustituido. Desplaza el mensaje de correo electrónico a una carpeta de acceso restringido, eliminando así un riesgo de seguridad para el entorno Microsoft Exchange. El destinatario original no recibirá el mensaje. Esta opción no está disponible para exploraciones manuales y programadas. Consulte Configurar directorios de cuarentena en la página 6-51 para obtener más información sobre la carpeta de cuarentena. 6-4

123 Administrar Messaging Security Agent TABLA 6-1. Acción Poner en cuarentena parte del mensaje Acciones personalizadas de Messaging Security Agent (continuación) Descripción Coloca en el directorio de cuarentena solo el contenido infectado y el destinatario recibe el mensaje sin contenido. Eliminar todo el mensaje Omitir Archivar Poner en cuarentena el mensaje en la carpeta para spam del servidor Poner en cuarentena el mensaje en la carpeta para spam del usuario Etiquetar y entregar Durante la exploración en tiempo real, Messaging Security Agent elimina todo el mensaje de correo electrónico. El destinatario original no recibirá el mensaje. Esta opción no está disponible para las exploraciones manual o programada. Registra la infección de virus de archivos maliciosos en los registros de virus, pero no realiza ninguna acción. Los archivos excluidos, cifrados o protegidos con contraseña se entregan al destinatario sin actualizar los registros. Mueve el mensaje al directorio de archivado y entrega el mensaje al destinatario original. Messaging Security Agent envía todo el mensaje a Security Server para ponerlo en cuarentena. Messaging Security Agent envía todo el mensaje a la carpeta de spam del usuario para ponerlo en cuarentena. Messaging Security Agent añade una etiqueta a la información del encabezado del mensaje que identifica que es un mensaje spam y entonces lo entrega al destinatario original. 6-5

124 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Exploración de macros avanzada Messaging Security Agent utiliza el archivo de patrones de virus para identificar los códigos maliciosos conocidos de macros durante la exploración habitual. Messaging Security Agent realiza acciones contra el código de macro malicioso en función de la acción que se configure en la pantalla Antivirus. Utilice la exploración avanzada de macros para obtener una protección adicional frente a código de macro malicioso. La exploración avanzada de macros complementa la exploración antivirus/antimalware habitual y utiliza la exploración heurística para detectar virus de macro o simplemente eliminar todo el código de macro detectado. La exploración heurística es un método de evaluación que sirve para detectar virus y que utiliza las tecnologías de reconocimiento de patrones y reglas para buscar código de macro malicioso. Este método es especialmente eficaz para detectar virus y amenazas desconocidos que carecen de una firma de virus conocida. Cuando se detecta un código de macro malicioso mediante la exploración heurística, Messaging Security Agent realiza una acción frente al código malicioso en función de la acción que se configure en la pantalla Antivirus. Si selecciona Eliminar todas las macros detectadas por la exploración de macros avanzada, Messaging Security Agent quita todo el código de macro de los archivos explorados. 6-6

125 Administrar Messaging Security Agent Opciones que pueden configurarse para Messaging Security Agent Si hace clic en Configurar en la pantalla Configuración de seguridad, podrá acceder a los siguientes elementos: Antivirus: configurar las opciones de exploración en tiempo real para Messaging Security Agent. Antispam (exploración del contenido): definir el nivel de detección de spam, configurar la lista de remitentes permitidos/bloqueados y definir las acciones que deben realizarse cuando se detecta spam. Antispam (reputación del correo electrónico): configurar la reputación del correo electrónico para bloquear mensajes procedentes de fuentes de spam conocidas o sospechosas de serlo. Además, permite crear exclusiones para permitir o bloquear mensajes de otros remitentes. Filtrado de contenido: activar y configurar el filtrado de contenido. Bloqueo de archivos adjuntos: especificar los requisitos de bloqueo de los archivos adjuntos. Poner en cuarentena: realizar consultas y mantenimiento de la cuarentena y definir los directorios de cuarentena. Operaciones: realizar el mantenimiento del spam, definir la dirección de correo electrónico interna y configurar las opciones del depurador del sistema. 6-7

126 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configuración predeterminada de Messaging Security Agent Tenga en cuenta las opciones de la tabla para optimizar la configuración de Messaging Security Agent. TABLA 6-2. Acciones predeterminadas de Trend Micro para Messaging Security Agent Opción de exploración Antispam Spam Phish Filtrado de contenido Filtrar mensajes que coincidan con cualquier condición definida Filtrar mensajes que coincidan con todas las condiciones definidas Exploración en tiempo real Poner el mensaje en cuarentena en la carpeta de spam del usuario (opción predeterminada, si se ha instalado la característica de correo electrónico no deseado de Outlook o End User Quarantine) Eliminar todo el mensaje Poner en cuarentena todo el mensaje Poner en cuarentena todo el mensaje Exploraciones manual y programada No aplicable No aplicable Sustituir No disponible Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares Poner en cuarentena todo el mensaje Sustituir 6-8

127 Administrar Messaging Security Agent TABLA 6-2. Acciones predeterminadas de Trend Micro para Messaging Security Agent (continuación) Opción de exploración Crear una excepción para cuentas de correo electrónico particulares Exploración en tiempo real Omitir Exploraciones manual y programada Omitir Bloqueo de archivos adjuntos Acción Otros Archivos cifrados y protegidos mediante contraseña Archivos excluidos (archivos con más restricciones de exploración) Sustituir archivo adjunto por texto/archivo Omitir (al establecer la acción en Omitir, se omiten los archivos cifrados y los protegidos mediante contraseña y no se registra el suceso) Omitir (al establecer la acción en Omitir, se omiten los archivos o el cuerpo del mensaje que superan las restricciones de exploración especificadas y no se registra el suceso) Sustituir archivo adjunto por texto/archivo Omitir (al establecer la acción en Omitir, se omiten los archivos cifrados y los protegidos mediante contraseña y no se registra el suceso) Omitir (al establecer la acción en Omitir, se omiten los archivos o el cuerpo del mensaje que superan las restricciones de exploración especificadas y no se registra el suceso) 6-9

128 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Antivirus WFBS-A proporciona tres tipos de exploración para proteger a los servidores Microsoft Exchange de las amenazas de correo electrónico: Exploración en tiempo real: la exploración en tiempo real es un proceso continuo. Messaging Security Agent protege todos los puntos de entrada de virus conocidos mediante la exploración en tiempo real de todos los mensajes entrantes, mensajes SMTP, documentos publicados en carpetas públicas y archivos replicados desde otros servidores Microsoft Exchange. Cuando detecta una amenaza de seguridad, emprende automáticamente una acción contra esos riesgos de seguridad de acuerdo con la configuración establecida. Messaging Security Agent explora lo siguiente en tiempo real: Todos los mensajes de correo entrantes y salientes Los mensajes de carpetas públicas Todas las réplicas de servidor a servidor La velocidad de la exploración en tiempo real depende de la configuración establecida. Puede aumentar el rendimiento de las exploraciones en tiempo real especificando ciertos tipos de archivo que son vulnerables a los virus/malware. Exploración manual: la exploración manual funciona a petición. Elimina amenazas provenientes de archivos situados en los clientes y dentro de buzones de correo de Microsoft Exchange. Esta exploración también elimina las infecciones antiguas, si las hay, para minimizar el riesgo de reinfección. Durante una exploración manual, WFBS-A realiza acciones contra las amenazas según las acciones establecidas por el administrador. Exploración programada: la exploración programada es similar a la exploración manual, pero explora todos los archivos y mensajes de correo electrónico a la hora y frecuencia configuradas. Utilice las exploraciones programadas para automatizar las exploraciones rutinarias en los clientes y mejorar la eficacia de la administración de las amenazas. 6-10

129 Administrar Messaging Security Agent Configurar la exploración en tiempo real para Messaging Security Agent Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Antivirus Configure los agentes de Messaging Security Agent para que exploren determinados objetivos y defina qué acciones se llevarán a cabo cuando descubran una amenaza de seguridad en los mensajes y archivos explorados. Además, puede configurar los agentes para que envíen notificaciones cuando se tomen acciones contra riesgos de seguridad. Consulte la Tabla 6-2 en la página 6-8 para ver la configuración predeterminada. ILUSTRACIÓN 6-1. Pantalla Configuración de seguridad > Antivirus 6-11

130 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para configurar la exploración en tiempo real de Messaging Security Agent: 1. En la pestaña Destino de la pantalla Antivirus, actualice la siguiente información según sea necesario: Activar antivirus en tiempo real ADVERTENCIA: al desactivar la exploración en tiempo real, el servidor Microsoft Exchange es vulnerable a infecciones. Archivos para explorar IntelliScan: explora los archivos basándose en el tipo de archivo verdadero. Consulte la IntelliScan en la página C-4 para obtener más información. Todos los archivos explorables: solo quedan excluidos los archivos cifrados o protegidos por contraseña. Tipos de archivo específicos: WFBS-A explorará los archivos con las extensiones seleccionadas. Separe las distintas entradas mediante comas (,). Nota: los siguientes tipos de archivo son siempre.com, ASCII, TEXT, HTML y páginas Active Server. Activar IntelliTrap: IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte la IntelliTrap en la página C-7 para obtener más información. Explorar el cuerpo del mensaje: explora el cuerpo de un mensaje de correo electrónico que puede contener amenazas incrustadas. Exploración de amenazas adicionales: seleccione las amenazas adicionales que WFBS-A debería explorar. Consulte la Descripción de las amenazas en la página 1-14 para ver las definiciones de las amenazas. Exclusiones: permite excluir mensajes de correo electrónico que cumplan los siguientes criterios durante la exploración: El tamaño del cuerpo del mensaje es mayor que El tamaño del archivo adjunto es mayor que 6-12

131 Administrar Messaging Security Agent El total de archivos descomprimidos es mayor que El tamaño del archivo descomprimido es mayor que El número de capas de compresión es mayor que El tamaño del archivo descomprimido es x veces el tamaño del archivo comprimido 2. En la pestaña Acción, actualice la siguiente información según sea necesario: Acción para las detecciones de virus ActiveAction: utilice las acciones preconfiguradas de Trend Micro para las amenazas. Consulte la ActiveAction en la página C-4 para obtener más información. Ejecutar la misma acción para todas las amenazas de Internet detectadas: elija entre limpiar, sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. Consulte la Tabla 6-1 en la página 6-4 para obtener más información. Especificar acción por amenaza detectada: elija entre limpiar, sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena el mensaje completo o parte de él con cada tipo de amenaza. Consulte la Tabla 6-1 en la página 6-4 para obtener más información. Activar acción para el comportamiento de correo masivo: elija entre limpiar, sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje con el tipo de amenaza de comportamiento de correo masivo. Consulte la Tabla 6-1 en la página 6-4 para obtener más información. Permite definir la acción secundaria que se llevará a cabo cuando los intentos de limpiar sean infructuosos. Elija entre sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. 6-13

132 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Crear copia de seguridad del archivo infectado antes de limpiar: cree una copia de seguridad de la amenaza antes de limpiar, como precaución para proteger el archivo original frente a posibles daños. Nota: Trend Micro recomienda eliminar rápidamente los archivos de los que se ha realizado una copia de seguridad cuando se determine que el archivo original no está dañado y puede utilizarse. Si el archivo se daña o no puede utilizarse, envíelo a Trend Micro para que realice un análisis posterior. (Aunque Messaging Security Agent haya podido limpiar el archivo y eliminar el virus completamente, puede ser que el virus/malware haya dañado el código del archivo original.) No limpiar los archivos comprimidos infectados para optimizar el rendimiento: cuando los agentes detectan una amenaza de seguridad en un archivo comprimido, no limpian el archivo. En su lugar, procesan los archivos como si no pudieran limpiarse. Notificaciones: WFBS-A enviará mensajes de notificación a las personas seleccionadas. Los administradores también pueden desactivar el envío de notificaciones a remitentes en caso de correos engañosos. Macros: un tipo de virus cifrado en una macro de aplicación que se suele incluir en un documento. Seleccione Activar la exploración de macros avanzada y configure lo siguiente: Nivel heurístico: la exploración heurística es un método de evaluación que se utiliza para detectar virus. Este método es especialmente eficaz para detectar virus y amenazas desconocidos que carecen de una firma de virus conocida. Eliminar todas las macros detectadas por la exploración de macros avanzada: consulte Exploración de macros avanzada en la página 6-6 para obtener más información. Partes de mensajes no explorables: defina la condición de acción y notificación para los archivos cifrados o protegidos con contraseña. Para la acción, elija entre sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. 6-14

133 Administrar Messaging Security Agent Partes del mensaje excluidas: defina la condición de acción o notificación para las partes de mensajes que se hayan excluido. Para la acción, elija entre sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. Configuración de la copia de seguridad: ubicación en la que se guardarán los archivos de copia de seguridad. Configuración de la sustitución: configure el texto y el archivo del texto de sustitución. Si la acción consiste en sustituir por texto/archivo, WFBS-A sustituirá la amenaza por este archivo y esta cadena de texto. 3. Haga clic en Guardar. También puede configurar las personas que reciben notificaciones cuando tiene lugar un suceso. Consulte Configurar notificaciones de sucesos en la página 9-3. Antispam WFBS-A ofrece dos formas de combatir el spam: la reputación del correo electrónico ( Reputation) y la exploración del contenido. Reputation Reputation consta de dos niveles de servicio. Estos niveles son: Estándar: el servicio Estándar utiliza una base de datos que rastrea la reputación de unos dos billones de direcciones IP. Las direcciones IP que constantemente están asociadas a la entrega de mensajes de spam se agregan a la base de datos y casi siempre permanecen en ella. Avanzado: el nivel de servicio Avanzado es un servicio DNS basado en consultas igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos de reputaciones estándar junto con la base de datos de reputaciones en tiempo real dinámica que bloquea los mensajes procedentes de orígenes sospechosos o conocidos de spam. Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP bloqueada o sospechosa, Reputation la detiene antes de que alcance la infraestructura de mensajería del destinatario. 6-15

134 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configurar Reputation Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Antispam > Reputation Puede configurar Reputation para bloquear mensajes procedentes de fuentes de spam conocidas o sospechosas de serlo. Además, puede crear exclusiones para permitir o bloquear mensajes de otros remitentes. ILUSTRACIÓN 6-2. Pantalla Reputation Para configurar Reputation: 1. En la pestaña Destino de la pantalla Reputation, actualice la siguiente información según sea necesario: Activar el antispam en tiempo real ( Reputation) Nivel de servicio: consulte Reputation en la página 6-15 para obtener información sobre los servicios disponibles. Estándar Avanzado 6-16

135 Administrar Messaging Security Agent Direcciones IP permitidas: los mensajes de correo electrónico procedentes de estas direcciones IP no se bloquearán nunca. Escriba la dirección IP que desee permitir y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones IP desde un archivo de texto. Para eliminar una dirección IP, selecciónela y haga clic en Eliminar. Direcciones IP bloqueadas: los mensajes de correo electrónico procedentes de estas direcciones IP se bloquearán siempre. Escriba la dirección IP que desee bloquear y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones IP desde un archivo de texto. Para eliminar una dirección IP, selecciónela y haga clic en Eliminar. 2. Haga clic en Guardar. 3. Vaya a: para ver informes. Consulte la documentación sobre Reputation para obtener más información. Nota: Reputation es un servicio basado en Web. Los administradores solo pueden configurar el nivel de servicio desde la consola Web. 6-17

136 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Exploración del contenido Exploración del contenido determina qué es spam en función del contenido del mensaje, en lugar de usar la IP que lo originó. Messaging Security Agent utiliza el motor antispam y el archivo de patrones de spam de Trend Micro para filtrar el spam de cada mensaje de correo electrónico antes de entregarlo al almacén de información. El servidor Microsoft Exchange no procesará el correo spam rechazado y los mensajes no llegan a los buzones de correo del usuario. Detección de spam El motor antispam usa firmas de spam y reglas heurísticas para filtrar los mensajes de correo electrónico. Explora los mensajes de correo electrónico y asigna una puntuación de spam a cada uno según el grado de coincidencia con las reglas y los patrones del archivo de patrones. Messaging Security Agent compara la puntuación de spam con el nivel de detección de spam definido por el usuario. Cuando la puntuación de spam supera el nivel de detección, Messaging Security Agent realiza una acción contra el spam. Por ejemplo, los creadores de spam suelen utilizar numerosos signos de admiración o más de un signo seguido (!!!!) en sus mensajes. Cuando Messaging Security Agent detecta un mensaje que usa signos de admiración de este modo, aumenta la puntuación de spam de ese mensaje de correo electrónico. Seleccione una de estas opciones para la detección de spam: Alta: se trata del nivel más riguroso de detección de spam, pero hay más posibilidades de obtener falsos positivos. Por falsos positivos se entienden los correos electrónicos que Messaging Security Agent filtra como si fueran spam pero que, en realidad, son correos legítimos. Medio: esta es la configuración predeterminada. En un nivel elevado de detección de spam, Messaging Security Agent supervisa con una tasa moderada de filtrado de falsos positivos. Baja: el nivel más flexible de detección de spam. Messaging Security Agent solo filtra los mensajes de spam más obvios y comunes pero la tasa de filtrado de falsos positivos es muy baja. Messaging Security Agent utiliza el motor antispam y los archivos de patrones de spam de Trend Micro para filtrar el spam de cada mensaje de correo electrónico antes de entregarlo al almacén de información. El servidor Microsoft Exchange no procesará el correo spam rechazado y los mensajes no llegan a los buzones de correo del usuario. 6-18

137 Administrar Messaging Security Agent Messaging Security Agent realiza una de las siguientes acciones en el spam detectado durante la exploración en tiempo real: Pone en cuarentena los mensajes de spam en una carpeta del servidor. Pone en cuarentena los mensajes de spam en la carpeta para spam del usuario. Elimina el mensaje de spam. Etiqueta y entrega los mensajes como spam. Nota: de forma automática, Microsoft Outlook puede filtrar y enviar los mensajes que MSA detectó como spam a la carpeta de correo no deseado. Phishing Un incidente de phishing comienza con un mensaje de correo electrónico que afirma falsamente provenir de una empresa existente o legítima. El mensaje a los destinatarios a hacer clic en un enlace que redirecciona el explorador a un sitio Web fraudulento. Aquí el usuario debe facilitar información personal como contraseñas, el número de la Seguridad Social y números de tarjetas de crédito. En estos sitios de phishing se intenta engañar al usuario para que facilite información confidencial que será utilizada para sustraer identidades. Cuando Messaging Security Agent detecta un mensaje de phishing puede realizar las siguientes acciones: Poner en cuarentena el mensaje en la carpeta para spam del servidor: Messaging Security Agent envía todo el mensaje a Security Server para ponerlo en cuarentena. Eliminar todo el mensaje: Messaging Security Agent elimina todo el mensaje y Microsoft Exchange no lo entrega. Etiquetar y entregar: Messaging Security Agent añade una etiqueta a la información del encabezado del mensaje que lo identifica como mensaje phishing y, a continuación, lo entrega al destinatario original. 6-19

138 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Listas de remitentes permitidos y bloqueados Una lista de remitentes permitidos es una lista de direcciones de correo electrónico de confianza. Messaging Security Agent no filtra en busca de spam los mensajes provenientes de estas direcciones, excepto cuando la opción Detectar incidentes de phishing está activada. Cuando está activada la opción Detectar incidentes de phishing y Messaging Security Agent detecta un incidente de phishing en un mensaje de correo electrónico, entonces no se entregará ese mensaje aunque pertenezca a la lista de remitentes permitidos. Una lista de remitentes bloqueados es una lista de direcciones de correo electrónico sospechosas. Messaging Security Agent siempre clasifica los mensajes de remitentes bloqueados como spam y les aplica la acción correspondiente. Existen dos listas de remitentes permitidos: una para el administrador de Microsoft Exchange y otra para el usuario final. Las listas de remitentes permitidos y bloqueados del administrador de Microsoft Exchange (en la pantalla Antispam) controlan el modo en que Messaging Security Agent trata los mensajes de correo electrónico vinculados al servidor Microsoft Exchange. El usuario final puede gestionar la carpeta de correo spam que se crea durante la instalación. Las listas de los usuarios finales se aplican solo a los mensajes vinculados al almacén de correo del servidor de cada usuario final. Nota: las listas de remitentes permitidos y bloqueados de un servidor Microsoft Exchange tienen preferencia sobre las de un cliente. Por ejemplo, el remitente usuario@ejemplo.com se encuentra en la lista de remitentes bloqueados del administrador, pero el usuario final ha incluido esta dirección en su lista de remitentes permitidos. Los mensajes de ese remitente llegan al almacén de Microsoft Exchange y Messaging Security Agent los detecta como spam y realiza la acción correspondiente. Si Messaging Security Agent realiza la acción Poner en cuarentena el mensaje en la carpeta para spam del usuario, intentará entregar el mensaje en la carpeta para spam del usuario final, pero, en vez de ello, el mensaje se redireccionará a la bandeja de entrada del usuario final porque el usuario ha autorizado a ese remitente. Nota: cuando se utiliza Outlook, hay un límite de tamaño de las reglas para la cantidad y el tamaño de las direcciones de la lista. Con el fin de evitar un error del sistema, Messaging Security Agent limita la cantidad de direcciones que un usuario final puede incluir en su lista de remitentes permitidos (este límite se calcula según la longitud y el número de direcciones de correo electrónico). 6-20

139 Administrar Messaging Security Agent Messaging Security Agent admite la coincidencia de caracteres comodín para las listas de remitentes permitidos y bloqueados. Utiliza un asterisco (*) como el carácter comodín. Messaging Security Agent no es compatible con la coincidencia de caracteres comodín en la parte del nombre de usuario. Sin embargo, si escribe un patrón como *@trend.com, Messaging Security Agent lo tratará Solo puede usar un comodín si cumple las siguientes condiciones: Está situado junto a un solo punto y es el primer carácter o el último de una cadena. Está situado a la izquierda de un y es el primer carácter de la cadena. Toda parte que falte al principio o al final de la cadena cumple la misma función que un comodín. TABLA 6-3. Coincidencia de caracteres comodín en direcciones de correo electrónico Patrón Ejemplos de coincidencia Ejemplos de no coincidencia juan@ejemplo.com juan@ejemplo.com Cualquier dirección distinta al *@ejemplo.com ejemplo.com *.ejemplo.com juan@ejemplo.com maria@ejemplo.com juan@ejemplo.com juan@ms1.ejemplo.com maria@ms1.rd.ejemplo.com maria@ejemplo.com juan@ms1.ejemplo.com maria@ms1.rd.ejemplo.com jose@ms1.ejemplo.com juan@ms1.ejemplo.com juan@ejemplo.com.us maria@ejemplo.com.us juan@ejemplo.com.us maria@miejemplo.com.us jose@ejemplo.comon juan@ejemplo.com juan@miejemplo.com.us maria@ms1.ejemplo.comon 6-21

140 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 6-3. Coincidencia de caracteres comodín en direcciones de correo electrónico (continuación) Patrón Ejemplos de coincidencia Ejemplos de no coincidencia ejemplo.com.* *.ejemplo.com.* *.*.*.ejemplo.com *****.ejemplo.com *ejemplo.com ejemplo.com* Lo mismo ocurre con *.ejemplo.com Patrones no válidos 6-22

141 Administrar Messaging Security Agent Configurar la exploración del contenido Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Antispam > Exploración del contenido La configuración de la exploración del contenido para explorar el tráfico de SMTP en busca de spam es un proceso que consta de dos pasos. En primer lugar, debe seleccionar un nivel de detección de spam y configurar las listas de remitentes permitidos y de remitentes bloqueados. A continuación, debe elegir la acción que se llevará a cabo cuando WFBS-A detecte spam. ILUSTRACIÓN 6-3. Pantalla Exploración del contenido Para configurar la exploración del contenido: 1. En la pestaña Destino de la pantalla Exploración del contenido, actualice la siguiente información según sea necesario: Activar el antispam en tiempo real (exploración del contenido). Nivel de detección de spam: consulte Detección de spam en la página 6-18 para obtener información sobre los servicios disponibles. 6-23

142 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Detectar incidentes de phishing: los incidentes de phishing incitan a los usuarios a hacer clic en un enlace que redirigirá su explorador a un sitio Web fraudulento que imita a otro auténtico. Consulte Phishing en la página 6-19 para obtener más información. Remitentes permitidos: los mensajes de correo electrónico procedentes de estas direcciones o nombres de dominio no se bloquearán nunca. Escriba las direcciones o nombres de dominio que desee permitir y haga clic en Agregar. Si es necesario, puede importar una lista de direcciones o nombres de dominio desde un archivo de texto. Para eliminar direcciones o nombres de dominio, seleccione la dirección y haga clic en Eliminar. Consulte Listas de remitentes permitidos y bloqueados en la página 6-20 para obtener más información. Remitentes bloqueados: los mensajes de correo electrónico procedentes de estas direcciones o nombres de dominio se bloquearán siempre. Escriba las direcciones o nombres de dominio que desee bloquear y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones o nombres de dominio desde un archivo de texto. Para eliminar direcciones o nombres de dominio, seleccione la dirección y haga clic en Eliminar. Consulte Listas de remitentes permitidos y bloqueados en la página 6-20 para obtener más información. Nota: la lista de remitentes bloqueados tiene preferencia sobre la exploración del contenido. 2. Haga clic en Guardar. 3. En la pestaña Acción de la pantalla Exploración del contenido, actualice la siguiente información según sea necesario: Spam Poner en cuarentena el mensaje en la carpeta para spam del servidor Poner en cuarentena el mensaje en la carpeta para spam del usuario Eliminar todo el mensaje Etiquetar y entregar: añade la etiqueta al asunto del mensaje de correo electrónico. Incidente de phishing 6-24

143 Administrar Messaging Security Agent Poner en cuarentena el mensaje en la carpeta para spam del servidor Eliminar todo el mensaje Etiquetar y entregar: añade la etiqueta al asunto del mensaje de correo electrónico. 4. Haga clic en Guardar. Filtrado de contenido El filtrado de contenido evalúa los mensajes de correo electrónico entrantes y salientes según las reglas que ha definido el usuario. Cada regla contiene una lista de palabras clave y frases. El filtrado de contenido evalúa el encabezado y/o el contenido de los mensajes comparando éstos con la lista de palabras clave. Cuando el filtrado de contenido encuentra una palabra que coincide con una palabra clave, puede realizar una acción para evitar que el contenido no deseado se entregue a los clientes de Microsoft Exchange. Messaging Security Agent puede enviar notificaciones siempre que realiza una acción frente a contenido no deseado. El filtrado de contenido permite a los administradores evaluar y controlar la entrega de correo electrónico según el propio texto del mensaje. Esta característica se puede utilizar para supervisar los mensajes entrantes y salientes y, asimismo, para comprobar la existencia de contenido molesto, ofensivo o censurable en algún aspecto. El filtrado de contenidos también dispone de una función de comprobación de sinónimos para ampliar el alcance de las políticas. Por ejemplo, se pueden crear reglas para buscar los siguientes elementos: Lenguaje sexual molesto Lenguaje racista Spam incrustado en el cuerpo de un mensaje de correo electrónico Nota: el filtrado de contenido no está activado de forma predeterminada. 6-25

144 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Acciones de exploración Durante el filtrado de contenido, si un mensaje de correo electrónico cumple una regla, puede configurarse cualquiera de las siguientes acciones: Sustituir por texto/archivo: sustituye el contenido filtrado por un archivo de texto. No se puede sustituir el texto de los campos De, Para, CC o Asunto. Poner en cuarentena todo el mensaje: mueve el mensaje entero al directorio de cuarentena. Poner en cuarentena parte del mensaje: coloca en el directorio de cuarentena solo el contenido filtrado y el destinatario recibe el mensaje sin contenido. Eliminar todo el mensaje: elimina todo el mensaje de correo electrónico. Archivar: mueve el mensaje al directorio de archivado y entrega el mensaje al destinatario original. Omitir: entrega el mensaje tal cual. Nota: la acción de poner en cuarentena no está disponible durante la exploración manual o programada. Palabras clave En WFBS-A, pueden usarse las siguientes palabras clave para filtrar mensajes: Palabras (pistolas, bombas, etc.) Números (1, 2, 3, etc.) Caracteres especiales (&,#,+, etc.) Frases cortas (pez azul, teléfono rojo, casa grande, etc.) Palabras o frases conectadas mediante operadores lógicos (manzanas.and. naranjas) Palabras o frases que usan expresiones regulares (.REG. a.*e devuelve apetece, amanece y ante, pero no antes, añadir ni antónimo ) Importar palabras clave WFBS-A puede importar una lista existente de palabras clave de un archivo de texto (.txt). Las palabras clave importadas aparecen en la lista de palabras clave. 6-26

145 Administrar Messaging Security Agent Uso de operadores en palabras clave Los operadores son comandos que sirven para combinar varias palabras clave. Pueden ampliar o restringir los resultados de un criterio. Los operadores deben ir incluidos entre puntos (.). Por ejemplo: manzanas.and. naranjas y manzanas.not. naranjas Nota: el operador tiene un punto inmediatamente antes y después. Hay un espacio entre el punto final y la palabra clave. TABLA 6-4. Uso de los operadores OPERADOR FUNCIONAMIENTO EJEMPLO Cualquier palabra clave OR AND MSA busca contenido que coincide con la palabra MSA busca cualquiera de las palabras clave separadas por OR. Por ejemplo, manzana OR naranja. MSA busca manzana o naranja. Si el contenido contiene una de las dos frutas, hay una coincidencia. MSA busca todas las palabras clave separadas por AND. Por ejemplo, manzana AND naranja. MSA busca tanto manzana como naranja. Si el contenido no contiene ambas frutas, no habrá ninguna coincidencia. Escriba la palabra y añádala a la lista de palabras clave Escriba OR entre todas las palabras que desea incluir. Por ejemplo: manzana.or. naranja Escriba.AND. entre todas las palabras que desea incluir. Por ejemplo: manzana.and. naranja 6-27

146 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 6-4. Uso de los operadores (continuación) OPERADOR FUNCIONAMIENTO EJEMPLO NOT WILD REG MSA excluye de la búsqueda las palabras clave seguidas de NOT. Por ejemplo,.not. zumo. MSA busca contenido que no incluya la palabra zumo. Si el mensaje contiene refresco de naranja, habrá coincidencia, pero si contiene zumo de naranja, no la habrá. Este símbolo sustituye a una parte que falta de la palabra. Todas las palabras que se escriban con la parte restante del comodín se consideran coincidencias. Nota: MSA no admite el uso del carácter? en el comodín.wild.. Para especificar una expresión regular, añada el operador.reg. antes de ese patrón (por ejemplo,.reg. a.*e). Consulte Expresiones regulares en la página 6-31 para obtener más información. Escriba.NOT. antes de la palabra que desea excluir. Por ejemplo,.not. zumo Escriba.WILD. antes de las partes de la palabra que desea incluir. Por ejemplo, si desea buscar todas las palabras que contengan mes, escriba.wild.mes. Las palabras mesa, mesías y meseta serían coincidencias. Escriba.REG. antes del patrón de palabra que desea detectar. Por ejemplo,.reg. a.*e devolvería: apetece, amanece y ante, pero no antes, añadir ni antónimo. 6-28

147 Administrar Messaging Security Agent Uso eficaz de las palabras clave MSA brinda funciones sencillas y eficaces para crear filtros altamente específicos. Tenga en cuenta los siguientes puntos al crear las reglas de filtrado de contenidos: De forma predeterminada, MSA busca las coincidencias exactas de las palabras clave. Utilice expresiones regulares para que MSA busque coincidencias parciales de las palabras clave. Para obtener más información, consulte Expresiones regulares en la página MSA analiza varias palabras clave en una línea, varias palabras clave con cada palabra en una línea distinta y varias palabras separadas por comas, puntos, guiones y otros signos de puntuación de forma diferente. Para más información acerca del uso de las palabras claves en líneas múltiples, consulte la Tabla 6-5. También se puede configurar MSA para que busque sinónimos de las palabras clave. TABLA 6-5. Cómo utilizar palabras clave SITUACIÓN EJEMPLO COINCIDENCIA / NO COINCIDENCIA Dos palabras en la misma línea pistolas bombas Coincide: Haga clic aquí para comprar pistolas bombas y otras armas. Dos palabras separadas por una coma pistolas, bombas No coincide: Haga clic aquí para comprar pistolas y bombas. Coincide: Haga clic aquí para comprar pistolas, bombas y otras armas. No coincide: Haga clic aquí para comprar pistolas usadas, bombas nuevas y otras armas. 6-29

148 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 6-5. Cómo utilizar palabras clave (continuación) SITUACIÓN EJEMPLO COINCIDENCIA / NO COINCIDENCIA Varias palabras en varias líneas pistolas bombas armas y munición Cuando se selecciona Cualquier palabra clave especificada Coincide: Se venden pistolas También coincide: Compre pistolas, bombas y otras armas Cuando se selecciona Todas las palabras clave especificadas Varias palabras clave en la misma línea pistolas bombas armas munición Coincide: Compre pistolas bombas armas y munición No coincide: Compre pistolas bombas armas balas Tampoco coincide: Compre pistolas, bombas, armas y munición Coincide: Compre pistolas bombas armas munición No coincide: Compre munición para sus pistolas y armas y bombas nuevas 6-30

149 Administrar Messaging Security Agent Expresiones regulares Las expresiones regulares se utilizan para realizar la coincidencia de cadenas. Consulte las tablas siguientes para conocer algunos ejemplos habituales de las expresiones regulares. Para especificar una expresión regular, añada un operador.reg. antes del patrón. Hay una serie de sitios Web y tutoriales en línea donde puede consultar más información. Uno de ellos es el sitio PerlDoc, que puede encontrar en: ADVERTENCIA: las expresiones regulares son una poderosa herramienta de coincidencia de cadenas. Por este motivo, Trend Micro recomienda que los administradores que eligen utilizar las expresiones regulares estén familiarizados con la sintaxis de expresiones regulares. Una expresión regular escrita incorrectamente puede tener nefastos resultados en su funcionamiento. Trend Micro aconseja comenzar con expresiones regulares sencillas que no utilicen una sintaxis compleja. Cuando introduzca nuevas reglas, use la acción de archivado y observe cómo MSA gestiona los mensajes con su regla. Cuando esté seguro de que la regla no tiene consecuencias inesperadas podrá cambiar la acción. Consulte las tablas siguientes para conocer algunos ejemplos habituales de las expresiones regulares. Para especificar una expresión regular, añada un operador.reg. antes del patrón. TABLA 6-6. Contar y agrupar ELEMENTO SIGNIFICADO EJEMPLO. El carácter de punto representa cualquier carácter excepto el carácter de nueva línea. * El carácter de asterisco significa cero o más instancias del elemento anterior. do. coincide con dolor, domingo, don, dos, doce, etc. d.r coincide con domador, decorador, etc. do* coincide con d, do, doo, dooo, doooo, etc. 6-31

150 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 6-6. Contar y agrupar (continuación) ELEMENTO SIGNIFICADO EJEMPLO + El signo más significa una o más instancias del elemento anterior.? El signo de interrogación significa cero o una instancia del elemento anterior. ( ) Los paréntesis hacen que el contenido que se encuentre entre ellos se considere como una única entidad. [ ] Los corchetes indican un conjunto o rango de caracteres. [ ^ ] El carácter de acento circunflejo entre corchetes niega lógicamente el conjunto o rango especificado, por lo que el regex coincidirá con cualquier carácter que no esté incluido en el conjunto o rango. do+ coincide con do, doo, dooo, doooo, etc. pero no con d. do?s coincide con ds o dos, pero no con doos, dooos, etc. d(os)+ coincide con dos o dosos o dososos, etc. El signo + se aplica a la subcadena entre paréntesis, por lo que el regex busca una d seguida de uno o más grupos de os. d[aeiou]+ coincide con da, de, di, do, du, daa, dae, dai, etc. El signo + se aplica al conjunto situado entre los corchetes, por lo que regex busca una d seguida de uno o varios de los caracteres del conjunto [aeiou]. d[a-z] coincide con da, db, dc, etc. hasta dz. El conjunto situado entre los corchetes representa el rango de todas las letras mayúsculas de la A a la Z. d[^aeiou] coincide con db, dc o dd, d9, d# (es decir, d seguido de cualquier carácter excepto una vocal). 6-32

151 Administrar Messaging Security Agent TABLA 6-6. Contar y agrupar (continuación) ELEMENTO SIGNIFICADO EJEMPLO { } Las llaves definen un número específico de ocurrencias del elemento anterior. Un solo valor dentro de las llaves significa que solo se dará una coincidencia cuando se produzca ese número de ocurrencias. Un par de números separados por una coma significa un conjunto de recuentos válidos del carácter anterior. Un solo dígito seguido de una coma significa que no hay límite superior. da{3} coincide con daaa (d seguida por 3 y solo 3 ocurrencias de a ). da{2,4} coincide con daa, daaa, daaaa y daaaa (pero no con daaaaa) (d seguida por 2, 3 ó 4 ocurrencias de a ). da{4,} coincide con daaaa, daaaaa, daaaaaa, etc. (d seguida por 4 o más ocurrencias de a ). TABLA 6-7. Clases de caracteres (resumen) ELEMENTO SIGNIFICADO EJEMPLO \d Cualquier carácter de dígito; funcionalmente equivalente a [0-9] o [[:digit:]] \D Cualquier carácter que no sea de dígito; funcionalmente equivalente a [^0-9] o [^[:digit:]] \w Cualquier carácter de palabra, es decir, cualquier carácter alfanumérico; funcionalmente equivalente a [_A-Z, a-z, 0-9] o [_[:alnum:]] \d coincide con 1, 12, 123, etc., pero no con 1b7 (uno o varios caracteres de dígito). \D coincide con a, ab, ab&, pero no con 1 (uno o varios caracteres cualesquiera excepto 0, 1, 2, 3, 4, 5, 6, 7, 8 ó 9). \w coincide con a, ab, a1, pero no con!& (una o varias letras en mayúsculas o minúsculas o dígitos, pero no caracteres de puntuación o especiales). 6-33

152 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 6-7. Clases de caracteres (resumen) (continuación) ELEMENTO SIGNIFICADO EJEMPLO \W Cualquier carácter que no sea alfanumérico; funcionalmente equivalente a [^_A-Z, a-z, 0-9] o [^_[:alnum:]] \s Cualquier carácter de espacio en blanco; espacio, nueva línea, tabulación, espacio de no separación, etc.; funcionalmente equivalente a [[:space]] \S Cualquier carácter que no sea espacio en blanco; carácter distinto a espacio, nueva línea, tabulación, espacio de no separación, etc.; funcionalmente equivalente a [^[:space]] \W coincide con *, &, pero no con as o a1 (uno o varios caracteres cualquiera excepto letras es mayúsculas o minúsculas y dígitos). verdura\s coincide con verdura seguido de cualquier carácter de espacio en blanco. Por este motivo, la frase Me gusta la verdura en la sopa activaría el regex, pero no Me gustan las verduras en la sopa. verduras\s coincide con verdura seguido de cualquier carácter excepto el espacio en blanco. Por este motivo, la frase Me gusta la verdura en la sopa activaría el regex, pero no Me gustan las verduras en la sopa. 6-34

153 Administrar Messaging Security Agent TABLA 6-8. Clases de caracteres ELEMENTO SIGNIFICADO EJEMPLO [:alpha:] Cualquier carácter alfabético.reg. [[:alpha:]] coincide con abc, def, xxx, pero no con 123 [:digit:] [:alnum:] [:space:] [:graph:] [:print:] [:cntrl:] [:blank:] Cualquier carácter de dígito; funcionalmente equivalente a\d Cualquier carácter de palabra, es decir, cualquier carácter alfanumérico; funcionalmente equivalente a\w Cualquier carácter de espacio en blanco; espacio, nueva línea, tabulación, espacio de no separación, etc.; funcionalmente equivalente a \s Cualquier carácter excepto caracteres de espacio y control y similares Cualquier carácter (similar a [:graph:]) pero incluye el carácter de espacio Cualquier carácter de control (por ej. CTRL + C, CTRL + X) Caracteres de espacio y tabulación.reg. [[:digit:]] coincide con 1, 12, 123, etc..reg. [[:alnum:]] coincide con abc, 123, pero no con ~!@..REG. (verdura)[[:space:]] coincide con verdura seguido de cualquier carácter de espacio en blanco. Por este motivo, la frase Me gusta la verdura en la sopa activaría el regex, pero no Me gustan las verduras en la sopa..reg. [[:graph:]] coincide con 123, abc, xxx, ><, pero no con caracteres de espacio o control..reg. [[:print:]] coincide con 123, abc, xxx, >< y caracteres de espacio..reg. [[:cntrl:]] coincide con 0x03, 0x08, pero no con abc, 123,!@#..REG. [[:blank:]] coincide con caracteres de espacio y tabulación, pero no con 123, abc,!@# 6-35

154 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA 6-8. Clases de caracteres (continuación) ELEMENTO SIGNIFICADO EJEMPLO [:punct:] Caracteres de puntuación.reg. [[:punct:]] coincide con ; :?! # $ % & *, etc., pero no con 123, abc [:lower:] [:upper:] [:xdigit:] Cualquier carácter alfabético en minúscula (Nota: la opción Activar coincidencia con diferenciación de mayúsculas y minúsculas debe estar activada o, de lo contrario, funcionará como [:alnum:]) Cualquier carácter alfabético en mayúscula (Nota: la opción Activar coincidencia con diferenciación de mayúsculas y minúsculas debe estar activada o, de lo contrario, funcionará como [:alnum:]) Dígitos permitidos en un número hexadecimal (0-9a-fA-F).REG. [[:lower:]] coincide con abc, Def, stress, Do, etc., pero no con ABC, DEF, STRESS, DO, 123,!@#..REG. [[:upper:]] coincide con ABC, DEF, STRESS, DO, etc., pero no con abc, Def, Stress, Do, 123,!@#..REG. [[:xdigit:]] coincide con 0a, 7E, 0f, etc. 6-36

155 Administrar Messaging Security Agent TABLA 6-9. Delimitadores de patrones ^ ELEMENTO SIGNIFICADO EJEMPLO Indica el comienzo de una cadena. ^(a pesar de que) coincide con cualquier bloque de texto que comenzara con a pesar de que, por lo que la frase a pesar de que me gustan las verduras en la sopa activaría el regex, pero no me gustan las verduras en la sopa a pesar de que. $ Indica el final de una cadena. (a pesar de que)$ coincide con cualquier bloque de texto que terminara con a pesar de que, por lo que la frase a pesar de que me gustan las verduras en la sopa activaría el regex, pero no me gustan las verduras en la sopa a pesar de que. 6-37

156 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA Secuencias de escape y cadenas literales ELEMENTO SIGNIFICADO EJEMPLO \ Para coincidir con algunos caracteres que tienen un significado especial en una expresión regular (por ejemplo, + ). \t Indica un carácter de tabulación. \n Indica el carácter de nueva línea. NOTA: el carácter de nueva línea se representa de distinta manera según la plataforma. En Windows, una nueva línea es un par de caracteres, un retorno de carro seguido de un avance de línea. En Unix y Linux, una nueva línea es solo un avance de línea, mientras que en Macintosh una nueva línea es solo un retorno de carro. \r Indica un carácter de retorno de carro. (1).REG. C\\C\+\+ coincide con C\C++. (2).REG. \* coincide con *. (3).REG. \? coincide con?. (stress)\t coincide con cualquier bloque de texto que contenga la subcadena fuerza inmediatamente seguida de un carácter de tabulación (ASCII 0x09). (fuerza)\n\n coincide con cualquier bloque de texto que contenga la subcadena fuerza inmediatamente seguida de dos caracteres de nueva línea (ASCII 0x0A). (fuerza)\r coincide con cualquier bloque de texto que contenga la subcadena fuerza inmediatamente seguida de un carácter de retorno de carro (ASCII 0x0D). 6-38

157 Administrar Messaging Security Agent TABLA Secuencias de escape y cadenas literales (continuación) ELEMENTO SIGNIFICADO EJEMPLO \b Indica un carácter de retroceso. O Determina los límites. (fuerza)\b coincide con cualquier bloque de texto que contenga la subcadena fuerza inmediatamente seguida de un carácter de retroceso (ASCII 0x08). \xhh Indica un carácter ASCII con un código hexadecimal determinado (donde hh representa cualquier valor hexadecimal de dos dígitos). Los límites de palabra (\b) se definen como un espacio entre dos caracteres, con \w en un lado y \W en el otro (independientemente del orden), contando los caracteres imaginarios desde el principio y el final de la cadena como coincidentes con una \W. (Dentro de las clases de caracteres una \b representa un retroceso en lugar de un límite de palabra.) Por ejemplo, la siguiente expresión regular puede coincidir con el número de la seguridad social:.reg. \b\d{3}-\d{2}-\d{4}\b \x7e(\w){6} coincide con cualquier bloque de texto que contenga una palabra de exactamente seis caracteres alfanuméricos precedidos por un carácter ~ (tilde). Por lo tanto, las palabras ~ab12cd, ~Pa3499 coincidirían, pero no ~oops. 6-39

158 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Uso de sintaxis en expresiones complejas Una expresión de palabra clave está formada por testigos, que es la unidad más pequeña usada para hacer coincidir la expresión con el contenido. Un testigo puede ser un operador, un símbolo lógico o el operando, es decir, el argumento o el valor sobre el que actúa el operador. Los operadores son.and.,.or.,.not.,.near.,.occur.,.wild.,.(." and ".). El operando y el operador deben estar separados por un espacio. Un operando también puede contener varios testigos. Consulte Palabras clave en la página 6-26 para obtener más información. Ejemplo de expresión regular En el siguiente ejemplo se describe cómo funciona el filtro de contenido Seguridad Social, uno de los filtros predeterminados: [Format].REG. \b\d{3}-\d{2}-\d{4}\b La expresión anterior utiliza \b, un carácter de retroceso, seguido de \d, cualquier dígito y, a continuación, {x}, que indica el número de dígitos y, por último, -, que indica un guión. Esta expresión coincide con el número de seguridad social. En la tabla siguiente se describen las cadenas que coinciden con la expresión regular del ejemplo: TABLA Números que coinciden con la expresión regular Seguridad Social.REG. \b\d{3}-\d{2}-\d{4}\b Coincidencia No coincide No coincide No coincide No coincide Si la expresión se modifica de la siguiente forma, [Format].REG. \b\d{3}\x20\d{2}\x20\d{4}\b la nueva expresión coincidirá con la siguiente secuencia:

159 Administrar Messaging Security Agent Ver reglas de filtrado de contenido Ruta de navegación: Configuración de seguridad > Messaging Security Agent > Configurar > Filtrado de contenido Messaging Security Agent (MSA) muestra todas las reglas de filtrado de contenido en la pantalla Filtrado de contenido. ILUSTRACIÓN 6-4. Pantalla Filtrado de contenido Esta pantalla muestra información sobre las reglas, como, por ejemplo: Regla Acción: MSA emprende esta acción cuando detecta contenido no deseado. Prioridad: MSA aplica cada filtro en la secuencia que determina el orden de esta pantalla. Activado: indica una regla activada y una regla desactivada. 6-41

160 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Desde aquí los administradores pueden: Activar o desactivar las reglas de filtrado de contenido: seleccionar Activar el filtrado de contenido en tiempo real y hacer clic en Guardar. Esto activa o desactiva todas las reglas. Para activar o desactivar una regla individual, haga clic en o para alternar su estado. Agregar o editar reglas: consulte Agregar/Editar reglas de filtrado de contenido en la página Reordenar reglas: consulte Reordenar las reglas en la página Eliminar las reglas: seleccione las reglas que desee eliminar y haga clic en Eliminar. Restaurar las reglas predeterminadas: esta opción elimina las reglas actuales y restaura las reglas predeterminadas. Haga clic en Restaurar las reglas predeterminadas. Agregar/Editar reglas de filtrado de contenido Para crear una regla de filtrado de contenido, debe seguir una serie de pasos. Tras haber creado una regla, Messaging Security Agent (MSA) comienza a filtrar todos los mensajes entrantes y salientes según dicha regla. Puede crear reglas que permitan hacer lo siguiente: Filtrar mensajes que coincidan con cualquier condición definida: con este tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una exploración. Filtrar mensajes que coincidan con todas las condiciones definidas: con este tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una exploración. Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares: este tipo de regla supervisa el contenido de los mensajes de cuentas de correo electrónico particulares. Las reglas de supervisión son similares a las reglas de filtrado de contenido generales, excepto por el hecho de que solo filtran el contenido de cuentas de correo electrónico específicas. Crear excepciones para cuentas de correo electrónico particulares: este tipo de regla crea una excepción para una cuenta de correo electrónico determinada. Cuando se excluye una cuenta de correo electrónico en concreto, esta cuenta no se filtrará en busca de infracciones de las reglas de contenido. 6-42

161 Administrar Messaging Security Agent Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Filtrado de contenido > Agregar/editar una regla Para crear o editar una regla: 1. En la pantalla Filtrado de contenido, haga clic en Agregar. Para editar una regla, haga clic en su nombre. 2. Seleccione el tipo de regla y haga clic en Siguiente. 3. Para filtrar mensajes que coincidan con cualquier condición definida: a. Dé un nombre a la regla. b. Defina las condiciones de exploración. c. Agregue las palabras clave. Incluya sinónimos o criterios de distinción entre mayúsculas y minúsculas. d. Configure la acción que se llevará a cabo en el mensaje que cumpla los criterios, defina las personas que recibirán una notificación al respecto, archive el mensaje o defina el texto o cadena de sustitución. 4. Para filtrar mensajes que coincidan con todas las condiciones definidas: a. Dé un nombre a la regla. b. Defina las condiciones de exploración. c. Configure la acción que se llevará a cabo en el mensaje que cumpla los criterios, defina las personas que recibirán una notificación al respecto, archive el mensaje o defina el texto o cadena de sustitución. 5. Para supervisar el contenido de los mensajes de cuentas de correo electrónico particulares a. Dé un nombre a la regla. b. Defina las cuentas que desee supervisar. c. Defina las condiciones de exploración. d. Agregue las palabras clave. Incluya sinónimos o criterios de distinción entre mayúsculas y minúsculas. e. Configure la acción que se llevará a cabo en el mensaje que cumpla los criterios, defina las personas que recibirán una notificación al respecto, archive el mensaje o defina el texto o cadena de sustitución. 6-43

162 Manual del administrador de Trend Micro Worry-Free Business Security Advanced Para crear una lista de excepciones para cuentas de correo electrónico a. Dé un nombre a la regla. b. Defina las cuentas que desee excluir. Nota: Messaging Security Agent no aplica reglas de contenido con una prioridad inferior a esta regla para las cuentas de correo de la lista. 7. Por último, haga clic en Finalizar. Reordenar las reglas MSA aplica las reglas de filtrado de contenido a los mensajes de correo electrónico según el orden de aparición en la pantalla Filtrado de contenido. Puede configurar el orden de aplicación de las reglas. MSA filtra todos los mensajes de correo según cada regla hasta que una infracción de contenido activa una acción que detiene la exploración (como eliminar o poner en cuarentena). Es posible modificar el orden de estas reglas para optimizar el filtrado de contenido. Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Filtrado de contenido > Para modificar el orden de las reglas de filtrado de contenido: 1. En la pantalla Filtrado de contenido, seleccione una casilla de verificación que se corresponda con la regla a la que desea cambiar el orden. 2. Haga clic en Reordenar. Aparecerá un cuadro alrededor del número de orden de la regla. 3. Escriba un nuevo número de orden en el cuadro. El número de orden de la regla cambiará al número que ha escrito y el resto de números de orden se modificará de la forma correspondiente. Por ejemplo, si selecciona el número de regla 5 y le asigna el 3, entonces los números de regla 1 y 2 seguirán siendo los mismos, pero los números de regla del 3 en adelante aumentarán en uno. 6-44

163 Administrar Messaging Security Agent Bloqueo de archivos adjuntos El bloqueo de archivos adjuntos impide que los archivos adjuntos a mensajes de correo electrónico se entreguen en el Almacén de información de Microsoft Exchange. Configure Messaging Security Agent para que bloquee los archivos adjuntos según el tipo o el nombre del archivo y que, a continuación, sustituya, ponga en cuarentena, o elimine todos los mensajes con archivos adjuntos que coincidan con los criterios. El bloqueo puede producirse durante la exploración en tiempo real, manual y programada, pero las acciones eliminar y poner en cuarentena no están disponibles en las exploraciones manual y programada. La extensión de un archivo adjunto identifica el tipo de archivo, por ejemplo:.txt,.exe o.dll. Sin embargo, Messaging Security Agent examina el encabezado del archivo en lugar de su nombre para determinar el tipo de archivo real. Numerosos virus/malware están estrechamente vinculados a determinados tipos de archivo. Si configura Messaging Security Agent para realizar el bloqueo según el tipo de archivo, puede reducir el riesgo de seguridad para los servidores Exchange de esos tipos de archivo. De forma similar, hay ataques específicos asociados a un nombre de archivo específico. Consejo: la utilización del bloqueo es un modo eficaz de controlar las epidemias de virus. Puede poner en cuarentena temporalmente todos los tipos de archivos de riesgo elevado o aquellos con un nombre específico asociado a un virus/malware conocido. Posteriormente, cuando disponga de más tiempo, puede revisar la carpeta de cuarentena y realizar las acciones que desee en los archivos infectados. Seleccionar destinos de bloqueo Los archivos adjuntos se pueden bloquear con dos estrategias generales: bloquear todos los archivos adjuntos y excluir los especificados o especificar todos los archivos adjuntos que deben bloquearse. Todos los archivos adjuntos: Messaging Security Agent puede bloquear todos los mensajes de correo electrónico que contengan archivos adjuntos. Sin embargo, este tipo de exploración requiere mucho procesamiento. Vuelva a definir este tipo de exploración seleccionando los tipos o nombres de archivos adjuntos que deben excluirse. 6-45

164 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Archivos adjuntos específicos: cuando selecciona este tipo de exploración, Messaging Security Agent solo explora los mensajes de correo electrónico que contengan los archivos adjuntos que se especifiquen. Este tipo de exploración puede ser muy exclusivo y es ideal para detectar mensajes de correo electrónico con archivos adjuntos sospechosos de contener amenazas. Esta exploración se ejecuta muy rápidamente cuando se especifica una cantidad relativamente pequeña de nombres o tipos de archivos adjuntos. Puede bloquear archivos adjuntos basándose en: Nombres de archivos adjuntos: de forma predeterminada, Messaging Security Agent examina el encabezado del archivo en lugar de su nombre para determinar el tipo de archivo real. Si se establece el bloqueo de archivos adjuntos según nombres específicos, Messaging Security Agent detectará los tipos de archivos adjuntos según su nombre. Tipo de archivo adjunto: Messaging Security Agent examina el encabezado del archivo en lugar de su nombre para determinar el tipo de archivo real. Acciones de bloqueo de archivos adjuntos Puede configurar Messaging Security Agent para que realice acciones frente a los mensajes de correo electrónico que contengan amenazas detectadas. En la siguiente tabla se enumeran las acciones que Messaging Security Agent puede realizar. TABLA Acción Acciones de bloqueo de archivos adjuntos Descripción Sustituir por texto/archivo Poner en cuarentena todo el mensaje Messaging Security Agent elimina el archivo adjunto y lo sustituye por un archivo de texto. El mensaje de correo electrónico se envía al destinatario original, pero el texto insertado le informa de que el contenido original estaba infectado y ha sido sustituido. Mueve el mensaje de correo electrónico que contenga el archivo adjunto a una carpeta con acceso restringido. Esta acción no está disponible para las exploraciones manual o programada. 6-46

165 Administrar Messaging Security Agent TABLA Acción Acciones de bloqueo de archivos adjuntos (continuación) Descripción Poner en cuarentena parte del mensaje Eliminar todo el mensaje Coloca en el directorio de cuarentena solo el contenido filtrado y el destinatario recibe el mensaje sin contenido. Durante la exploración en tiempo real, Messaging Security Agent elimina todo el mensaje de correo electrónico. Configurar el bloqueo de archivos adjuntos Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Bloqueo de archivos adjuntos Puede configurar un bloqueo de los archivos adjuntos y especificar la acción que se llevará a cabo en los mensajes bloqueados. ILUSTRACIÓN 6-5. Pantalla Bloqueo de archivos adjuntos 6-47

166 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para bloquear archivos adjuntos: 1. En la pestaña Destino de la pantalla Bloqueo de archivos adjuntos, actualice la siguiente información según sea necesario: Todos los archivos adjuntos Tipos de archivos adjuntos para excluir Nombres de archivos adjuntos para excluir Archivos adjuntos específicos Tipos de archivos adjuntos Nombres de archivos adjuntos Bloquear tipos o nombres de archivos adjuntos dentro de archivos zip 2. En la pestaña Acción, actualice la siguiente información según sea necesario: Seleccione una acción: consulte la Tabla 6-12 en la página 6-46 para obtener más información. Notificaciones: configure a quién ha de notificarse la restricción. Si lo desea, puede excluir a destinatarios o remitentes externos. Configuración de la sustitución: configure el texto y el archivo del texto de sustitución. Si la acción consiste en sustituir por texto/archivo, WFBS-A sustituirá la amenaza por este archivo y esta cadena de texto. 3. Haga clic en Guardar. Supervisor en tiempo real Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Supervisor en tiempo real El supervisor en tiempo real facilita la información actualizada sobre un servidor Exchange seleccionado y su Messaging Security Agent (MSA). Muestra información sobre los mensajes explorados y las estadísticas de protección, incluido el número de virus y mensajes de spam detectados, archivos bloqueados e infracciones de contenido. El campo Messaging Security Agent está ejecutándose desde le ayuda a comprobar si MSA funciona correctamente. 6-48

167 Administrar Messaging Security Agent Para borrar información antigua y empezar a obtener información nueva en tiempo real: Haga clic en Restablecer para restablecer las estadísticas de protección a cero. Haga clic en Borrar contenido para borrar la información antigua sobre los mensajes explorados. Para acceder al supervisor en tiempo real: 1. Haga clic en Configuración de seguridad. 2. Seleccione un servidor Exchange. 3. Haga clic en Configurar. 4. Haga clic en el enlace Supervisor en tiempo real situado en la parte superior derecha de la pantalla. Carpeta de cuarentena de Messaging Agent Cuando los agentes Messaging Security Agent detectan una amenaza, spam, archivos adjuntos restringidos o contenido restringido en mensajes de correo electrónico, pueden mover el mensaje a una carpeta de cuarentena. Este proceso ofrece una alternativa a la eliminación de mensajes o archivos adjuntos, y evita que los usuarios abran el mensaje infectado y propaguen la amenaza. La carpeta de cuarentena predeterminada de Message Security Agent es: C:\Archivos de programa\trend Micro\Messaging Security Client\ storage\quarantine Los archivos puestos en cuarentena se cifran para mayor seguridad. Para abrir un archivo cifrado, use la herramienta Restaurar virus cifrados (VSEncode.exe). Para más información sobre cómo restaurar archivos cifrados por MSA, consulte Restaurar virus cifrados en la página E-12. Los administradores pueden consultar la base de datos de cuarentena para obtener información sobre los mensajes puestos en cuarentena. Use la cuarentena para: Eliminar la posibilidad de borrar mensajes importantes de forma irreversible si son detectados por error por filtros estrictos Revisar los mensajes que activan filtros de contenido para determinar la gravedad de la infracción de la política 6-49

168 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Conservar pruebas de un posible uso incorrecto del sistema de mensajería de la empresa por parte de un empleado Nota: no confunda la carpeta de cuarentena con la carpeta para spam del usuario final. La carpeta de cuarentena es una carpeta basada en archivos. Cada vez que Messaging Security Agent pone en cuarentena un mensaje de correo electrónico, envía el mensaje a la carpeta de cuarentena. La carpeta para spam del usuario final se encuentra en el almacén de información de cada buzón de entrada de los usuarios. La carpeta para spam del usuario final solo recibe los mensajes de correo electrónico puestos por una acción de cuarentena antispam en la carpeta de spam de un usuario, no los de acciones de cuarentena derivadas de políticas de filtrado de contenido, antivirus/antispyware o bloqueo de archivos adjuntos. Directorios de cuarentena Messaging Security Agent pone en cuarentena los mensajes de correo según las acciones que se hayan configurado. Cree una carpeta de cuarentena para cada acción. En WFBS-A hay cuatro directorios de cuarentena: Antivirus: pone en cuarentena los mensajes de correo electrónico que contienen virus/malware, spyware/grayware, gusanos, troyanos y otras amenazas maliciosas. Antispam: pone en cuarentena los mensajes de correo spam y phishing. Bloqueo de archivos adjuntos: pone en cuarentena los mensajes de correo electrónico que contienen archivos adjuntos restringidos. Filtrado de contenido: pone en cuarentena los mensajes de correo electrónico con contenido restringido. 6-50

169 Administrar Messaging Security Agent Configurar directorios de cuarentena Especifique los directorios de cuarentena en el servidor Microsoft Exchange. El directorio de cuarentena se excluirá de la exploración. Nota: los directorios de cuarentena están basados en archivos y no residen en el almacén de información. Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Poner en cuarentena > Directorio ILUSTRACIÓN 6-6. Pantalla Directorio de cuarentena Para configurar el directorio de cuarentena 1. En la pantalla Directorio de cuarentena, defina la ruta de directorio de las siguientes carpetas de cuarentena: Antivirus Antispam 6-51

170 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Filtrado de contenido Bloqueo de archivos adjuntos Consulte Directorios de cuarentena en la página 6-50 para obtener más información. 2. Haga clic en Guardar. Consultar directorios de cuarentena Para ver información sobre mensajes puestos en cuarentena, consulte los directorios de cuarentena. Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Poner en cuarentena > Consultar ILUSTRACIÓN 6-7. Pantalla Consulta de cuarentena 6-52

171 Administrar Messaging Security Agent Para consultar los directorios de cuarentena: 1. En la pantalla Consulta de cuarentena, actualice la siguiente información si es necesario: Intervalo de fechas/horas Fecha y hora de inicio Fecha y hora de fin Motivos de la cuarentena Todos los motivos Tipos especificados: elija entre Exploración de virus, AntiSpam, Filtrado de contenido, Bloqueo de archivos adjuntos o Partes de mensaje que no se pueden explorar. Estado de reenvío No reenviado nunca Reenviado al menos una vez Ambas opciones Criterios avanzados Remitente: mensajes de remitentes específicos. Utilice comodines si es necesario. Destinatario: mensajes de destinatarios específicos. Utilice comodines si es necesario. Asunto: mensajes con asuntos específicos. Utilice comodines si es necesario. Ordenar por: configure los criterios de ordenación para la página de resultados. Pantalla: número de resultados por página. 2. Haga clic en Buscar. Consulte Mensajes en cuarentena en la página 6-54 para obtener más información. 6-53

172 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Mensajes en cuarentena Tras ejecutar una consulta, puede ver los detalles del mensaje y determinar su seguridad. Si cree que un mensaje es seguro, reenvíeselo a los destinatarios originales. En caso contrario, elimine el mensaje. Para ejecutar una consulta, consulte Consultar directorios de cuarentena en la página ADVERTENCIA: la carpeta de cuarentena contiene mensajes de correo electrónico con un riesgo elevado de infección. Actúe con precaución al manipular mensajes de correo electrónico de esta carpeta para evitar la infección accidental del cliente. ILUSTRACIÓN 6-8. Pantalla Resultados de consulta de cuarentena La pantalla Resultados de consulta de cuarentena muestra la siguiente información sobre los mensajes: Hora de exploración Remitente Destinatario Asunto Motivo: la razón por la que el mensaje está puesto en cuarentena. Nombre del archivo: nombre del archivo bloqueado en el mensaje de correo electrónico. 6-54

173 Administrar Messaging Security Agent Ruta de cuarentena: la ubicación del mensaje de correo electrónico puesto en cuarentena. El administrador puede descifrar el archivo con la herramienta VSEncoder.exe VSEncoder.exe (Restaurar virus cifrados en la página E-12) y cambiarle la extensión a.eml para verlo. ADVERTENCIA: la acción de ver archivos infectados podría propagar la infección. Estado de reenvío Para reenviar un mensaje puesto en cuarentena: En la pantalla Resultados de consulta de cuarentena, seleccione el mensaje y haga clic en. El mensaje se vuelve a enviar a los destinatarios originales. Nota: si reenvía un mensaje en cuarentena enviado originalmente por Microsoft Outlook, el destinatario podría recibir varias copias del mismo mensaje. Esto puede ocurrir porque el motor de exploración antivirus divide cada mensaje que explora en varias secciones. 6-55

174 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Mantener directorios de cuarentena Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Poner en cuarentena > Mantenimiento Use esta función para eliminar manual o automáticamente los mensajes puestos en cuarentena. Esta función puede eliminar todos los mensajes, los mensajes reenviados o los mensajes que no se han reenviado. ILUSTRACIÓN 6-9. Pantalla Mantenimiento de la cuarentena Para mantener directorios de cuarentena: 1. En la pantalla Mantenimiento de la cuarentena, actualice la siguiente información si es necesario: Activar el mantenimiento automático: solo está disponible para el mantenimiento automático. Archivos para borrar Todos los archivos en cuarentena Archivos en cuarentena que nunca se han reenviado Archivos en cuarentena que se han reenviado como mínimo una vez Acción: el número de días que deben almacenarse los mensajes. Por ejemplo, si la fecha es el 21 de noviembre y usted ha escrito 10 en el campo Eliminar los archivos seleccionados con más de, Messaging Security Agent eliminará todos los archivos anteriores al 11 de noviembre cuando se ejecute la eliminación automática. 2. Haga clic en Guardar. 6-56

175 Administrar Messaging Security Agent Administrar la herramienta End User Quarantine Durante la instalación, Messaging Security Agent añade una carpeta, Correo spam, en el buzón de correo del servidor de cada usuario final. Cuando se recibe un mensaje de spam, el sistema lo pone en cuarentena en esta carpeta, según las reglas de filtrado de spam predefinidas por parte de Messaging Security Agent. Los usuarios finales pueden ver esta carpeta para spam para abrir, leer o eliminar los mensajes de correo sospechosos. Consulte el apartado Mantenimiento del spam en la página Los usuarios finales pueden abrir los mensajes que están en cuarentena en la carpeta de spam. Cuando abren uno de estos mensajes, aparecen dos botones en el propio mensaje de correo: Remitente permitido y Ver la lista de remitentes permitidos. Si se hace clic en Remitente permitido, Messaging Security Agent mueve el mensaje de ese remitente hasta su bandeja de entrada y añade la dirección del mensaje a la lista de remitentes permitidos. Al hacer clic en Ver la lista de remitentes permitidos se abre otra pantalla que permite al usuario final ver y modificar la lista de remitentes permitidos por correo SMTP o por dominio. Cuando el servidor Microsoft Exchange recibe un mensaje de una de las direcciones incluidas en la lista de remitentes permitidos del usuario, lo envía a la bandeja de entrada del usuario final, independientemente del encabezado o del contenido del mensaje. Nota: WFBS-A también proporciona a los administradores una lista de remitentes permitidos y remitentes bloqueados. Messaging Security Agent aplica la lista de remitentes permitidos y bloqueados del administrador antes que la del usuario final. Característica de mantenimiento de End User Quarantine La característica de mantenimiento de Messaging Security Agent realiza las tareas programadas cada 24 horas a la hora predeterminada (2:30 a.m.): Elimina automáticamente los mensajes de spam caducados. Crea nuevamente la carpeta de spam cuando se ha eliminado. Crea las carpetas de spam para cuentas de correo electrónico recientemente creadas. Mantiene las reglas para los mensajes de correo electrónico. La característica de mantenimiento es una parte integral de Messaging Security Agent y no requiere configuración alguna. 6-57

176 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Operaciones Durante la instalación, Messaging Security Agent crea una carpeta, Correo spam, en el buzón de correo del servidor de cada usuario final. Cuando se recibe un mensaje de spam, el sistema lo pone en cuarentena en esta carpeta, según las reglas de filtrado de spam predefinidas por parte de Messaging Security Agent. Los usuarios finales pueden ver esta carpeta para spam para abrir, leer o eliminar los mensajes de correo sospechosos. Los administradores también pueden crear una carpeta para el correo spam en Microsoft Exchange. Cuando un administrador crea una cuenta de buzón de correo, la entidad del buzón de correo no se crea inmediatamente en el servidor Microsoft Exchange, sino que se crea si se dan las siguientes condiciones: Un usuario final inicia una sesión por primera vez en el buzón de correo. Llega el primer mensaje de correo electrónico al buzón de correo. El administrador debe crear en primer lugar la entidad del buzón de correo antes de que EUQ pueda crear la carpeta para spam. Los usuarios finales pueden abrir los mensajes que están en cuarentena en la carpeta de spam. Cuando abren uno de estos mensajes, aparecen dos botones en el propio mensaje de correo: Remitente permitido y Ver la lista de remitentes permitidos. Si se hace clic en Remitente permitido, Messaging Security Agent mueve el mensaje desde la carpeta de spam hasta su bandeja de entrada local, añade la dirección del mensaje a la lista de remitentes permitidos y registra el suceso (posteriormente el administrador puede visualizar este registro en un informe). Al hacer clic en Ver la lista de remitentes permitidos se abre otra pantalla que permite al usuario final ver y modificar la lista de remitentes permitidos por nombre, dirección de correo SMTP o por dominio. Cuando el servidor Microsoft Exchange recibe un mensaje de una de las direcciones incluidas en la lista de remitentes permitidos del usuario, lo envía a la bandeja de entrada del usuario final, independientemente del encabezado o del contenido del mensaje. 6-58

177 Administrar Messaging Security Agent Configuración de la notificación Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Operaciones > Configuración de la notificación WFBS-A puede enviar notificaciones en forma de mensajes de correo electrónico a diversas alertas. Algunas notificaciones se pueden configurar para aplicarse únicamente a mensajes de correo electrónico internos. Defina las direcciones de correo electrónico o los dominios que desea tratar como direcciones internas. Las definiciones personalizadas de correo interno son útiles cuando la empresa tiene dos (o más) dominios y se desea tratar los mensajes de correo electrónico de ambos dominios como mensajes de correo internos. Por ejemplo: ejemplo.com y ejemplo.net. Los destinatarios de la lista Definición de correo interno recibirán mensajes con notificaciones si activa la casilla de verificación No notificar a remitentes externos en la Configuración de la notificación de Antivirus, Filtrado de contenidos y Bloqueo de archivos adjuntos. No confunda la lista Definición de correo interno con la lista Remitentes permitidos. Para evitar que todos los mensajes de correo provenientes de direcciones con dominios externos se marquen como spam, agregue las direcciones de correo electrónico externo a las listas de antispam de Remitentes permitidos. ILUSTRACIÓN Pantalla Configuración de la notificación 6-59

178 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para definir la configuración de las notificaciones: 1. En la pantalla Configuración de la notificación, actualice la siguiente información según sea necesario: Dirección de correo electrónico: dirección en nombre de la cual WFBS-A enviará los mensajes de notificación. Definición de correo interno Predeterminada: WFBS-A tratará los mensajes de correo electrónico del mismo dominio como mensajes internos. Personalizada: especifique direcciones de correo electrónico o dominios determinados que desee tratar como mensajes de correo electrónico internos. 2. Haga clic en Guardar. Mantenimiento del spam Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Operaciones > Mantenimiento del spam ILUSTRACIÓN Pantalla Mantenimiento del spam 6-60

179 Administrar Messaging Security Agent Para mantener el spam: 1. En la pantalla Mantenimiento del spam, actualice la siguiente información si es necesario: Activar la herramienta End User Quarantine: crea una herramienta de cuarentena del usuario final en todos los buzones del servidor Exchange. Consejo: si selecciona esta opción, Trend Micro recomienda desactivar la barra de herramientas antispam de Trend Micro en los agentes para aumentar el rendimiento de los clientes. Consulte Administración de POP3 Mail Scan en la página Nota: debe activar la herramienta EUQ para que funcione la acción Antispam > Poner en cuarentena el mensaje en la carpeta para spam del usuario. Crear carpeta para spam y eliminar los mensajes de spam: se puede crear una nueva carpeta de spam para todos los usuarios nuevos que agregue al servidor Exchange en el que está instalada la herramienta End User Quarantine. Si hace clic en Crear carpeta para spam y eliminar los mensajes de spam, se creará inmediatamente la carpeta de spam para el nuevo usuario. Eliminar los mensajes de spam con más de: especifique el número de días que se conservarán los mensajes de spam antes de eliminar los mensajes. Lista de excepciones de la herramienta End User Quarantine: las direcciones de correo electrónico de esta lista no tienen activada la herramienta End User Quarantine. Para agregar una dirección de correo electrónico nueva, escriba la dirección de correo electrónico y haga clic en Agregar. Para eliminar una dirección de correo electrónico existente, seleccione la dirección y haga clic en Eliminar. 2. Haga clic en Guardar. 6-61

180 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Depurador/asistencia de Trend el Depurador de Messaging Security Agent le ayuda a depurar o simplemente a informar sobre el estado de los procesos de Messaging Security Agent. Si se produce algún problema inesperado, puede utilizar el depurador para crear informes y enviarlos al equipo de asistencia técnica de Trend Micro para que lo analice. Cada módulo de Messaging Security inserta mensajes en el programa y, a continuación, registra la acción en los archivos de registro al ejecutarse. Puede reenviar los registros al equipo cualificado de asistencia técnica de Trend Micro para que depure el flujo real del programa en su entorno. Utilice el depurador para generar registros en los siguientes módulos: Servicio maestro de Messaging Security Agent Servidor de configuración remota de Messaging Security Agent Supervisión del sistema de Messaging Security Agent API de exploración antivirus (VSAPI) Protocolo SMTP (Protocolo simple de transferencia de correo) Interfaz CGI De manera predeterminada Messaging Security Agent mantiene los registros en el siguiente directorio: c:\archivos de programa\trend Micro\Messaging Security Agent\Debug Para visualizar la salida utilice cualquier editor de texto. Generar informes del depurador del sistema Ruta de navegación: Configuración de seguridad > Seleccionar Messaging Security Agent > Configurar > Operaciones > Depurador del sistema/asistencia de Trend Puede generar informes del depurador para ayudar al servicio de asistencia de Trend a solucionar posibles problemas. 6-62

181 Administrar Messaging Security Agent Para generar informes con el depurador: ILUSTRACIÓN Pantalla Depurador/Asistencia de Trend 1. En la pantalla Depurador del sistema/asistencia de Trend, seleccione los módulos que desee supervisar: Servicio maestro de Messaging Security Agent Servidor de configuración remota de Messaging Security Agent Supervisión del sistema de Messaging Security Agent API de exploración antivirus (VSAPI) Protocolo SMTP (Protocolo simple de transferencia de correo) Interfaz CGI 2. Haga clic en Aplicar. El depurador empezará a recopilar datos sobre los módulos seleccionados. Nota: el depurador de Messaging Security Agent seguirá recopilando datos sobre la depuración hasta que borre todos los elementos que ha estado depurando y haga clic en Aplicar. 6-63

182 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Agregar servidores Microsoft Exchange al árbol Grupos de seguridad Cuando se agrega un servidor Microsoft Exchange, Security Server implementa Messaging Security Agent en el servidor Microsoft Exchange y añade el icono correspondiente a ese servidor Exchange al árbol Grupos de seguridad. El servidor Microsoft Exchange del cliente se añade a la lista de equipos en la pantalla Configuración de seguridad. Cuando se ha instalado Messaging Security Agent en el cliente, empezará a enviar información de seguridad a Security Server. Security Server dispone de un asistente con instrucciones que le ayudará a agregar, instalar o actualizar Messaging Security Agent en un servidor Microsoft Exchange. Para agregar un equipo de sobremesa o un servidor Microsoft Exchange: 1. Abra la pantalla Configuración de seguridad. 2. Haga clic en Agregar. Aparecerá la pantalla Configuración de seguridad > Agregar equipo. 3. Seleccione Servidor Exchange. La pantalla cambiará y mostrará el nombre del servidor, la cuenta y la contraseña. Escriba aquí su información. La cuenta debe ser de administrador de dominios. 4. Haga clic en Siguiente. El asistente de instalación abrirá una pantalla que variará según el tipo de instalación que necesite. Instalación desde cero: instalación en un servidor Microsoft Exchange sin versiones anteriores de Messaging Security. Actualizar: instalación en un servidor Microsoft Exchange con versiones anteriores de Messaging Security (también conocido como ScanMail). No es necesario instalar: agregar un servidor Microsoft Exchange que ya tenga Messaging Security instalado en el árbol Grupos de seguridad. No válida: un mensaje le avisa de que hay un problema con la instalación. 6-64

183 Administrar Messaging Security Agent Quitar servidores Microsoft Exchange de la consola Web La función Quitar permite llevar a cabo dos tareas: Quitar el icono de servidor Microsoft Exchange de la consola Web Es posible que en algunas situaciones los servidores Microsoft Exchange se vuelvan inactivos. En tales casos, quizá desee eliminar el icono del servidor Microsoft Exchange de la consola Web. Desinstalar los agentes de Messaging Security Agent del servidor Microsoft Exchange (y, por lo tanto, quitar el icono del servidor Microsoft Exchange de la consola Web) Si en el servidor Microsoft Exchange se ha instalado el agente Messaging Security Agent, este podrá activarse y aparecer en la consola Web. Para quitar de forma definitiva el servidor Microsoft Exchange inactivo se debe desinstalar primero Messaging Security Agent. Nota: en el caso de servidores Microsoft Exchange 5.5 que ejecutan ScanMail 3.82 conectados a la red no es posible realizar la desinstalación desde la consola Web. Desde la consola Web puede eliminar un solo servidor Microsoft Exchange o todo un grupo. ADVERTENCIA: si elimina el agente Messaging Security Agent de un equipo, puede exponer el servidor Microsoft Exchange a virus y otros tipos de malware. Para quitar un servidor Microsoft Exchange: 1. Haga clic en el grupo o servidor Microsoft Exchange que desee eliminar de la consola Web. 2. Haga clic en Eliminar en la barra de herramientas. a. Seleccione Eliminar para eliminar el icono del cliente de la consola Web. 6-65

184 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 b. Seleccione Desinstalar para eliminar el agente Messaging Security Agent del servidor Microsoft Exchange seleccionado y eliminar los iconos de equipo de la consola Web. i. Si es necesario, escriba el nombre y la contraseña de la cuenta del servidor Microsoft Exchange que desee eliminar. ii. Haga clic en la opción Aceptar del mensaje de advertencia para completar la desinstalación. 3. Haga clic en Siguiente. 4. Confirme la acción haciendo clic en Aplicar. Nota: no podrá desinstalar el grupo si aún quedan clientes registrados en él. Para eliminar el grupo, elimine o desinstale antes los agentes. Replicar la configuración en servidores Microsoft Exchange Para ahorrar tiempo y mantener la coherencia de la configuración de seguridad, tiene en sus manos la posibilidad de replicar la configuración entre servidores Microsoft Exchange. Para replicar la configuración: 1. Desde la pantalla Configuración de seguridad, seleccione el servidor Microsoft Exchange cuya configuración desee replicar. 2. Haga clic en Replicar. Se abrirá la pantalla Configuración de seguridad > Replicar mostrando la fuente seleccionada en la pantalla anterior. 3. Seleccione el servidor Microsoft Exchange o grupo de servidores de destino en los que desee replicar la configuración. 4. Haga clic en Aplicar. Nota: la configuración solo se puede replicar de un servidor Microsoft Exchange fuente a otro de destino que compartan el mismo dominio. 6-66

185 Administrar Messaging Security Agent Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes Puede agregar un mensaje de renuncia de responsabilidad, pero solo a los mensajes salientes. Para agregar una renuncia de responsabilidad a cada mensaje de correo saliente: 1. Cree un archivo de texto y añada la renuncia de responsabilidad a este archivo. 2. Modifique las siguientes claves en el registro: Primera clave: Ruta:HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: EnableDisclaimer Tipo: REG_DWORD Valor de datos: 0: desactivar, 1: activar Segunda clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: DisclaimerSource Tipo: REG_SZ Valor: la ruta completa del archivo de contenido de la renuncia de responsabilidad. Por ejemplo, C:\Data\Renuncia.txt Nota: de forma predeterminada, WFBS-A detecta si un mensaje saliente se envía a los dominios internos o externos, y añade una renuncia de responsabilidad a cada mensaje enviado a los dominios externos. El usuario puede sobrescribir la configuración predeterminada y agregar una renuncia de responsabilidad a cada mensaje de correo saliente, excepto a los dominios incluidos en la siguiente clave de registro: 6-67

186 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Tercera clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: InternalDomains Tipo: REG_SZ Valor: escriba los nombres de dominios que deben excluirse. Utilice un punto y coma (;) para separar varios elementos. Por ejemplo: dominio1.org;dominio2.org Nota: aquí, los nombres de dominio son los nombres DNS de los servidores de Microsoft Exchange. 6-68

187 Capítulo 7 Utilizar la característica Defensa frente a epidemias En este capítulo se explica la estrategia de la Defensa frente a epidemias, cómo configurar la función Defensa frente a epidemias y cómo utilizarla para proteger las redes y los clientes. Este capítulo incluye los siguientes temas: Estrategia de la defensa frente a epidemias en la página 7-2 Estado actual de Defensa frente a epidemias en la página 7-4 Amenaza potencial en la página 7-9 Configurar Defensa frente a epidemias en la página 7-11 Definir la configuración de la valoración de vulnerabilidades en la página

188 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Estrategia de la defensa frente a epidemias La función Defensa frente a epidemias es un componente básico de la solución WFBS-A y protege a su empresa frente a virus o epidemias de virus mundiales. La estrategia de la defensa frente a epidemias se basa en el ciclo de vida de una epidemia en Internet. Dicho ciclo consta de tres etapas: Prevención frente a amenazas, Protección frente a amenazas y Limpieza de amenazas. Trend Micro aplica una estrategia de defensa, llamada Defensa frente a epidemias, en cada etapa del ciclo. TABLA 7-1. Respuesta de la defensa frente a epidemias para las etapas del ciclo de vida de una epidemia Etapa de la epidemia Durante la primera etapa del ciclo de vida de una epidemia, los expertos de Trend Micro descubren una amenaza que está circulando activamente por Internet. En este momento, no existe una solución conocida para esa amenaza. En la segunda etapa de la epidemia, los equipos atacados por la amenaza la transmiten a otros equipos. La amenaza comienza a propagarse rápidamente por las redes locales, lo que puede interrumpir la actividad empresarial y dañar los equipos. Etapa de la defensa frente a epidemias Prevención frente a amenazas La defensa frente a epidemias evita que la amenaza ataque los equipos y la red realizando acciones. Estas acciones se basan en la política de epidemias descargada de los servidores de actualización de Trend Micro. Es posible enviar alertas, bloquear puertos y denegar el acceso a las carpetas y los archivos. Protección frente a amenazas La defensa frente a epidemias indica a los equipos en riesgo que descarguen los componentes y los parches de revisión más recientes para que estén protegidos. 7-2

189 Utilizar la característica Defensa frente a epidemias Etapa de la epidemia En la tercera y última etapa de una epidemia, la amenaza va disminuyendo con cada vez menos incidentes registrados. Etapa de la defensa frente a epidemias Limpieza de amenazas La defensa frente a epidemias repara los daños sufridos con los servicios de limpieza. Otras exploraciones ofrecen información que los administradores pueden utilizar para afrontar otras amenazas en el futuro. Acciones de la defensa frente a epidemias La estrategia de la defensa frente a epidemias se diseñó para administrar epidemias en todas las etapas de su ciclo de vida. Según la política de prevención de epidemias, la respuesta automática frente a epidemias lleva a cabo pasos preventivos como: Bloquear las carpetas compartidas para impedir que los virus/malware infecten sus archivos Bloquear archivos con determinadas extensiones en Microsoft Exchange Server Añadir reglas de filtrado de contenido a Messaging Security Agent Bloquear los puertos para impedir que los virus/malware utilicen los puertos desprotegidos para extender la infección por la red y los clientes Nota: la defensa frente a epidemias nunca bloquea el puerto que utiliza Security Server para comunicarse con los clientes. Denegar el acceso de escritura a archivos y carpetas para evitar que los virus/malware modifiquen los archivos Determinar qué clientes de la red son vulnerables a la epidemia actual Implementar los componentes más recientes, como el archivo de patrones de virus y el motor de limpieza de virus Realizar una limpieza en todos los clientes afectados por la epidemia Si está activada, explorar los clientes y las redes y emprender acciones contra las amenazas detectadas 7-3

190 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Estado actual de Defensa frente a epidemias Ruta de navegación: Defensa frente a epidemias > Estado actual La consola Web muestra y realiza un seguimiento del estado de una amenaza de epidemia de virus/malware mundial en la pantalla Estado actual. El estado se corresponde prácticamente con el ciclo de vida de la epidemia. Durante una epidemia, Defensa frente a epidemias pone en práctica una Estrategia de la defensa frente a epidemias para proteger los equipos y las redes. En cada etapa, actualiza la información en la página Estado actual. Las tres etapas de Defensa frente a epidemias son: 1. Prevención frente a amenazas 2. Protección frente a amenazas 3. Limpieza de amenazas ILUSTRACIÓN 7-1. Pantalla Defensa frente a epidemias: sin una amenaza 7-4

191 Utilizar la característica Defensa frente a epidemias Prevención frente a amenazas La etapa Prevención frente a amenazas de la pantalla Estado actual muestra información sobre las amenazas recientes, los clientes que tienen alertas activadas y los clientes que son vulnerables a la amenaza actual. ILUSTRACIÓN 7-2. Pantalla Defensa frente a epidemias: etapa Prevención frente a amenazas 7-5

192 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Información de la amenaza En la sección Información de la amenaza se muestra información sobre los virus/malware que circulan actualmente por Internet y que podrían afectar a la red y a los clientes. A partir de la información de las amenazas, la Política de prevención de epidemias pone en práctica los pasos necesarios para proteger la red y los clientes mientras Trend Micro desarrolla una solución (consulte Política de prevención de epidemias en la página C-2). Para obtener más información sobre una amenaza, haga clic en Ayuda > Información de seguridad para redirigir el explorador al sitio Web de Trend Micro. En este apartado encontrará la información siguiente: Nivel de riesgo: el nivel de riesgo que la amenaza supone para los clientes y redes se basa en el número y en la gravedad del incidente de virus/malware y de código malicioso. Detalles de la respuesta automática: haga clic aquí para ver las acciones concretas que Defensa frente a epidemias utiliza para proteger los clientes de la amenaza actual. Haga clic en Desactivar para detener la respuesta automática en el servidor yen los agentes. Nota: después de desactivar la Defensa frente a epidemias, Trend Micro recomienda ejecutar la acción Limpiar ahora para eliminar de los clientes los troyanos y cualquier proceso en ejecución relacionado con troyanos u otro tipo de código malicioso (consulte Damage Cleanup Services en la página C-2). Estado de alerta de los equipos en línea En Estado de alerta de los equipos en línea se muestra el número total de clientes que tienen y no tienen activada la alerta automática. Haga clic en el enlace numerado situado debajo de las columnas Activada y No activada para ver más información sobre clientes concretos. Equipos vulnerables En la sección Equipos vulnerables se ofrece una lista de clientes que son vulnerables a la amenaza indicada en la sección Información de la amenaza. 7-6

193 Utilizar la característica Defensa frente a epidemias Protección frente a amenazas La fase Protección frente a amenazas de la pantalla Estado actual facilita información sobre el Estado de descarga de la solución referente a los componentes de actualización de Trend Micro y el Estado de implementación de la solución referente a todos los agentes. ILUSTRACIÓN 7-3. Pantalla Defensa frente a epidemias: etapa Protección Estado de descarga de la solución Muestra una lista de los componentes que deben actualizarse debido a la amenaza indicada en la sección Información de la amenaza. Estado de implementación de la solución Muestra el número de agentes que tienen componentes actualizados y obsoletos. También facilita enlaces a clientes con componentes actualizados u obsoletos. 7-7

194 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Limpieza de amenazas La etapa Limpieza de amenazas de la pantalla Estado actual muestra el estado de la exploración que se realiza tras implementar los componentes actualizados. En la fase Limpieza de amenazas también se muestra el estado de los clientes tras la exploración y se indica si en las actualizaciones fue posible limpiar o eliminar los restos de amenazas. ILUSTRACIÓN 7-4. Pantalla Defensa frente a epidemias: etapa Limpieza Nota: para que se lleve a cabo una exploración automática tras la implementación de los nuevos componentes, debe activarla en la pantalla Defensa frente a epidemias > Configuración. 7-8

195 Utilizar la característica Defensa frente a epidemias Estado de la exploración de equipos para Haga clic en los enlaces para ver una lista de clientes que han recibido notificación para explorar en busca de amenazas o que todavía no la han recibido. Los clientes que no estén encendidos o que se hayan desconectado de la red no podrán recibir notificaciones. Estado de la limpieza de equipos para En este panel se muestran los resultados de la exploración de limpieza. Haga clic en Exportar para exportar esta información. Amenaza potencial Ruta de navegación: Defensa frente a epidemias > Amenaza potencial La pantalla Amenaza potencial muestra información sobre los riesgos de seguridad para los clientes de sobremesa y la red. Security Server recopila información sobre las amenazas con las utilidades Valoración de vulnerabilidades y los servicios de limpieza. ILUSTRACIÓN 7-5. Pantalla Amenazas potenciales 7-9

196 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 A diferencia de la pantalla Amenaza actual, que solo contiene información sobre una amenaza actual, la pantalla Amenaza potencial muestra información sobre todas las amenazas para los clientes y la red que todavía no se han resuelto. Equipos vulnerables Un equipo vulnerable presenta puntos débiles en su sistema operativo o en sus aplicaciones. Muchas amenazas aprovechan estas vulnerabilidades para causar daños o para obtener un control no autorizado. Por lo tanto, las vulnerabilidades suponen un riesgo no solo para cada equipo en su ubicación, sino que también para el resto de equipos de la red. La sección Equipos vulnerables muestra todos los clientes de la red con vulnerabilidades detectadas desde la última valoración de vulnerabilidades. Puede ver la hora de la última actualización en la esquina superior derecha de la pantalla. La pantalla Amenaza potencial clasifica los clientes según el nivel de riesgo que suponen para la red. Trend Micro calcula el nivel de riesgo, el cual representa el número relativo y la gravedad de las vulnerabilidades de cada cliente. Si hace clic en Buscar vulnerabilidades ahora, WFBS-A realiza una valoración de vulnerabilidades. Una valoración de vulnerabilidades busca vulnerabilidades en todos los clientes de la red y muestra los resultados en la pantalla Amenaza potencial. La valoración de vulnerabilidades puede suministrar la siguiente información sobre los clientes de la red: Identificar vulnerabilidades según unas convenciones estándar de nomenclatura. Para obtener más información sobre la vulnerabilidad y cómo solucionarla, haga clic en su nombre. Visualizar las vulnerabilidades por cliente y dirección IP. Entre los resultados se incluye el nivel de riesgo que suponen las vulnerabilidades para el cliente y toda la red. Comunicar las vulnerabilidades. Comunicar las vulnerabilidades de clientes individuales y describir los riesgos de seguridad que esos clientes suponen para toda la red. 7-10

197 Utilizar la característica Defensa frente a epidemias Ejecutar Limpiar ahora Puede iniciar manualmente una limpieza si ejecuta Limpiar ahora. Para ejecutar Limpiar ahora: 1. Haga clic en Defensa frente a epidemias > Amenaza potencial. 2. Haga clic en el enlace Limpiar ahora. De forma predeterminada, Security Server notifica a todos los agentes que ejecuten Limpiar ahora. Configurar Defensa frente a epidemias Utilice la pantalla Configuración para configurar las opciones de Defensa frente a epidemias y valoración de vulnerabilidades. Configuración de la defensa frente a epidemias WFBS-A inicia la defensa frente a epidemias en respuesta a las instrucciones que recibe en la política de prevención de epidemias. Trend Micro diseña y envía la política de prevención de epidemias de Trend Micro para ofrecer una protección óptima a los clientes y la red durante una epidemia. Trend Micro crea la política de prevención de epidemias cuando observa incidentes frecuentes y graves de virus y virus/malware que están en circulación activa por Internet. De forma predeterminada, Security Server descarga la política de prevención de epidemias del servidor ActiveUpdate de Trend Micro cada 30 minutos o siempre que se inicia Security Server. Durante la defensa frente a epidemias, Security Server aplica la política de prevención de epidemias y realiza acciones para proteger los clientes y la red. En estas circunstancias se interrumpen las funciones normales de la red con medidas tales como el bloqueo de puertos y la inaccesibilidad a los directorios. En la configuración de la defensa frente a epidemias, puede personalizar la defensa frente a epidemias en los clientes y la red y evitar así consecuencias inesperadas a causa de las políticas aplicadas durante la defensa frente a epidemias. 7-11

198 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Alertas rojas Varias unidades de negocio han informado de la creciente propagación de virus/malware. Como respuesta, Trend Micro ha activado el proceso de solución Alerta roja de 45 minutos, que implica el lanzamiento de soluciones preventivas y patrones de exploración así como el envío de notificaciones importantes. Trend Micro también puede enviar herramientas de corrección e información sobre vulnerabilidades relacionadas y amenazas. Alertas amarillas Se reciben informes de infecciones de varias unidades de negocio además de llamadas de asistencia que confirman la existencia de casos dispersos. Automáticamente se envía una publicación del patrón oficial (OPR) a los servidores de implementación y se pone a disposición para la descarga. En caso de tratarse de virus/malware que se propaga a través del correo electrónico, se envían reglas de filtrado de contenidos (denominadas políticas de prevención de epidemias u OPP) para bloquear automáticamente los archivos adjuntos relacionados en los servidores equipados con esta funcionalidad del producto. Configuración recomendada para Defensa frente a epidemias Se proporcionan las siguientes opciones de configuración para lograr una protección óptima: TABLA 7-2. Configuración recomendada para Defensa frente a epidemias Configuración Activar la defensa automática frente a epidemias para las alertas rojas emitidas por Trend Micro Desactivar las alertas rojas después de Desactivar las alertas rojas después de implementar los componentes necesarios Exploraciones automáticas de equipos de sobremesa/servidores Exploraciones automáticas de Microsoft Exchange Valor recomendado Activada 2 días Activada Activada Activada 7-12

199 Utilizar la característica Defensa frente a epidemias TABLA 7-2. Configuración recomendada para Defensa frente a epidemias (continuación) Configuración Activar la defensa automática frente a epidemias para las alertas amarillas emitidas por Trend Micro Desactivar las alertas amarillas después de Desactivar las alertas amarillas después de implementar el patrón/motor necesario Desactivar las alertas amarillas después de implementar el patrón/motor necesario Exploraciones automáticas de equipos de sobremesa/servidores Exploraciones automáticas de Microsoft Exchange Excepciones Configuración de la descarga programada de políticas Valor recomendado Desactivada NA NA NA Activada Activada No se bloquearán los puertos para los siguientes servicios durante la respuesta automática de la defensa frente a epidemias. DNS NetBios HTTPS (servidor Web seguro) HTTP (servidor Web) Telnet SMTP (protocolo de transferencia de correo simple) FTP (protocolo de transferencia de archivos) Correo de Internet (POP3) Frecuencia: cada 30 minutos Origen: servidor ActiveUpdate de Trend Micro 7-13

200 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configurar las opciones de Defensa frente a epidemias Nota: Trend Micro ha diseñado la defensa frente a epidemias predeterminada para garantizar una protección óptima de los clientes y la red. Antes de personalizar la configuración de la defensa frene a epidemias, revise con detenimiento la configuración y modifique solo los valores que conozca bien y cuyas consecuencias entienda. Ruta de navegación: Defensa frente a epidemias > Configuración > pestaña Defensa frente a epidemias ILUSTRACIÓN 7-6. Pestaña Defensa frente a epidemias de la pantalla Configuración de la defensa frente a epidemias 7-14

201 Utilizar la característica Defensa frente a epidemias Para configurar Defensa frente a epidemias: 1. Actualice las siguientes opciones si es necesario: Activar la defensa frente a epidemias para las alertas rojas emitidas por Trend Micro: las políticas de la defensa frente a epidemias surten efecto hasta que se haga clic en la opción Defensa frente a epidemias > Estado actual > Desactivar o hasta que se cumpla uno de los valores de desactivación. Cuando Security Server descarga una nueva política de prevención de epidemias, deja de surtir efecto la política antigua. Desactivar las alertas rojas después de x días: duración de la alerta de Defensa frente a epidemias. Realizar una exploración automática antivirus después de implementar los componentes necesarios para: Equipos de sobremesa/servidores Servidores Microsoft Exchange Configuración de las alertas amarillas: configure las opciones para las alertas amarillas. Consulte Alertas amarillas en la página 7-12 para obtener más información. Excepciones: los puertos no se bloquearán durante la respuesta automática de la defensa frente a epidemias. Consulte Utilizar las excepciones de la defensa frente a epidemias en la página 7-16 para trabajar con excepciones. Nota: cuando agregue una nueva excepción, asegúrese de que la opción Activar esta excepción esté activada. Configuración de la descarga programada de políticas: configuración para descargar periódicamente componentes actualizados. Frecuencia Origen: el origen de las actualizaciones. Servidor Trend Micro ActiveUpdate (valor predeterminado) Ubicación de la intranet que contiene una copia del archivo actual Otra fuente de actualización: cualquier otra fuente de actualización en la Web. 2. Haga clic en Guardar. 7-15

202 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Utilizar las excepciones de la defensa frente a epidemias Ruta de navegación: Defensa frente a epidemias > Configuración > pestaña Defensa frente a epidemias Utilice las excepciones para agregar, editar o eliminar puertos con el fin de excluirlos del bloqueo. ILUSTRACIÓN 7-7. Sección Excepciones de la pantalla Configuración de la defensa frente a epidemias Para agregar una excepción: 1. Haga clic en el icono más (+) de la sección Excepciones. 2. Haga clic en Agregar. 3. En la pantalla Defensa frente a epidemias > Configuración > Agregar excepción, actualice las siguientes opciones según sea necesario: Activar esta excepción Descripción: descripción breve que ayude a identificar la excepción. Protocolo: seleccione el protocolo al que se aplicará la excepción. Puertos: escriba un rango de puertos o puertos específicos para la excepción. Separe las distintas entradas mediante punto y coma (;). 4. Haga clic en Agregar. 7-16

203 Utilizar la característica Defensa frente a epidemias Para editar una excepción: 1. Haga clic en el icono más (+) de la sección Excepciones. 2. Seleccione la excepción y haga clic en Editar. 3. Actualice las opciones según sea necesario. 4. Haga clic en Guardar. Para eliminar una excepción: Consejo: en lugar de eliminar una excepción, puede desactivarla. 1. Haga clic en el icono más (+) de la sección Excepciones. 2. Seleccione la excepción y haga clic en Eliminar. 3. Haga clic en Aceptar para confirmar. Ver los detalles de la defensa frente a epidemias automática Ruta de navegación: Defensa frente a epidemias > Estado actual > Panel Prevención Durante una epidemia, Security Server activa la defensa frente a epidemias. La defensa automática frente a epidemias evita que la epidemia actual ataque los equipos y la red durante el periodo de tiempo crítico en que TrendLabs crea la solución para dicha epidemia. La defensa automática frente a epidemias realiza las siguientes acciones durante una epidemia de virus: Bloquear las carpetas compartidas para impedir que los virus infecten sus archivos Bloquear los puertos para impedir que los virus utilicen los puertos desprotegidos para infectar los archivos de la red y los clientes Nota: la defensa frente a epidemias nunca bloquea el puerto que utiliza Security Server para comunicarse con los clientes. Denegar el acceso de escritura a archivos y carpetas para evitar que los virus modifiquen los archivos 7-17

204 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Activa el bloqueo de archivos adjuntos para evitar la entrada de archivos sospechosos Activar el filtrado de contenidos y crear una regla Coincidir todo o Coincidir cualquiera para filtrar el contenido peligroso Definir la configuración de la valoración de vulnerabilidades Ruta de navegación: Defensa frente a epidemias > Configuración > pestaña Valoración de vulnerabilidades La configuración de Valoración de vulnerabilidades determina la frecuencia y el destino de las exploraciones de prevención de vulnerabilidades. ILUSTRACIÓN 7-8. Pestaña Valoración de vulnerabilidades de la pantalla Configuración de la defensa frente a epidemias 7-18

205 Utilizar la característica Defensa frente a epidemias Para configurar la frecuencia de Valoración de vulnerabilidades: 1. En la pestaña Valoración de vulnerabilidades de la pantalla Defensa frente a epidemias > Configuración, actualice las siguientes opciones si es necesario: Activar la prevención programada de vulnerabilidades Frecuencia: seleccione entre Diariamente, Semanalmente o Mensualmente. Si selecciona Semanalmente o Mensualmente, establezca el día de la semana o del mes. Hora de inicio Destino Todos los grupos: explora todos los clientes que aparecen en el árbol de administración de grupos de la pantalla Configuración de seguridad. Grupos especificados: limita la exploración de valoración de vulnerabilidades a los grupos seleccionados. 2. Haga clic en Guardar. 7-19

206 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

207 Capítulo 8 Gestionar las exploraciones En este capítulo se describe cómo utilizar la exploración inteligente, la exploración convencional y las exploraciones manuales y programadas para proteger la red y los clientes de virus/malware y otras amenazas. Este capítulo incluye los siguientes temas: Acerca de la exploración en la página 8-2 Métodos de exploración en la página 8-2 Tipos de exploración en la página 8-3 Configurar las opciones de exploración manual y programada en la página 8-3 Configurar opciones de exploración para servidores Microsoft Exchange en la página 8-9 Programar exploraciones en la página

208 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Acerca de la exploración WFBS-A ofrece tres tipos de exploraciones para proteger a los clientes de las amenazas de Internet: exploración manual, programada y en tiempo real. Cada exploración tiene un objetivo y un uso distinto pero todas se configuran aproximadamente del mismo modo. En este capítulo se describen las exploraciones manual y programada. Métodos de exploración La exploración del cliente se realiza de dos formas distintas: Exploración convencional: el cliente usa su propio motor de exploración y archivo de patrones local para identificar las amenazas. Exploración inteligente: el cliente emplea su propio motor de exploración, pero en vez de utilizar un solo archivo de patrón local para identificar las amenazas, utiliza principalmente el archivo de patrón del Scan Server. Nota: en esta implementación de WFBS-A, Security Server funciona como servidor de exploración. El servidor de exploración es sencillamente un servicio que se ejecuta en Security Server. El servidor de exploración se instala automáticamente con la instalación de Security Server; no es necesario que lo instale independientemente. Si los clientes están configurados para la exploración inteligente pero no se pueden conectar al servicio de exploración inteligente, intentarán conectarse al servidor de exploración inteligente global de Trend Micro. 8-2

209 Gestionar las exploraciones Selección del método de exploración Si la exploración de un cliente ralentiza los equipos del cliente, piense en cambiar a la exploración inteligente. De forma predeterminada, la exploración inteligente está activada. Puede desactivar la exploración inteligente para todos los clientes en la pantalla Preferencias > Configuración general de Configuración de la exploración general. Para seleccionar el método de exploración: 1. Haga clic en Configuración de seguridad y, a continuación, en un servidor o equipo de sobremesa. 2. Haga clic en Configurar. 3. En la parte superior de la pantalla, haga clic en Exploración inteligente o en Exploración convencional. Nota: si los clientes están configurados para la exploración inteligente pero no se pueden conectar al servidor de exploración inteligente, intentarán conectarse al servidor de exploración inteligente global de Trend Micro. Tipos de exploración WFBS-A ofrece las siguientes modalidades de exploración: Exploración en tiempo real: una exploración continua que se ejecuta cada vez que los usuarios del cliente descargan, guardan, copian, modifican o abren un archivo. Exploración manual: una exploración bajo petición que pueden iniciar los usuarios del cliente o el administrador. Exploración programada: una exploración que se inicia a intervalos regulares y programados. Para obtener más información, consulte Tipos de exploración en la página 5-3. Configurar las opciones de exploración manual y programada La configuración de las opciones de exploración implica determinar el destino (archivos que explorar) y la acción (acción para las amenazas que se detecten). 8-3

210 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ruta de navegación: Exploraciones > Exploración manual o Exploración programada > clic en un grupo 8-4

211 Gestionar las exploraciones Para configurar las opciones de exploración: 1. En la pantalla de opciones de exploración del grupo, actualice la siguiente información si es necesario. Archivos para explorar Todos los archivos explorables: solo quedan excluidos los archivos cifrados o protegidos por contraseña. IntelliScan: explora los archivos basándose en el tipo de archivo verdadero. Consulte IntelliScan en la página C-4 para obtener más información. Explorar archivos con las siguientes extensiones: WFBS-A explora los archivos con las extensiones seleccionadas. Separe las distintas entradas mediante comas (,). Explorar unidades asignadas y carpetas compartidas de la red Explorar archivos comprimidos: seleccione el número de capas que desee explorar. Exclusiones: excluye de la exploración determinados archivos, carpetas o archivos de una extensión concreta. Activar exclusiones No explorar los directorios de instalación de los productos de Trend Micro Exclusiones de carpeta: escriba el nombre de la carpeta que no desee incluir en la exploración. Haga clic en Agregar. Para eliminar una carpeta, selecciónela y haga clic en Eliminar. Exclusiones de archivo: escriba el nombre del archivo que no desee incluir en la exploración. Haga clic en Agregar. Para eliminar un archivo, selecciónelo y haga clic en Eliminar. Exclusiones de extensión: escriba el nombre de la extensión que no desee incluir en la exploración. Haga clic en Agregar. Para eliminar una extensión, selecciónela y haga clic en Eliminar. Configuración avanzada Activar IntelliTrap (para antivirus): IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte IntelliTrap en la página C-7 para obtener más información. 8-5

212 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Explorar sector de arranque (para antivirus): el sector de arranque contiene los datos que los clientes utilizan para cargar e inicializar el sistema operativo. Un virus de sector de arranque infecta el sector de arranque de una partición o de un disco. Lista de spyware/grayware permitido (para antispyware): esta lista contiene los detalles de las aplicaciones spyware/grayware permitidas. Haga clic en el enlace para actualizar la lista. Consulte Editar la lista de spyware/grayware permitido en la página 8-7 para obtener más información. 2. En la pestaña Acción, especifique el modo en que desea que WFBS-A trate las amenazas detectadas: Uso de CPU: el periodo de tiempo de espera de Security Server entre la exploración de cada archivo interfiere en el uso de la CPU. Seleccione un nivel de uso de CPU más bajo para aumentar el tiempo de espera entre las exploraciones de archivos, lo que permite que la CPU pueda realizar otras tareas. Acción para las detecciones de virus ActiveAction: utilice las acciones preconfiguradas de Trend Micro para las amenazas. Consulte ActiveAction en la página C-4 para obtener más información. La misma acción para todas las amenazas: seleccione entre Omitir, Eliminar, Cambiar nombre, Poner en cuarentena o Limpiar. Si selecciona Limpiar, ajuste la acción para una amenaza que no se puede limpiar. Acción personalizada para las siguientes amenazas detectadas: seleccione entre Omitir, Eliminar, Cambiar nombre, Poner en cuarentena o Limpiar para cada tipo de amenaza. Si selecciona Limpiar, ajuste la acción para una amenaza que no se puede limpiar. Crear copia de seguridad antes de limpiar: WFBS-A crea una copia de seguridad de cada amenaza antes de limpiarla. El archivo copiado se cifra y almacena en el siguiente directorio del cliente: C:\Archivos de programa\trend Micro\Client Server Security Agent\Backup Para descifrar el archivo, consulte Restaurar virus cifrados en la página E-12 Acción para detecciones de spyware/grayware 8-6

213 Gestionar las exploraciones Limpiar: Durante la limpieza de spyware/grayware, WFBS-A podrá eliminar entradas de registro relacionadas, archivos, cookies y accesos directos. Los procesos relacionados con spyware/grayware también podrían terminarse. Omitir: solo registra la infección para una valoración posterior. Consulte Registros en la página 12-2 para obtener más información. 3. Haga clic en Guardar. También puede configurar las personas que reciben notificaciones cuando tiene lugar un suceso. Editar la lista de spyware/grayware permitido La lista de spyware/grayware permitido determina qué aplicaciones de spyware o grayware pueden utilizar los usuarios. Solo los administradores pueden actualizar esta lista. Consulte Spyware/Grayware en la página 1-15 para obtener más información sobre las distintas clases de spyware. Nota: en un grupo determinado se usa la misma lista para las exploraciones en tiempo real, programadas y manuales. 8-7

214 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ruta de navegación: Exploraciones > Exploración manual o Exploración programada > clic en un grupo > Configuración avanzada > Modificar la lista de spyware/grayware permitido ILUSTRACIÓN 8-1. Pantalla Lista de spyware/grayware permitido Para actualizar la lista de spyware/grayware permitido: 1. En la sección Configuración avanzada, haga clic en Modificar la lista de spyware/grayware permitido. 2. En la pantalla Lista de spyware/grayware permitido, actualice la siguiente información según sea preciso: Panel izquierdo: aplicaciones conocidas de spyware o grayware. Utilice los enlaces Búsqueda o Búsqueda rápida para localizar la aplicación de spyware/grayware que desea autorizar. Nota: las aplicaciones se ordenan por tipo y, a continuación, por nombre (TipoSpyware_NombreAplicación). 8-8

215 Gestionar las exploraciones Panel derecho: aplicaciones permitidas de spyware o grayware. Agregar>: seleccione el nombre de la aplicación del panel izquierdo y haga clic en Agregar>. Para seleccionar múltiples aplicaciones, mantenga pulsada la tecla CTRL mientras hace clic en los nombres de las aplicaciones. 3. Haga clic en Guardar. Configurar opciones de exploración para servidores Microsoft Exchange Ruta de navegación: Exploraciones > Exploración manual o Exploración programada > Expanda un servidor Microsoft Exchange > Antivirus/Filtrado de contenidos/bloqueo de archivos adjuntos La configuración de las opciones de exploración para servidores Microsoft Exchange implica definir opciones para Antivirus, Filtrado de contenidos y Bloqueo de archivos adjuntos. Para definir las opciones de exploración para servidores Microsoft Exchange: 1. En la pantalla Exploración manual o Exploración programada, expanda el servidor de Microsoft Exchange que vaya a realizar la exploración. 2. Defina las opciones de exploración de: Antivirus Filtrado de contenido Bloqueo de archivos adjuntos 3. En el caso de exploraciones programadas, actualice el programa en la pestaña Programa. Consulte Programar exploraciones en la página Haga clic en Explorar ahora o en Guardar. 8-9

216 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Programar exploraciones Ruta de navegación: pestaña Exploraciones > Exploraciones programadas > Programa Programe exploraciones para explorar periódicamente clientes y servidores Microsoft Exchange en busca de amenazas. Consejo: Trend Micro recomienda no programar una exploración y una actualización al mismo tiempo. Esto podría provocar que la exploración programada se detuviera inesperadamente. Asimismo, si se inicia una exploración manual cuando se está ejecutando una exploración programada, esta última se interrumpirá. La exploración programada se cancela pero se volverá a ejecutar de nuevo según el programa. Nota: para desactivar la exploración programada, desactive todas las opciones del grupo o servidor Microsoft Exchange específico y haga clic en Guardar. ILUSTRACIÓN 8-2. Pantalla Exploración programada 8-10

217 Gestionar las exploraciones Para programar una exploración: 1. Antes de programar una exploración, deberá configurarla. Consulte Configurar las opciones de exploración manual y programada en la página 8-3 y Configurar opciones de exploración para servidores Microsoft Exchange en la página 8-9 para obtener información adicional. 2. En la pestaña Exploración programada, actualice las siguientes opciones con cada grupo o servidor Microsoft Exchange según sea preciso: Diaria: la exploración programada se ejecuta todos los días a la hora de inicio. Semanal, cada: la exploración programada se ejecuta una vez a la semana, el día especificado, a la hora de inicio. Mensualmente, el día: la exploración programada se ejecuta una vez al mes, el día especificado, a la hora de inicio. Si selecciona 31 y el mes tiene 30 días, WFBS-A no explorará los clientes ni los grupos de Microsoft Exchange de ese mes. Hora de inicio: hora a la que debe empezar la exploración programada. 3. Haga clic en Guardar. También puede configurar las personas que reciben notificaciones cuando tiene lugar un suceso. Consulte Configurar notificaciones de sucesos en la página 9-3. Consejo: para obtener una protección óptima, Trend Micro recomienda programar las exploraciones a intervalos regulares. 8-11

218 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

219 Capítulo 9 Gestionar las notificaciones En este capítulo se explica cómo utilizar las distintas opciones de notificación. Este capítulo incluye los siguientes temas: Notificaciones en la página 9-2 Configurar notificaciones de sucesos en la página 9-3 Personalizar las alertas de notificación en la página 9-5 Definir la configuración de las notificaciones en la página 9-6 Configurar ajustes de notificación para servidores Microsoft Exchange en la página

220 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Notificaciones A fin de reducir al mínimo el tiempo que necesitan los administradores para supervisar WFBS-A y de garantizar que los administradores reciban advertencias con suficiente antelación sobre las amenazas de virus, configure Security Server para que envíe notificaciones siempre que se produzcan sucesos extraños en la red. WFBS-A puede enviar notificaciones a través de correo electrónico, SNMP o el registro de sucesos de Windows. Las condiciones de las notificaciones afectan a la pantalla Estado de actividad y activan el icono de estado para cambiar de Normal a Advertencia o a Acción necesaria. De manera predeterminada, todos los sucesos que aparecen en la pantalla Notificaciones están seleccionados y activan Security Server para que envíe una notificación al administrador del sistema. Sucesos de amenazas Defensa frente a epidemias: TrendLabs ha declarado una alerta o se han detectado vulnerabilidades muy críticas. Antivirus: los virus/malware detectados en los clientes o servidores Microsoft Exchange superan un cierto número, las acciones realizadas con los virus/malware no han surtido efecto, se ha desactivado la exploración en tiempo real en los clientes o en los servidores Microsoft Exchange. Antispyware: se ha detectado spyware/grayware en los clientes, incluidos los que precisan que se reinicie el cliente infectado para eliminar completamente la amenaza de spyware/grayware. También puede configurar el umbral de notificación de spyware/grayware, es decir, el número de incidentes de spyware/grayware detectados en el periodo de tiempo especificado (el valor predeterminado es de una hora). Antispam: los casos de spam superan un determinado porcentaje del total de mensajes de correo electrónico. Reputación Web: el número de infracciones de URL supera el número configurado para un determinado periodo. Filtrado de URL: el número de infracciones de URL supera el número configurado para un determinado periodo. Supervisión de comportamiento: el número de infracciones de políticas supera el número configurado para un determinado periodo. 9-2

221 Gestionar las notificaciones Virus de red: los virus de red detectados superan un número determinado. Sucesos del sistema Exploración inteligente: los clientes configurados para la exploración inteligente no se pueden conectar al servidor de exploración inteligente o el servidor no está disponible. Actualización de componentes: desde la última vez que se actualizaron los componentes han pasado más días del número especificado o los componentes actualizados no se han implementado con suficiente rapidez en los agentes. Sucesos inusuales del sistema: el espacio en disco restante en alguno de los clientes en que se ejecuta el sistema operativo Windows Server es inferior al mínimo configurado y está alcanzando niveles peligrosamente bajos. Sucesos de la licencia Licencia: la licencia del producto ha caducado o está a punto de caducar, el recuento máximo de licencias usadas es superior al 80% o es superior al 100%. Configurar notificaciones de sucesos Ruta de navegación: Preferencias > Notificación > pestaña Sucesos La configuración de notificaciones consta de dos pasos: primero, seleccionar los sucesos para los que se desea configurar las notificaciones y, segundo, configurar el método de entrega. WFBS-A ofrece tres métodos de entrega: notificaciones por correo electrónico, notificaciones por SNMP y Registro de sucesos de Windows. 9-3

222 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 ILUSTRACIÓN 9-1. Pantalla Sucesos de notificaciones Para configurar los sucesos de las notificaciones: 1. En la pestaña Sucesos de la pantalla Notificaciones, actualice la siguiente información si es necesario: Sucesos de amenazas: active la casilla de verificación Tipo para recibir notificaciones de todos los sucesos. También puede activar las casillas de verificación de sucesos individuales. Haga clic en para ampliar cada suceso y configurar el umbral y/o el periodo de tiempo del suceso. 2. Haga clic en Guardar. 9-4

223 Gestionar las notificaciones Personalizar las alertas de notificación Ruta de navegación: Preferencias > Notificaciones > Hacer clic en una notificación Puede personalizar la línea del asunto y el cuerpo del mensaje de las notificaciones de sucesos. Los destinatarios de la lista Definición de correo interno recibirán mensajes con notificaciones si activa la casilla de verificación No notificar a remitentes externos en la Configuración de la notificación de Antivirus, Filtrado de contenido y Bloqueo de archivos adjuntos. No confunda la lista Definición de correo interno con la lista Remitentes permitidos. Para evitar que todos los mensajes de correo provenientes de direcciones con dominios externos se marquen como spam, agregue las direcciones de correo electrónico externo a las listas de antispam de Remitentes permitidos. Uso de testigos Utilice los siguientes testigos para representar cualquier amenaza que detecte en un equipo de sobremesa/servidor o servidor Exchange. Los testigos hacen referencia a los ajustes configurados en la pantalla Preferencias > Notificaciones. <$CSM_SERVERNAME> Nombre del Security Server o servidor Exchange que detecta la amenaza. %CV Número de incidentes %CU Unidad de tiempo (minutos, horas) %CT Número de %CU %CP Porcentaje total de mensajes de correo electrónico que son spam Lo siguiente es un ejemplo de notificación: Trend Micro ha detectado %CV incidentes de virus en los equipos en %CT %CU. Los incidentes de virus que son demasiado numerosos o frecuentes pueden indicar una situación de epidemia. Consulte la pantalla Estado de actividad de Security Server para obtener más instrucciones. 9-5

224 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para personalizar el contenido de una notificación: 1. Escriba la nueva línea del asunto en el campo Asunto. 2. Escriba el nuevo mensaje en el campo Mensaje. 3. Haga clic en Guardar. Definir la configuración de las notificaciones Ruta de navegación: Preferencias > Notificaciones > pestaña Configuración ILUSTRACIÓN 9-2 Pantalla Notificaciones Para configurar el método de entrega de notificaciones: 1. En la pestaña Configuración de la pantalla Notificaciones, actualice la siguiente información si es necesario: Notificación por correo electrónico: defina las direcciones de correo electrónico del remitente y los destinatarios de las notificaciones. Configure el contenido del mensaje en la pestaña Sucesos. De 9-6

225 Gestionar las notificaciones Para separe las distintas direcciones de correo electrónico con punto y coma (;). Destinatario de la notificación SNMP: SNMP es el protocolo que usan los hosts de la red para intercambiar información que se utiliza para administrar redes. Para ver los datos de la captura SNMP, utilice un explorador MIB (Management Information Base). Activar notificaciones SNMP Dirección IP: dirección IP de la captura SNMP. Comunidad: la cadena de la comunidad de SNMP. Registro: notificaciones que usan el registro de sucesos de Windows. Escribir en el registro de sucesos de Windows Nota: puede usar cualquiera de los métodos de notificación arriba mencionados, o todos ellos. 2. Haga clic en Guardar. Configurar ajustes de notificación para servidores Microsoft Exchange Ruta de navegación: Configuración de seguridad > Seleccionar un servidor Microsoft Exchange > Configurar > Operaciones > Configuración de la notificación Puede configurar la dirección De para notificaciones y definir mensajes internos. Para definir la configuración de las notificaciones: 1. En la pantalla Configuración de la notificación, actualice la siguiente información según sea necesario: Dirección de correo electrónico: dirección en nombre de la cual Worry-Free Business Security enviará los mensajes de notificación. Definición de correo interno Predeterminada: Worry-Free Business Security tratará los mensajes de correo electrónico desde el mismo dominio como mensajes internos. 9-7

226 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Personalizar: especifique direcciones de correo electrónico o dominios determinados que desee tratar como mensajes de correo electrónico internos. 2. Haga clic en Guardar. 9-8

227 Capítulo 10 Administrar la configuración general En este capítulo se explica cómo utilizar la configuración general. Este capítulo incluye los siguientes temas: Opciones del proxy de Internet en la página 10-2 Opciones del servidor SMTP en la página 10-4 Opciones del equipo de sobremesa/servidor en la página 10-4 Opciones del sistema en la página

228 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configurar las preferencias generales Desde la consola Web puede definir la configuración general de Security Server así como de los equipos de sobremesa y servidores protegidos por los agentes Client/Server Security Agent. Opciones del proxy de Internet Ruta de navegación: Preferencias > Configuración general > pestaña Proxy Si la red utiliza un servidor proxy para conectarse a Internet, defina la configuración del proxy con el fin de llevar a cabo los siguientes servicios: Actualizaciones de componentes y notificaciones de licencia Reputación Web, Supervisión de comportamiento, Comentarios inteligentes, Exploración inteligente y Filtrado de URL. Puede utilizar la misma configuración de actualización del proxy o introducir credenciales nuevas. Nota: el agente siempre utilizará el mismo servidor proxy y puerto usados por Internet Explorer para conectarse a Internet para la reputación Web, supervisión del comportamiento y Smart Protection Network. Duplique las credenciales de inicio de sesión que ha especificado para el servicio de actualización solo si el explorador Internet Explorer de los equipos cliente utiliza el mismo servidor proxy y el mismo puerto. 10-2

229 Administrar la configuración general ILUSTRACIÓN Configuración general Pantalla Configuración del servidor proxy Para definir la configuración de proxy: 1. En la pestaña Proxy de la pantalla Configuración global, actualice la siguiente información según sea necesario: Configuración de la actualización y Notificaciones de licencia Usar un servidor proxy para las actualizaciones y las notificaciones sobre la licencia Dirección Utilizar el protocolo de proxy SOCKS 4/5 Porta Autenticación del servidor proxy Usuario Password Configuración de Reputación Web, Supervisión del comportamiento y Exploración inteligente 10-3

230 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Usar las credenciales especificadas para el proxy de actualizaciones Usuario Password 2. Haga clic en Guardar. Opciones del servidor SMTP La configuración del servidor SMTP se aplicará a todas las notificaciones e informes que genere el servicio WFBS-A. Ruta de navegación: Preferencias > Configuración general > pestaña SMTP ILUSTRACIÓN Pestaña SMTP de la pantalla Configuración general Para configurar el servidor SMTP: 1. En la pestaña SMTP de la pantalla Configuración general, actualice la siguiente información según sea necesario: Servidor SMTP: la dirección IP o el nombre del servidor SMTP Porta 2. Haga clic en Guardar. Opciones del equipo de sobremesa/servidor Ruta de navegación: Preferencias > Configuración general > pestaña Equipo de sobremesa/servidor 10-4

231 Administrar la configuración general Las opciones Equipo de sobremesa/servidor pertenecen a la configuración general de WFBS-A. La configuración de los grupos individuales prevalece sobre esta configuración. Si no ha configurado una opción determinada para un grupo, se utilizarán las opciones de Equipo de sobremesa/servidor. Por ejemplo, si no hay ninguna URL permitida para un determinado grupo, todas las URL permitidas de esta pantalla serán aplicables para el grupo. ILUSTRACIÓN Pestaña Equipo de sobremesa/servidor de la pantalla Configuración general 10-5

232 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para configurar las opciones del equipo de sobremesa/servidor: 1. En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Conocimiento de ubicación en la página 10-6 Configuración de la exploración general en la página 10-7 Configuración de la exploración antivirus en la página 10-7 Configuración de la exploración antispyware/grayware en la página 10-8 Desactivar el cortafuegos en la página 10-8 Reputación Web y URL permitidas en la página 10-9 Supervisión de comportamiento en la página 10-9 Filtrado de contenido de MI en la página 10-9 Configuración de las alertas en la página Configuración del servicio guardián en la página Desinstalación del agente en la página Programa agente en la página Haga clic en Guardar. Conocimiento de ubicación Conocimiento de ubicación controla la configuración de conexión En la oficina/fuera de la oficina. En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Activar la función Conocimiento de ubicación: Esta opción puede afectar a la configuración de conexión En la oficina/fuera de la oficina del Cortafuegos, Reputación Web, TrendSecure y Exploración inteligente. Información del gateway: los clientes y conexiones de esta lista utilizarán la configuración de conexión interna mientras se conectan remotamente a la red (mediante VPN) y Conocimiento de ubicación está activado. Dirección IP de gateway Dirección MAC: la adición de una dirección MAC mejora la seguridad porque solo permite la conexión del dispositivo configurado. Haga clic en el icono de papelera correspondiente para eliminar una entrada. 10-6

233 Administrar la configuración general Configuración de la exploración general En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Desactivación del servicio de exploración inteligente: cambia todos los clientes al modo de exploración convencional. La exploración inteligente no estará disponible hasta que la vuelva a activar aquí. Excluir la carpeta de la base de datos de Security Server: impide a los agentes instalados en Security Server que exploren su propia base de datos solo durante las exploraciones en tiempo real. Nota: De forma predeterminada, el servicio WFBS-A no explora su propia base de datos. Trend Micro recomienda conservar esta selección para evitar una posible corrupción de la base de datos durante la exploración. Excluir las carpetas del servidor Microsoft Exchange cuando se instala en un servidor Microsoft Exchange: impide a los agentes instalados en el servidor Microsoft Exchange que exploren las carpetas de Microsoft Exchange. Excluir las carpetas del controlador de dominios de Microsoft: impide a los agentes instalados en el controlador de dominios que exploren las carpetas del controlador de dominios. En estas carpetas se almacena información de usuario, nombres de usuarios, contraseñas y otra información importante. Excluir secciones de Shadow Copy: los servicios Shadow Copy o Instantáneas de volumen realizan de forma manual o automática copias de seguridad o instantáneas de un archivo o carpeta de un volumen específico. Configuración de la exploración antivirus En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Definir la configuración de la exploración para archivos comprimidos de gran tamaño: especifique el tamaño máximo del archivo extraído y el número de archivos del archivo comprimido que el agente debería explorar. Limpiar archivos comprimidos: los agentes intentarán limpiar los archivos infectados dentro de un archivo comprimido. 10-7

234 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Explorar hasta { } capas OLE: los agentes explorarán el número especificado de capas OLE (Incrustación y vinculación de objetos). OLE permite a los usuarios crear objetos con una aplicación y enlazarlos posteriormente con otra, o incrustarlos. Por ejemplo, un archivo.xls incrustado en un archivo.doc. Añadir la exploración manual al menú de accesos directos de Windows en los clientes: Agrega un enlace Explorar con Client/Server Security Agent al menú contextual. Esta opción permite a los usuarios hacer clic con el botón derecho del ratón en un archivo o carpeta (en el escritorio o en el Explorador de Windows) y explorar manualmente el archivo o la carpeta. Configuración de la exploración antispyware/grayware En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Buscar cookies: los agentes buscarán y eliminarán las cookies de seguimiento descargadas en los clientes por visitar sitios Web. Las cookies de seguimiento detectadas se añaden al contador de spyware/grayware en la pantalla Estado de actividad. Incluir cookie en registro de spyware: agrega cada cookie de spyware detectada al registro de spyware. Desactivar el cortafuegos Marque la casilla de verificación Desactivar cortafuegos y desinstalar controladores para desinstalar el cortafuegos de cliente del servicio WFBS-A y eliminar los controladores asociados a él. Realice esta acción sólo si otro cortafuegos protege a sus clientes. Nota: Si desactiva el cortafuegos, los ajustes de configuración asociados a él no volverán a estar disponibles hasta que no vuelva a activar el cortafuegos. 10-8

235 Administrar la configuración general Reputación Web y URL permitidas En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Activar los registros de uso de CSA: los agentes envían a Security Server los detalles de las direcciones URL a las que se ha accedido. URL para permitir: separe las distintas URL mediante punto y coma (;). Haga clic en Agregar. Nota: la aprobación de una URL implica la aprobación de todos sus subdominios. Lista de URL permitidas: las URL de esta lista no se bloquearán. Para eliminar una entrada, haga clic en el icono de papelera correspondiente. Supervisión de comportamiento La supervisión de comportamiento protege los clientes de cambios no autorizados en el sistema operativo, las entradas del registro, otro software o los archivos y carpetas. Activar ventanas emergentes para cambios de bajo riesgo o acciones supervisadas: los agentes advierten a los usuarios de los cambios de bajo riesgo o acciones supervisadas. Filtrado de contenido de MI Los administradores pueden restringir el uso de algunas palabras o frases en aplicaciones de mensajería instantánea. La mensajería instantánea (IM) es una forma de comunicación en tiempo real entre dos o más personas basada en texto escrito. El texto se transmite a través de clientes conectados en una red. Los agentes pueden restringir las palabras utilizadas en las siguientes aplicaciones de IM: America Online Instant Messenger (AIM) 6 (no compatible con compilaciones publicadas después de marzo de 2008) ICQ 6 (no compatible con compilaciones publicadas después de marzo de 2008) MSN Messenger 7.5 y 8.1 Windows Messenger Live 8.1 y 8.5 Yahoo! Messenger 8.1 En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, utilice la siguiente información tal y como se describe a continuación: 10-9

236 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Palabras restringidas: utilice este campo para agregar palabras o frases restringidas. Puede restringir un máximo de 31 palabras o frases. Cada palabra o frase no puede superar los 35 caracteres (17 para caracteres chinos). Escriba una o varias entradas separadas por puntos y comas (;) y haga clic en Agregar>>. Lista Palabras/frases restringidas: las palabras o frases de esta lista no se pueden utilizar en conversaciones de IM. Para eliminar una entrada, haga clic en el icono de papelera correspondiente. Configuración de las alertas En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Mostrar el icono de alerta en la barra de tareas de Windows si el archivo de patrones no está actualizado después de { } días: muestra un icono de alerta en los clientes cuando un archivo de patrones no se actualiza transcurrido un determinado número de días. Configuración del servicio guardián La opción Servicio guardián garantiza que Client/Server Security Agent está constantemente protegiendo los clientes. Cuando está activado, el Servicio guardián comprueba la disponibilidad del agente cada x minutos. Si el agente no está disponible, el servicio guardián intentará reiniciarlo. Consejo: Trend Micro recomienda activar el servicio guardián para asegurarse de que Client/Server Security Agent está protegiendo a sus clientes. Cuando el agente Client/Server Security Agent se cierra de forma inesperada, algo que puede suceder cuando el cliente recibe el ataque de un pirata informático, el servicio guardián reinicia Client/Server Security Agent. En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Activar el servicio guardián del agente Comprobar el estado del cliente cada {} minutos: determina la frecuencia con la que el servicio guardián comprobará el estado del cliente. Si no se puede iniciar el cliente, reintentar {} veces: Determina las veces que el servicio guardián intentará reiniciar Client/Server Security Agent

237 Administrar la configuración general Desinstalación del agente En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Permitir al usuario del cliente desinstalar Client/Server Security Agent sin contraseña: Permite a los usuarios desinstalar Client/Server Security Agent. Exigir una contraseña al usuario del cliente para desinstalar Client/Server Security Agent: permite a los usuarios desinstalar Client/Server Security Agent después de especificar una contraseña. Programa agente En la pestaña Equipo de sobremesa/servidor de la pantalla Configuración global, actualice la siguiente información según sea necesario: Permitir a los usuarios del cliente salir del programa agente en su equipo sin proporcionar una contraseña: permite a los usuarios cerrar Client/Server Security Agent. Exigir a los usuarios del cliente que introduzcan una contraseña para salir del programa agente: permite a los usuarios cerrar Client/Server Security Agent después de especificar una contraseña

238 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Opciones del sistema Ruta de navegación: Preferencias > Configuración general > pestaña Sistema La sección Sistema de la pantalla Configuración general contiene opciones para eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y mantener la carpeta de cuarentena. ILUSTRACIÓN Pestaña Sistema de la pantalla Configuración general Para configurar las opciones del sistema: 1. En la pestaña Sistema de la pantalla Configuración global, actualice la siguiente información según sea necesario: Eliminar un Client/Server Security Agent inactivo en la página Comprobar la conectividad entre cliente y servidor en la página Mantener la carpeta de cuarentena en la página Haga clic en Guardar

239 Administrar la configuración general Eliminar un Client/Server Security Agent inactivo Cuando se utiliza el programa de desinstalación de Client/Server Security Agent para eliminar a los agentes de un cliente, el programa envía una notificación automática a Security Server. Cuando Security Server recibe esta notificación, elimina el icono del árbol Grupos de seguridad para indicar que el cliente ya no existe. No obstante, si se utilizan otros métodos para eliminar Client/Server Security Agent, como volver a formatear el disco duro del equipo o borrar manualmente los archivos del cliente, el servidor Security Server no tendrá conocimiento de la eliminación y mostrará al agente Client/Server Security Agent como inactivo. Si un usuario descarga o desactiva el agente durante un largo periodo de tiempo, Security Server mostrará también el Client/Server Security Agent como inactivo. Para asegurarse de que el árbol Grupos de seguridad muestre sólo los clientes activos, puede configurar Security Server para que elimine automáticamente los agentes Client/Server Security Agent inactivos del árbol Grupos de seguridad. Para eliminar los agentes inactivos: 1. En la pestaña Sistema de la pantalla Configuración global, actualice la siguiente información según sea necesario: Activar eliminación automática de Client/Server Security Agent inactivos: activa la eliminación automática de los clientes que no han contactado con Security Server durante un número de días especificado. Eliminar automáticamente un Client/Server Security Agent que permanezca inactivo durante {} días: días que un cliente puede estar inactivo antes de eliminarlo de la consola Web. 2. Haga clic en Guardar. Comprobar la conectividad entre cliente y servidor El servicio WFBS-A refleja el estado de la conexión del cliente en el árbol Grupos de seguridad mediante iconos. Sin embargo, determinadas circunstancias pueden impedir que el árbol Grupos de seguridad muestre el estado correcto de la conexión del cliente. Por ejemplo, si el cable de red de un cliente se desconecta por accidente, el cliente no podrá notificar a Trend Micro Security Server que está desconectado. El cliente seguirá apareciendo como conectado en el árbol Grupos de seguridad

240 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Puede comprobar la conexión entre el cliente y el servidor manualmente o mediante programación desde la consola Web. Nota: la función Comprobar conexión no permite la selección de grupos o clientes específicos. Se limita a comprobar la conexión de todos los clientes registrados con Security Server. Para comprobar la conectividad entre el cliente y el servidor: 1. En la pestaña Sistema de la pantalla Configuración global, actualice la siguiente información según sea necesario: Activar la comprobación programada: activa la comprobación programada de la comunicación entre el agente y Security Server. Cada hora Diariamente Semanalmente, cada Hora de inicio: la hora a la que se inicia la comprobación. Comprobar ahora: prueba de forma inmediata la conectividad entre el cliente y el servidor de seguridad. 2. Haga clic en Guardar. Mantener la carpeta de cuarentena Cada vez que un agente detecte una amenaza de Internet en un archivo y la acción de exploración que corresponda a ese tipo de amenaza sea la cuarentena, el agente cifrará el archivo infectado, lo colocará en la carpeta de cuarentena del cliente y lo enviará a la carpeta de cuarentena de Trend Micro Security Server. El servicio WFBS-A cifra el archivo infectado para evitar que infecte otros archivos. La ubicación predeterminada de la carpeta de cuarentena de Client/Server Security Agent es la siguiente: C:\Archivos de programa\trend Micro\Client Server Security Agent\SUSPECT 10-14

241 Administrar la configuración general La ubicación predeterminada de la carpeta de cuarentena de Trend Micro Security Server es la siguiente: C:\Archivos de programa\trend Micro\Security Server\PCCSRV\Virus Nota: si el cliente no puede enviar el archivo cifrado a Trend Micro Security Server por algún motivo, por ejemplo, por problemas de conexión a la red, el archivo cifrado permanecerá en la carpeta de cuarentena del cliente. El agente intentará volver a enviar el archivo cuando se conecte a Trend Micro Security Server. Para obtener más información sobre la configuración de exploración o sobre cómo cambiar la ubicación de la carpeta de cuarentena, consulte Configuración de la exploración antivirus en la página Para mantener las carpetas de cuarentena: 1. En la pestaña Sistema de la pantalla Configuración global, actualice la siguiente información según sea necesario: Capacidad de la carpeta de cuarentena: tamaño de la carpeta de cuarentena en MB. Tamaño máximo para un único archivo: el tamaño máximo, en MB, de un archivo almacenado en la carpeta de cuarentena. Eliminar todos los archivos puestos en cuarentena: elimina todos los archivos de la carpeta Cuarentena. Si cuando se carga un archivo nuevo la carpeta está llena, el archivo no se almacenará. 2. Haga clic en Guardar

242 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

243 Capítulo 11 Administrar las actualizaciones En este capítulo se explica cómo utilizar y configurar las actualizaciones manual y programada. Este capítulo incluye los siguientes temas: Actualización de los componentes en la página 11-2 Componentes que se pueden actualizar en la página 11-3 Actualizar Security Server en la página 11-6 Fuentes de actualización en la página 11-7 Actualizaciones manuales en la página Actualizaciones programadas en la página Recuperar o sincronizar componentes en la página

244 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Actualización de los componentes WFBS-A facilita la actualización a los componentes más recientes porque los agentes reciben automáticamente los componentes actualizados desde Security Server. WFBS-A descarga componentes desde el servidor ActiveUpdate de Trend Micro: cuando se instala el producto por primera vez, todos los componentes de Security Server y los agentes se actualizan inmediatamente desde el servidor ActiveUpdate de Trend Micro. Siempre que se inicia el servicio maestro de WFBS-A, se consulta el servidor de ActiveUpdate para comprobar si existe alguna actualización disponible. De forma predeterminada, las actualizaciones programadas se ejecutan cada hora para actualizar Security Server. De manera predeterminada, Messaging Security Agent ejecuta una actualización programada cada 24 horas, a las 12:00 a.m. Client/Server Security Agent ejecuta una actualización programada cada ocho horas también de forma predeterminada. Consejo: para garantizar que los agentes Client/Server Security Agent se mantienen actualizados cuando no están conectados a Security Server, configure los agentes Client/Server Security Agent para que reciban las actualizaciones desde una fuente alternativa (Configurar una fuente de actualización en la página 11-9). Esto resulta útil para los usuarios finales que suelen ausentarse de la oficina y desconectarse de la red local. La configuración recomendada por Trend Micro para las actualizaciones de componentes proporciona una protección razonable para pequeñas y medianas empresas. Si es necesario, puede ejecutar actualizaciones manuales o modificar las actualizaciones programadas. 11-2

245 Administrar las actualizaciones ActiveUpdate ActiveUpdate es una función incorporada en numerosos productos de Trend Micro. Conectada al sitio Web de actualizaciones de Trend Micro, ActiveUpdate ofrece descargas actualizadas de los archivos de patrones de virus, del motor de exploración y de los archivos de programa a través de Internet. ActiveUpdate no interrumpe los servicios de la red ni requiere que se reinicien los clientes. Actualizaciones incrementales del archivo de patrones ActiveUpdate es compatible con las actualizaciones incrementales de los archivos de patrones de virus. En vez de descargar el archivo de patrones completo en cada actualización, ActiveUpdate puede descargar solo la parte del archivo que es nueva e integrarla al archivo de patrones existente. Este eficaz método de actualización reduce sustancialmente el ancho de banda necesario para actualizar el software antivirus. Usar ActiveUpdate con WFBS-A Haga clic en el servidor ActiveUpdate de Trend Micro en la pantalla Actualizaciones > Fuente de actualización para definir que Security Server utilice el servidor de ActiveUpdate como fuente de las actualizaciones manuales y programadas de los componentes. Cuando llegue el momento de una actualización de componentes, Security Server sondea el servidor ActiveUpdate directamente. Si hay disponible un nuevo componente para descargar, Security Server descarga el componente del servidor ActiveUpdate. Componentes que se pueden actualizar Para garantizar que los clientes están protegidos de las amenazas más recientes, actualice periódicamente los componentes de WFBS-A. Configure Security Server para que descargue los componentes de WFBS-A del servidor ActiveUpdate. El servidor ActiveUpdate proporciona componentes actualizados, tales como archivos de patrones de virus, motores de exploración y archivos de programa. Después de descargar las actualizaciones disponibles, el servidor implementa automáticamente los componentes actualizados en los agentes. WFBS-A proporciona dos métodos para actualizar los componentes: Actualizar los componentes manualmente, consulte Actualizar manualmente los componentes en la página Actualizar los componentes según un programa, consulte Programar actualizaciones de componentes en la página

246 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Si utiliza un servidor proxy para conectarse a Internet, asegúrese de que la configuración del proxy sea la adecuada para descargar las actualizaciones correctamente. Para obtener más información, consulte Opciones del proxy de Internet en la página TABLA Componentes que se pueden actualizar COMPONENTE Antivirus Antispyware Antispam Reputación Web SUBCOMPONENTE Patrón de virus Motor de exploración antivirus de 32 bits Motor de exploración antivirus de 64 bits Plantilla de limpieza de virus Motor de limpieza de virus de 32 bits Motor de limpieza de virus de 64 bits Motor de exploración de Messaging Security Agent de 32 bits Motor de exploración de Messaging Security Agent de 64 bits Patrón de excepciones de IntelliTrap Patrón de IntelliTrap Motor de comentarios de 32 bits Motor de comentarios de 64 bits Patrón de la exploración inteligente Patrón del agente de exploración inteligente Motor de exploración antispyware de 32 bits Motor de exploración antispyware de 64 bits Patrón de spyware Patrón de supervisión antispyware activa Patrón antispam Motor antispam de 32 bits Motor antispam de 64 bits Motor de filtrado de URL de 32 bits Motor de filtrado de URL de 64 bits 11-4

247 Administrar las actualizaciones TABLA Componentes que se pueden actualizar (continuación) COMPONENTE Supervisión del comportamiento Defensa frente a epidemias Virus de red Controlador de la supervisión de comportamiento Servicio básico de la supervisión de comportamiento Patrón de aplicación de políticas Patrón de firmas digitales Patrón de configuración de la supervisión de comportamiento Patrón de detección de la supervisión de comportamiento Patrón de vulnerabilidades SUBCOMPONENTE Patrón del cortafuegos habitual Motor del cortafuegos habitual de 32 bits Motor del cortafuegos habitual de 64 bits Interfaz del controlador de transporte (TDI) de 32 bits Interfaz del controlador de transporte (TDI) de 64 bits Controlador WFP de 32 bits Controlador WFP de 64 bits Consulte Componenti en la página 1-10 para obtener información detallada sobre cada componente. Horas de actualización predeterminadas De forma predeterminada, WFBS-A comprueba la existencia de actualizaciones y, si es necesario, descarga componentes desde Trend Micro ActiveUpdate Server en las circunstancias siguientes: Cuando se instala el producto por primera vez, todos los componentes de Security Server y los agentes se actualizan inmediatamente desde el servidor ActiveUpdate de Trend Micro. Siempre que se inicia el servicio maestro de WFBS-A, Security Server actualiza la política de defensa frente a epidemias. 11-5

248 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 De forma predeterminada, las actualizaciones programadas se ejecutan cada hora para actualizar Security Server. Para garantizar que los agentes se mantienen actualizados, Client/Server Security Agent ejecuta una actualización programada cada 8 horas. La configuración recomendada por Trend Micro para las actualizaciones de componentes proporciona una protección razonable para pequeñas y medianas empresas. Si es necesario, puede ejecutar actualizaciones manuales o modificar las actualizaciones programadas. Trend Micro suele actualizar el motor de exploración o el programa cuando se lanza al mercado una versión nueva de WFBS-A. De todos modos, Trend Micro publica archivos de patrones con frecuencia. Actualizar Security Server WFBS-A ejecuta automáticamente las siguientes actualizaciones: Cuando se instala el producto por primera vez, todos los componentes de Security Server y el cliente se actualizan inmediatamente desde el servidor Trend Micro ActiveUpdate. Siempre que se inicia WFBS-A, Security Server actualiza los componentes y la política de defensa frente a epidemias. De manera predeterminada, se ejecutan actualizaciones programadas cada hora. Para garantizar que los clientes se mantienen actualizados, el agente ejecuta una actualización programada cada 8 horas. Para configurar Trend Micro Security Server para que realice actualizaciones: 1. Seleccione una fuente de actualización. Consulte Fuentes de actualización en la página Configure Trend Micro Security Server para que ejecute actualizaciones de forma manual o programadas. Consulte Actualizaciones manuales en la página y Actualizaciones programadas en la página Utilice Derechos del cliente para configurar las opciones de actualización para los clientes. 11-6

249 Administrar las actualizaciones Fuentes de actualización Cuando seleccione las ubicaciones de actualización para los agentes, tenga en cuenta el ancho de banda de las secciones de la red situadas entre los clientes y el origen de actualización. En la siguiente tabla, se describen diferentes opciones para la actualización de componentes además de indicarse cuando es recomendable su uso: TABLA Opciones de orígenes de actualización OPCIÓN DE ACTUALIZACIÓN Servidor ActiveUpdate > Trend Micro Security Server > Clientes Servidor ActiveUpdate > Trend Micro Security Server > Agentes de actualización > Clientes DESCRIPCIÓN Trend Micro Security Server recibe componentes actualizados del servidor ActiveUpdate (u otro origen de actualización) y los implementa directamente en los clientes. Trend Micro Security Server recibe componentes actualizados del servidor ActiveUpdate (u otro origen de actualización) y los implementa directamente en los agentes de actualización, que a su vez implementan los componentes en los clientes. RECOMENDACIÓN Utilice este método si no se ha detectado ninguna sección de la red entre Trend Micro Security Server y los clientes con ancho de banda reducido. Utilice este método para equilibrar la densidad del tráfico de la red si existen secciones de la red entre Trend Micro Security Server y los clientes con ancho de banda reducido. 11-7

250 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA Opciones de orígenes de actualización (continuación) OPCIÓN DE ACTUALIZACIÓN Servidor ActiveUpdate > Agentes de actualización > Clientes DESCRIPCIÓN Los Agentes de actualización reciben componentes actualizados directamente del servidor ActiveUpdate (u otro Agente de actualización) y los implementa directamente en los clientes. RECOMENDACIÓN Utilice este método solamente si experimenta problemas durante la actualización de los agentes de actualización desde Trend Micro Security Server u otros agentes de actualización. En la mayoría de los casos, los agentes de actualización reciben las actualizaciones con mayor rapidez desde Trend Micro Security Server u otros agentes de actualización que desde una fuente de actualización externa. 11-8

251 Administrar las actualizaciones Configurar una fuente de actualización Ruta de navegación: Actualizaciones > Fuente ILUSTRACIÓN Pantalla Fuente de actualización Para configurar un origen de actualización para Security Server: 1. En la pantalla Origen, actualice las siguientes opciones según sea necesario: Servidor ActiveUpdate de Trend Micro: el servidor ActiveUpdate de Trend Micro es la configuración predeterminada de Trend Micro como fuente de descarga. Trend Micro carga los nuevos componentes en el servidor ActiveUpdate tan pronto como estén disponibles. Seleccione el servidor ActiveUpdate como fuente si necesita actualizaciones frecuentes y rápidas. Nota: si define una fuente distinta al servidor ActiveUpdate de Trend Micro para la recepción de actualizaciones, todos los servidores que reciben actualizaciones deben tener acceso a esa fuente. 11-9

252 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ubicación de la intranet que contiene una copia del archivo actual: descargue los componentes de una fuente de la intranet que recibe componentes actualizados. Escriba la ruta de acceso UNC (convención de nomenclatura universal) de otro servidor en la red y configure un directorio en ese servidor de destino como carpeta compartida disponible para todos los servidores que reciben actualizaciones (por ejemplo, \Web\ActiveUpdate). Fuente de actualización alternativa: descargue los componentes de Internet o de otra fuente. Active el directorio virtual HTTP de destino (Web compartida) para todos los servidores que reciben actualizaciones. 2. Haga clic en Guardar. Utilizar agentes de actualización Ruta de navegación: Pestaña Actualizaciones > Origen > Agentes de seguridad Si en algunas secciones de la red entre los clientes y Trend Micro Security Server el ancho de banda es reducido o el tráfico es muy denso, puede determinar que los agentes actúen como orígenes de actualización (Agentes de actualización) para otros agentes. Esto ayuda a distribuir la carga que supone implementar los componentes para todos los agentes. Por ejemplo, si la red está segmentada por ubicación y el enlace de red entre los segmentos soporta una carga pesada de tráfico, Trend Micro recomienda autorizar al menos a un agente en cada segmento para que actúe como un Agente de actualización. Para que los agentes puedan actuar como agentes de actualización: 1. En la pestaña Agentes de seguridad de la pantalla Origen, haga clic en Agregar en la sección Asignar agentes de actualización. 2. En el cuadro de lista Seleccione los agentes de seguridad..., elija uno o más agentes para que actúen como agentes de actualización. 3. Haga clic en Guardar. Para eliminar un agente de actualización, active la casilla de verificación correspondiente al nombre del equipo y haga clic en Eliminar. Nota: a no ser que se especifique en la sección Fuente de actualización alternativa, todos los agentes de actualización recibirán las actualizaciones desde Trend Micro Security Server

253 Administrar las actualizaciones Para permitir a los agentes que reciban las actualizaciones desde un origen de actualización alternativo: 1. En la pestaña Agentes de seguridad de la pantalla Origen, actualice las siguientes opciones si es necesario: Activar orígenes de actualización alternativos Actualizar siempre desde el servidor de seguridad para los agentes de actualización: este paso es opcional y se realiza para asegurarse de que los agentes solamente reciban sus actualizaciones desde Security Server. Nota: si selecciona esta opción, los agentes de actualización descargarán las actualizaciones desde Trend Micro Security Server, incluso si la dirección IP se encuentra dentro de uno de los rangos especificados en la pantalla Agregar una fuente de actualización alternativa. Para que funcione esta opción, debe seleccionar Activar fuentes de actualización alternativas. 2. Haga clic en Guardar. Para agregar fuentes de actualización alternativas: 1. En la pestaña Agentes de seguridad de la pantalla Origen, haga clic en Agregar en la sección Orígenes de actualización alternativos. 2. Actualice las siguientes opciones si es necesario: Desde IP y Hasta IP: los clientes cuyas direcciones IP estén comprendidas en este intervalo recibirán sus actualizaciones desde la fuente de actualización especificada. Nota: para especificar un único Client/Server Security Agent, introduzca la dirección IP del Client/Server Security Agent en los campos Desde IP y Hasta IP. Fuente de actualización Agente de actualización: si la lista desplegable no está disponible significa que no se ha configurado ningún agente de actualización. Especificada: ruta de acceso a un agente de actualización o servidor ActiveUpdate

254 Manual del administrador de Trend Micro Worry-Free Business Security Advanced Haga clic en Guardar. Para eliminar una fuente de actualización alternativa, active la casilla de verificación correspondiente al Intervalo IP y haga clic en Eliminar. Nota: los agentes Client/Server Security Agent no especificados recibirán automáticamente las actualizaciones desde Trend Micro Security Server. Actualizaciones manuales Ruta de navegación: Actualizaciones > Manual Security Server utiliza los siguientes componentes para buscar e identificar amenazas y para realizar tareas de limpieza de daños que ayudan a proteger y limpiar los equipos de sobremesa y servidores. Por este motivo, es vital que los componentes estén actualizados. Cuando se hace clic en Actualizar ahora, Security Server busca componentes actualizados. Si hay componentes actualizados disponibles, Security Server los descarga y comienza a implementarlos en los clientes. La pantalla Actualización manual contiene los siguientes elementos: Componentes: permite seleccionar o deseleccionar todos los elementos de la pantalla. Versión actual: muestra la versión actual del componente. No tiene que ser necesariamente la versión más reciente. Última actualización: muestra la última vez que Security Server descargó el componente

255 Administrar las actualizaciones Actualizar manualmente los componentes Ruta de navegación: Actualizaciones > Actualización manual ILUSTRACIÓN Pantalla Actualización manual Para actualizar manualmente los componentes: 1. En la pantalla Actualización manual, actualice las siguientes opciones según sea necesario: Componentes: para seleccionar todos los componentes, active la casilla de verificación Componentes. Para seleccionar componentes individuales, haga clic en para mostrar los componentes que hay que actualizar y active las casillas de verificación correspondientes. Para obtener información sobre cada componente, consulte Componentes que se pueden actualizar en la página Haga clic en Explorar ahora o en Guardar. Si debe programar actualizaciones, consulte Programar actualizaciones de componentes en la página Nota: después de descargar los componentes actualizados, el servidor los implementa automáticamente en los agentes

256 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Actualizaciones programadas Ruta de navegación: Actualizaciones > Programadas Security Server utiliza los siguientes componentes para buscar e identificar amenazas y para realizar tareas de limpieza de daños que ayudan a proteger y limpiar los equipos de sobremesa y servidores. Por este motivo, es vital que los componentes estén actualizados. Cuando se hace clic en Actualizar ahora, Security Server busca componentes actualizados. Si hay componentes actualizados disponibles, Security Server los descarga y comienza a implementarlos en los clientes. Programar actualizaciones de componentes Ruta de navegación: Pestaña Actualizaciones > Exploraciones programadas > Programa Programe las actualizaciones para que reciban automáticamente los componentes más recientes con el fin de hacer frente a las amenazas. Consejo: se recomienda no programar una exploración y una actualización simultáneamente. Esto podría provocar que la exploración programada se detuviera inesperadamente. ILUSTRACIÓN Pantalla Actualización programada 11-14

257 Administrar las actualizaciones Para programar una actualización: 1. En la pestaña Componentes, seleccione los componentes que desea actualizar. Para seleccionar todos los componentes, active la casilla de verificación Componentes. 2. En la pestaña Exploración programada, seleccione la frecuencia de actualización de los componentes. 3. Haga clic en Guardar. Consejo: durante las epidemias de virus/malware, Trend Micro responde rápidamente para actualizar los archivos de patrones de virus (las actualizaciones pueden emitirse más de una vez por semana). El motor de exploración y el resto de los componentes también se actualizan con regularidad. Trend Micro recomienda una actualización diaria de los componentes (o incluso con mayor frecuencia durante epidemias de virus/malware) para asegurarse de que el agente tiene los componentes más recientes. Recuperar o sincronizar componentes Ruta de navegación: Actualizaciones > Recuperar Recuperar un componente significa volver a la versión anterior de un archivo de patrones de virus o motor de exploración. Si el archivo de patrones o el motor de exploración utilizados no funcionan correctamente, es preciso recuperar las versiones anteriores. Por sincronización se entiende la implementación de componentes actualizados en todos los agentes. Los agentes utilizan los siguientes motores de exploración: Patrón de virus Patrón del agente de exploración inteligente Motor de exploración antivirus de 32 bits Motor de exploración antivirus de 64 bits 11-15

258 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Estos dos tipos de motores de exploración deben recuperarse por separado. Los procedimientos de recuperación son idénticos para ambos tipos de motores de exploración. Trend Micro Security Server conserva solo la versión actual y la anterior del motor de exploración y las cinco últimas de los archivos de patrones. ILUSTRACIÓN pantalla Recuperar Para recuperar o sincronizar archivos de patrones o motores de exploración: En la pantalla Recuperar, seleccione las siguientes opciones según sea necesario: Recuperar: restablece Security Server y los componentes del agente a la versión anterior. Sincronizar: implementa los componentes actualizados en los agentes. Archivos Hotfix, parches y Service Packs Tras la publicación oficial de un producto, Trend Micro suele desarrollar archivos Hotfix, parches y Service Pack para solucionar algunos problemas, mejorar el rendimiento del producto o incluir nuevas características. A continuación encontrará un resumen de los componentes que puede publicar Trend Micro: Archivos Hotfix: una solución para un problema específico que han comunicado los usuarios. Los archivos Hotfix son específicos para un problema y, por lo tanto, no se publican para todos los clientes. Los archivos Hotfix de Windows incluyen un programa de instalación. Normalmente es necesario detener los demonios de programas, copiar el archivo para sobrescribir el archivo correspondiente de la instalación y reiniciar los demonios

259 Administrar las actualizaciones Parche de seguridad: un archivo Hotfix para los problemas de seguridad que puede implementarse en todos los clientes. Los parches de seguridad de Windows incluyen un programa de instalación. Parche: un grupo de archivos Hotfix y parches de seguridad que solucionan numerosos problemas del programa. Trend Micro publica parches periódicamente. Los parches de Windows incluyen un programa de instalación. Service Pack: una consolidación de archivos Hotfix, parches y mejoras de las características lo bastante significativas para constituir una actualización del producto. Tanto los Service Pack de Windows como los de otros fabricantes incluyen un programa y una secuencia de comandos de instalación. El distribuidor o proveedor de asistencia puede ponerse en contacto con el usuario cuando estos elementos están disponibles. Visite el sitio Web de Trend Micro para obtener más información sobre las nuevas publicaciones de archivos Hotfix, parches y Service Packs: todas las publicaciones incluyen un archivo Léame con información necesaria para instalar, implementar y configurar el producto. Lea este archivo con detenimiento antes de instalar el archivo Hotfix, el parche o los archivos del Service Pack

260 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

261 Capítulo 12 Usar los registros y los informes En este capítulo se describe cómo utilizar los registros y los informes para supervisar el sistema y analizar la protección. Este capítulo incluye los siguientes temas: Registros en la página 12-2 Informes en la página 12-6 Administrar los registros y los informes en la página

262 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Registros WFBS-A guarda registros completos de los incidentes de virus/malware y spyware/grayware, sucesos y actualizaciones. Puede utilizar estos registros para valorar las políticas de protección de la organización e identificar los clientes que tienen un mayor riesgo de infección. Además, puede utilizar los registros para comprobar que las actualizaciones se han implementado correctamente. Nota: utilice aplicaciones de hoja de cálculo, como Microsoft Excel, para ver los archivos de registro CSV. WFBS-A mantiene registros de las siguientes categorías: Registros de sucesos de la consola de administración Registros de equipos de sobremesa/servidores Registros de servidor Microsoft Exchange TABLA Tipo de registro y contenido TIPO (SUCESO O ELEMENTO QUE GENERÓ LA ENTRADA DEL REGISTRO) Sucesos de la consola de administración CONTENIDO (TIPO DE REGISTRO DEL QUE SE OBTIENE EL CONTENIDO) Exploración manual Actualización Sucesos de defensa frente a epidemias Sucesos de la consola 12-2

263 Usar los registros y los informes TABLA Tipo de registro y contenido (continuación) TIPO (SUCESO O ELEMENTO QUE GENERÓ LA ENTRADA DEL REGISTRO) Equipo de sobremesa/servidor Servidor Microsoft Exchange CONTENIDO (TIPO DE REGISTRO DEL QUE SE OBTIENE EL CONTENIDO) Registros de virus Exploración manual Exploración en tiempo real Exploración programada Limpieza Registros de spyware/grayware Exploración manual Exploración en tiempo real Exploración programada Registros de reputación Web Registros del filtrado de URL Registros de supervisión de comportamiento Registros de actualización Registros de virus de red Registros de defensa frente a epidemias Registros de sucesos Registros de virus Registros de partes de mensajes que no se pueden explorar Registros de bloqueo de archivos adjuntos Registros de filtrado de contenidos Registros de actualización Registros de copia de seguridad Registros de archivado Registros de defensa frente a epidemias Registros de sucesos de exploración Registro de partes de mensajes que no se pueden explorar 12-3

264 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Utilizar la consulta al registro Ruta de navegación: Informes > Consulta al registro Realice consultas de registro para recopilar información de la base de datos de registro. Puede utilizar la pantalla Consulta al registro para diseñar y efectuar sus consultas. Los resultados se pueden exportar a un archivo CSV e imprimir. Nota: un agente MSA envía sus registros a Security Server cada cinco minutos (independientemente de cuándo se genere el registro). ILUSTRACIÓN Pantalla predeterminada de consulta al registro Para ver los registros: 1. En la pantalla Consulta al registro, actualice las siguientes opciones según sea necesario: Intervalo de tiempo Intervalo predefinido Intervalo especificado: para limitar la consulta a unas fechas determinadas. 12-4

265 Usar los registros y los informes Tipo: consulte la Tabla 12-1 en la página 12-2 para ver el contenido de cada tipo de registro. Sucesos de la consola de administración Equipo de sobremesa/servidor Servidor Microsoft Exchange Contenido: las opciones disponibles dependen del tipo de registro. 2. Haga clic en Mostrar registros. Para guardar el registro como un archivo de datos de valores separados por comas (CSV), haga clic en Exportar. Utilice aplicaciones de hoja de cálculo para ver los archivos CSV. ILUSTRACIÓN Pantalla de ejemplo de consulta al registro 12-5

266 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Informes En este apartado se explica cómo configurar informes puntuales e informes programados. Informes puntuales El usuario puede crear informes puntuales para visualizar información de registro en un formato organizado y muy gráfico. Informes programados El contenido de los informes programados es parecido al de los informes puntuales, pero con la diferencia que se generan a una hora y frecuencia concretas. Para generar informes programados, seleccione el contenido del informe y guárdelo como una plantilla. A la hora y frecuencia especificadas, WFBS-A utilizará la plantilla para generar el informe. Interpretar informes Los informes de WFBS-A contienen la siguiente información. La información mostrada puede variar en función de las opciones seleccionadas. TABLA Contenido de un informe ELEMENTO Antivirus DESCRIPCIÓN Resumen de virus de equipos de sobremesa/servidores Los informes de virus muestran información detallada sobre la cantidad y los tipos de virus/malware que ha detectado el motor de exploración y las acciones realizadas. El informe también contiene los nombres de los virus/malware más frecuentes. Haga clic en los nombres de los virus/malware para abrir una nueva página del explorador Web y acceder a la Enciclopedia de virus de Trend Micro para conocer más información sobre ese virus/malware. Los 5 equipos de sobremesa/servidores con más detecciones de virus Muestra los cinco equipos de sobremesa o servidores que presentan más detecciones de virus/malware. Si observa frecuentes incidentes de virus/malware en el mismo cliente, esto puede representar un elevado riesgo de seguridad al que se le deberá prestar especial atención. 12-6

267 Usar los registros y los informes TABLA Contenido de un informe (continuación) ELEMENTO Historial de defensa frente a epidemias Antispyware Resumen de antispam Reputación Web DESCRIPCIÓN Historial de defensa frente a epidemias Muestra las epidemias recientes, su gravedad e identifica los spyware/grayware que las provocaron y cómo se introdujeron (mediante correo electrónico o un archivo). Resumen de spyware/grayware de equipos de sobremesa/servidores El informe de spyware/grayware contiene información detallada sobre las amenazas de spyware/grayware detectadas en los clientes, incluidos el número de detecciones y las acciones que WFBS-A ha emprendido contra ellos. Dicho informe incluye un gráfico de sectores que muestra el porcentaje correspondiente a cada acción de exploración antispyware que se ha llevado a cabo. Los 5 equipos de sobremesa/servidores con más detecciones de spyware/grayware El informe también indica las cinco amenazas de spyware/grayware más detectadas y los cinco equipos de sobremesa/servidores con el mayor número de detecciones de spyware/grayware. Si desea saber más acerca de las amenazas de spyware/grayware detectadas, haga clic en los distintos nombres de spyware/grayware. Se abrirá una nueva página del explorador Web que mostrará la información relacionada con el spyware/grayware en el sitio Web de Trend Micro. Resumen de spam Los informes de antispam contienen información sobre el número de spam y phish detectado en todos los mensajes explorados. Muestra también los falsos positivos. Los 10 equipos que más infringen las políticas de reputación Web Muestra los 10 clientes que más veces han infringido las políticas de reputación Web. 12-7

268 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA Contenido de un informe (continuación) ELEMENTO Categoría de URL Supervisión del comportamiento Resumen del filtrado de contenido Virus de red DESCRIPCIÓN Las 5 políticas de categoría de URL más infringidas Muestra las categorías de sitio Web a las que se accede con más frecuencia que han infringido las políticas. Los 10 equipos que más infringen las políticas de categoría de URL Muestra los 10 equipos que más veces han infringido las políticas de filtrado de URL. Los 5 programas que más infringen las políticas de supervisión de comportamiento Muestra los 5 programas que más veces han infringido las políticas de supervisión de comportamiento. Los 10 equipos que más infringen las políticas de supervisión de comportamiento Muestra los 10 clientes que más veces han infringido las políticas de supervisión de comportamiento. Resumen del filtrado de contenido Los informes de filtrado de contenido contienen información sobre el número de mensajes que ha filtrado Messaging Security Agent. Las 10 reglas de filtrado de contenido más infringidas Una lista de las diez reglas de filtrado de contenido que más se han infringido. Use este informe para ajustar con mayor precisión las reglas de filtrado. Los 10 virus de red más detectados Indica los diez virus de red más detectados por el controlador del cortafuegos habitual. Haga clic en los nombres de los virus para abrir una nueva página del explorador Web e ir a la Enciclopedia de virus de Trend Micro para conocer más información sobre ese virus. Los 10 equipos más atacados Muestra los equipos de la red que han sufrido más incidentes de virus. 12-8

269 Usar los registros y los informes Generar informes Ruta de navegación: Informes > Informes puntuales o Informes programados La opción Informes puntuales genera un resumen del contenido seleccionado solo una vez. La opción Informes programados genera un resumen del contenido seleccionado de forma regular. ILUSTRACIÓN Pantalla Informes 12-9

270 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para crear o programar un informe: 1. En la pantalla Informes puntuales o Informes programados, haga clic en Agregar. 2. Actualice las siguientes opciones si es necesario: Nombre del informe/nombre de la plantilla del informe: título breve que ayude a identificar el informe o plantilla. Programa: solo pertinente para informes programados. Diaria: la exploración programada se ejecuta todos los días a la hora especificada. Semanal, cada: la exploración programada se ejecuta una vez a la semana, el día especificado, a la hora especificada. Mensualmente, el día: la exploración programada se ejecuta una vez al mes, el día especificado, a la hora especificada. Si selecciona 31 días y el mes solo tiene 30 días, WFBS-A no generará el informe ese mes. Generar el informe a las: hora a la que WFBS-A generará el informe. Intervalo de tiempo: limita el informe a ciertas fechas. Contenido: para seleccionar todos los componentes, active la casilla de verificación Seleccionar todo. Para seleccionar amenazas individuales, haga clic en la casilla de verificación correspondiente. Haga clic en para ampliar la selección. Enviar el informe a: WFBS-A envía el informe generado a los destinatarios especificados. Separe las entradas múltiples mediante punto y coma (;). Como archivo PDF Como enlace del informe 3. Haga clic en Generar/Agregar. Para ver el informe en la pantalla Informes puntuales o Informes programados, haga clic en el nombre del informe. Si se ha activado la opción Enviar el informe a, WFBS-A enviará el archivo PDF adjunto o el enlace a los destinatarios. Para eliminar un informe, en la pantalla Informes puntuales o Informes programados, active la casilla de verificación correspondiente al informe y haga clic en Eliminar

271 Usar los registros y los informes Para editar una plantilla de informe programado, en la pantalla Informes programados, haga clic en el nombre de la plantilla y actualice las opciones según sea necesario. ILUSTRACIÓN Informe de ejemplo que muestra un resumen de spyware/grayware 12-11

272 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Administrar los registros y los informes Los informes pueden acumularse rápidamente si no se eliminan con regularidad. Eliminar los informes puede ser una tarea ardua y tediosa. WFBS-A le permite automatizar esta tarea. Los informes se basan en los registros y, si se elimina la información de un registro, no se puede seguir creando informes. Mantener los informes Ruta de navegación: Informes > Mantenimiento > pestaña Informes ILUSTRACIÓN Pantalla Mantenimiento de los informes Los informes pueden acumularse rápidamente si no se eliminan con regularidad. Eliminar los informes puede ser una tarea ardua y tediosa. Worry-Free Business Security le permite automatizar esta tarea. Los informes se basan en los registros. Cuando se elimina la información de un registro, no se podrán seguir creando informes. Desde aquí puede realizar estas acciones: Mantener los informes Para establecer el número máximo de informes que se conservarán: 1. En la pestaña Informes de la pantalla Mantenimiento, configure el número máximo de informes que desea almacenar para: Informes puntuales Informes programados guardados en cada plantilla Plantillas de informes 2. Haga clic en Guardar

273 Usar los registros y los informes Eliminar registros automáticamente Para eliminar registros automáticamente: 1. En la pestaña Eliminación automática de registros de la pantalla Mantenimiento, active Tipo de registro y especifique el número de días que desea almacenarlos. 2. Haga clic en Guardar. Eliminar registros manualmente Para eliminar registros manualmente: 1. En la pestaña Eliminación manual de registros de la pantalla Mantenimiento, especifique el número de días que desea almacenar un tipo de registro y haga clic en el botón Eliminar correspondiente al tipo de registro. 2. Haga clic en Guardar. Consejo: para eliminar todos los registros, especifique 0 como número de días y haga clic en Eliminar. Eliminar registros Use la pantalla Informes > Mantenimiento para configurar cuánto tiempo se mantendrán los archivos de registro y para programar el mantenimiento regular del registro

274 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ruta de navegación: Informes > Mantenimiento > pestaña Eliminación automática de registros ILUSTRACIÓN Pantalla Eliminación automática de registros Para configurar Security Server para que elimine los registros que exceden un límite de tiempo definido: 1. Haga clic en Informes > Mantenimiento. 2. Haga clic en Eliminación automática de registros. 3. Seleccione los registros que desea eliminar. 4. En Eliminar registros anteriores a, escriba el número de días que desea que Security Server conserve los registros. 5. Haga clic en Guardar. Security Server eliminará todos los registros anteriores al número de días que haya especificado en el paso

275 Usar los registros y los informes Para eliminar un registro manualmente: 1. Haga clic en Eliminación manual de registros. 2. Busque la fila donde aparece el tipo de registro que desea eliminar. Escriba un número en el campo situado junto a días para especificar un límite de tiempo. 3. Haga clic en Eliminar. Se eliminarán todos los registros que tengan más días que el número especificado en el paso

276 Manual del administrador de Trend Micro Worry-Free Business Security Advanced

277 Capítulo 13 Administrar WFBS-A En este capítulo se explica cómo utilizar tareas de administración adicionales como, por ejemplo, ver la licencia del producto, trabajar con Plug-in Manager o desinstalar Security Server. Este capítulo incluye los siguientes temas: Cambiar la contraseña de la consola Web en la página 13-2 Trabajar con Plug-in Manager en la página 13-3 Ver los detalles de la licencia del producto en la página 13-4 Participar en Smart Protection Network en la página 13-6 Cambiar el idioma de la interfaz del agente en la página 13-7 Desinstalar Trend Micro Security Server en la página

278 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Cambiar la contraseña de la consola Web Para evitar que usuarios no autorizados modifiquen la configuración o eliminen el agente de sus clientes, la consola Web está protegida mediante contraseña. El programa de instalación maestra de WFBS-A requiere especificar una contraseña para la consola Web; no obstante, puede modificar esta contraseña desde la consola Web. Consejo: Trend Micro recomienda utilizar contraseñas seguras para la consola Web. Una contraseña segura debe tener como mínimo ocho caracteres de longitud, algunas letras en mayúsculas (A-Z), algunas letras en minúsculas (a-z), algún número (0-9) y caracteres especiales o signos de puntuación (!@#$%^&,.:;?). Una contraseña segura nunca debe ser igual al nombre de inicio de sesión del usuario ni contenerlo dentro de la contraseña. No deben contener el apellido del usuario, fechas de nacimiento ni otra información fácilmente relacionada con el usuario. Ruta de navegación: Preferencias > Contraseña ILUSTRACIÓN Pantalla Preferencias Contraseña Para cambiar la contraseña de la consola Web: 1. En la pantalla Contraseña, actualice las siguientes opciones según sea necesario: Contraseña anterior Contraseña nueva Confirmar contraseña: vuelva a escribir la contraseña nueva para confirmarla. 13-2

279 Administrar WFBS-A 2. Haga clic en Guardar. Nota: si olvida la contraseña de la consola Web, póngase en contacto con el equipo de asistencia técnica de Trend Micro para que le indique cómo acceder de nuevo a la consola Web. Solo existe una alternativa: eliminar y volver a instalar WFBS-A. Consulte Desinstalar Trend Micro Security Server en la página Trabajar con Plug-in Manager Ruta de navegación: Preferencias > Complementos Plug-in Manager muestra los programas tanto para WFBS-A como para los agentes en la consola Web en cuanto están disponibles. Una vez disponibles, puede instalarlos y administrarlos desde la consola Web, e incluso implementar los programas de complementos de cliente en los agentes. Para descargar e instalar Plug-in Manager, haga clic en Plug-in Manager en el menú principal de la consola Web. Después de la instalación, podrá buscar los programas de complementos disponibles. Consulte la documentación de los complementos para conocer más información. 13-3

280 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ver los detalles de la licencia del producto Ruta de navegación: Preferencias > Licencia del producto En la pantalla de la licencia del producto puede renovar, actualizar o ver los detalles de la licencia del producto. ILUSTRACIÓN Pantalla Preferencias Licencia del producto La pantalla Licencia del producto muestra los detalles de la licencia. En función de las opciones que haya elegido durante la instalación, tendrá una versión con licencia o una versión de evaluación. En ambos casos, la licencia le otorga derecho a un contrato de mantenimiento. Cuando dicho contrato de mantenimiento caduca, los clientes de la red están protegidos de forma muy limitada. Utilice la pantalla Licencia de producto para determinar cuándo expirará su licencia y asegurarse de que la renovará antes de que caduque. Consecuencias de una licencia caducada Cuando caduca un código de activación de una versión completa, no es posible seguir realizando tareas importantes como descargar componentes actualizados o usar la característica Reputación Web. No obstante, a diferencia de un código de activación de una versión de evaluación, cuando caduca un código de activación de una versión completa, el resto de configuraciones y parámetros siguen vigentes. De este modo se mantiene el nivel de protección en el caso de que olvide renovar la licencia de forma accidental. 13-4

281 Administrar WFBS-A Para renovar la licencia del producto: 1. Póngase en contacto con su representante de ventas o distribuidor de Trend Micro para renovar el contrato de licencia. Información sobre el distribuidor almacenada en: Archivos de programa\trend micro\security server\pccsrv\ private\contact_info.ini 2. Un representante de Trend Micro actualizará su información de registro mediante el registro de productos de Trend Micro. 3. Security Server sondea el servidor de registro de productos y recibe la nueva fecha de caducidad directamente del servidor de registro de productos. No tendrá que introducir manualmente el nuevo código de activación cuando renueve la licencia. Cambiar la licencia El código de activación determina el tipo de licencia. Existe la versión de evaluación o la versión con licencia, la licencia de Worry-Free Business Security Advanced o la licencia de Worry-Free Business Security. Si desea cambiar su licencia, puede utilizar la pantalla Licencia del producto para escribir un nuevo código de activación. Para cambiar la licencia de una versión de evaluación a una versión con licencia: 1. Haga clic en Escribir un código nuevo. 2. Escriba el nuevo código de activación en el campo correspondiente. 3. Haga clic en Activar. 13-5

282 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Participar en Smart Protection Network Ruta de navegación: Preferencias > Smart Protection Network La función Comentarios inteligentes de Trend Micro recopila y analiza continuamente información sobre las amenazas para ayudar a suministrar una protección óptima. Si participa en la función Comentarios inteligentes de Trend Micro, Trend Micro recopilará información de su equipo para ayudarle a identificar nuevas amenazas. La información que Trend Micro recopila de su equipo es la siguiente: Sumas de comprobación de archivos Direcciones Web a las que se ha accedido Información de archivos, incluido el tamaño y las rutas Nombres de archivos ejecutables Consejo: para proteger los equipos no necesita participar en la función Comentarios inteligentes. En cualquier momento puede optar por no participar, ya que es opcional. Trend Micro le recomienda que participe en la función Comentarios inteligentes para que podamos ofrecer una mejor protección general a todos los clientes de Trend Micro. Para obtener más información sobre Smart Protection Network, visite el sitio: Para activar Comentarios inteligentes de Trend Micro: 1. Haga clic en Activar la función Comentarios inteligentes de Trend Micro. 2. Para enviar información sobre posibles amenazas de seguridad en los archivos de sus equipos cliente, active la casilla de verificación Archivar comentario. 3. Para que Trend Micro pueda comprender su organización, seleccione el tipo de Sector. 4. Haga clic en Guardar. 13-6

283 Administrar WFBS-A Cambiar el idioma de la interfaz del agente Los administradores pueden proporcionar paquetes de idiomas específicos de cada configuración regional para Client/Server Security Agent. Una vez que los administradores hayan instalado los paquetes de idiomas, los usuarios podrán ver la interfaz de Client/Server Security Agent en el idioma correspondiente a la configuración regional del sistema operativo. Nota: el idioma utilizado en la interfaz del agente se corresponderá con la configuración regional definida en el sistema operativo del cliente. Para proporcionar paquetes de idiomas: 1. Descargue los paquetes de idiomas correspondientes desde los enlaces. 2. Copie los paquetes de idiomas en el directorio PCCSRV\Download\LangPack\ de Security Server. 3. Reinicie los clientes que necesiten utilizar el paquete de idiomas nuevo. 13-7

284 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Desinstalar Trend Micro Security Server ADVERTENCIA: si desinstala Trend Micro Security Server también se desinstala el servidor de exploración. WFBS-A utiliza un programa de desinstalación para eliminar de forma segura Trend Micro Security Server del equipo. Elimine el agente de todos los clientes antes de eliminar Security Server. Nota: la desinstalación de Trend Micro Security Server no desinstala los agentes. Antes de desinstalar Trend Micro Security Server, los administradores deben desinstalar o mover todos los agentes. Consulte Eliminar agentes en la página Para eliminar Trend Micro Security Server: 1. En el equipo que ha utilizado para instalar el servidor, haga clic en Inicio > Panel de control > Agregar o quitar programas. 2. Haga clic en Trend Micro Security Server y, a continuación, seleccione Cambiar/Quitar. Aparecerá una pantalla de confirmación. 3. Haga clic en Siguiente. El Desinstalador maestro, el programa de desinstalación del servidor, le solicitará la contraseña de administrador. 4. Escriba la contraseña de administrador en el cuadro de texto y haga clic en Aceptar. El programa Desinstalador maestro empezará a eliminar los archivos del servidor. Cuando Security Server se ha desinstalado aparece un mensaje de confirmación. 5. Haga clic en Aceptar para cerrar el programa de desinstalación. 13-8

285 Apéndice A Lista de exclusión de productos Trend Micro Esta lista de exclusión de productos contiene todos los productos Trend Micro que se excluyen de la exploración de forma predeterminada. TABLA A-1. Lista de exclusión de productos Trend Micro NOMBRE DEL PRODUCTO InterScan emanager 3.5x ScanMail emanager (Scan- Mail for Microsoft Exchange emanager) 3.11, 5.1, 5.11, 5.12 ScanMail for Lotus Notes (SMLN) emanager NT UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\InterScan emanager\currentversion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange emanager\currentversion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Lotus Notes\CurrentVersion AppDir= DataDir= IniDir= A-1

286 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA A-1. Lista de exclusión de productos Trend Micro (continuación) NOMBRE DEL PRODUCTO InterScan Web Security Suite (IWSS) InterScan WebProtect InterScan FTP VirusWall InterScan Web VirusWall InterScan VirusWall Complemento InterScan NSAPI InterScan VirusWall UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\Software\Trend- Micro\Interscan Web Security Suite ProgramDirectory= C:\Archivos de programa\trend Mircro\IWSS HKEY_LOCAL_MACHINE SOFT- WARE\TrendMicro\InterScan WebProtect\CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFT- WARE\TrendMicro\ InterScan FTP VirusWall\CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFT- WARE\TrendMicro\ InterScan Web VirusWall\CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFT- WARE\TrendMicro\ InterScan VirusWall\CurrentVersion ProgramDirectory={Unidad de instalación}:\inters~1 HKEY_LOCAL_MACHINE SOFT- WARE\TrendMicro\ InterScan NSAPI Plug-In\CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFT- WARE\TrendMicro\ InterScan VirusWall \CurrentVersion ProgramDirectory= A-2

287 Lista de exclusión de productos Trend Micro TABLA A-1. Lista de exclusión de productos Trend Micro (continuación) NOMBRE DEL PRODUCTO IM Security (IMS) ScanMail for Microsoft Exchange (SMEX) UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\IM Security\CurrentVersion HomeDir= VSQuarantineDir= VSBackupDir= FBArchiveDir= FTCFArchiveDir= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion TempDir= DebugDir= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption\Advance QuarantineFolder= A-3

288 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA A-1. Lista de exclusión de productos Trend Micro (continuación) NOMBRE DEL PRODUCTO ScanMail for Microsoft Exchange (SMEX) Continuación UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ScanOption\Advance QuarantineFolder= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\ManualScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\QuarantineManager QMDir= A-4

289 Lista de exclusión de productos Trend Micro TABLA A-1. Lista de exclusión de productos Trend Micro (continuación) NOMBRE DEL PRODUCTO ScanMail for Microsoft Exchange (SMEX) Continuación UBICACIÓN DE LA RUTA DE INSTALACIÓN Obtenga la ruta del archivo exclusion.txt de HKEY_LOCAL_MACHINE\SOFT- WARE\TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion\HomeDir Vaya a la ruta de HomeDir (por ejemplo, C:\Archivos de programa\trend Micro\Messaging Security Agent\) Abra exclusion.txt C:\Archivos de programa\trend Micro\Messaging Security Agent\Temp\ C:\Archivos de programa\trend Micro\Messaging Security Agent\storage\quarantine\ C:\Archivos de programa\trend Micro\Messaging Security Agent\storage\backup\ C:\Archivos de programa\trend Micro\Messaging Security Agent\storage\archive\ C:\Archivos de programa\trend Micro\Messaging Security Agent\SharedResPool A-5

290 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Lista de exclusión de servidores Microsoft Exchange De forma predeterminada, cuando se instala el Client/Server Security Agent en un servidor Microsoft Exchange (2000 o posterior), éste no explorará las bases de datos de Exchange, los archivos de registro de Exchange, las carpetas del servidor virtual ni la unidad M. La lista de exclusión se guarda en: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentV ersion\misc. ExcludeMicrosoftExchangeStoreFiles=C:\Archivos de programa\exchsrvr\mdbdata\priv1.stm C:\Archivos de programa\exchsrvr\mdbdata\priv1.edb C:\Archivos de programa\exchsrvr\mdbdata\pub1.stm C:\Archivos de programa\exchsrvr\mdbdata\pub1.edb ExcludeMicrosoftExchangeStoreFolders=C:\Archivos de programa\exchsrvr\mdbdata\ C:\Archivos de programa\exchsrvr\mailroot\vsi 1\Queue\ C:\Archivos de programa\exchsrvr\mailroot\vsi 1\PickUp\ C:\Archivos de programa\exchsrvr\mailroot\vsi 1\BadMail\ Agregue manualmente a la lista de exclusión de la exploración las demás carpetas recomendadas por Microsoft Exchange. Para obtener más información, consulte: A-6

291 Apéndice B Información del cliente En este apéndice se describen los distintos tipos de clientes y los iconos del cliente que aparecen en la bandeja del sistema. Este apéndice incluye los siguientes temas: Tipos de clientes en la página B-2 Iconos del cliente normal en la página B-2 Conocimiento de ubicación en la página B-7 Clientes en modo roaming en la página B-8 Clientes de 32 y 64 bits en la página B-10 B-1

292 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Tipos de clientes WFBS-A diferencia entre tres tipos de clientes: Clientes normales o en modo roaming Clientes de 32 ó 64 bits Los clientes normales son equipos en los que se ha instalado Client/Server Security Agent, ocupan una ubicación fija y mantienen una conexión de red permanente con Trend Micro Security Server. Los iconos que aparecen en la bandeja del sistema de un cliente indican el estado del cliente normal. Iconos del cliente normal Estado del cliente de exploración convencional: normal Los siguientes iconos indican que todo lo relacionado con los clientes configurados para la exploración convencional es normal. TABLA B-1. Icono Iconos de clientes en circunstancias normales (Exploración convencional) Descripción Cliente normal configurado para la exploración convencional. Se está ejecutando la exploración convencional. Es posible que, en ocasiones, el patrón de archivos se quede obsoleto. Si ve este icono:,esto significa que el cliente está conectado a Security Server, pero que por alguna razón todavía no ha descargado el último archivo de patrón. En este caso, recomiende al cliente que actualice inmediatamente su protección. Para ello, debe hacer clic con el botón derecho del ratón en el icono de la bandeja del sistema y seleccionar la opción Actualizar ahora. B-2

293 Información del cliente Estado del cliente de exploración convencional: los clientes no están conectados a Security Server pero permanecen protegidos mediante la exploración en tiempo real. A veces los clientes pueden quedarse desconectados de Security Server. Si habilita la exploración en tiempo real y el servicio de exploración funciona correctamente, los clientes seguirán protegidos, aunque podrían ya tener en ese momento o en un futuro próximo archivos de patrones obsoletos. Los clientes con los siguientes iconos siguen protegidos por la exploración en tiempo real. Si aparecen los siguientes iconos, compruebe que Security Server se está ejecutando y que los clientes están conectados a la red. TABLA B-2. Icono Iconos de clientes desconectados de Security Server (Exploración convencional) Descripción El cliente está desconectado de Security Server, pero la exploración en tiempo real se está ejecutando y el archivo de patrones estaba actualizado cuando se produjo la desconexión. El cliente está desconectado de Security Server, pero la exploración en tiempo real se está ejecutando. Sin embargo, el archivo de patrones no estaba actualizado cuando se produjo la desconexión. B-3

294 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Estado del cliente de exploración convencional: la exploración en tiempo real no funciona Trend Micro recomienda habilitar la exploración en tiempo real. Aunque se puede desactivar, no se recomienda. Los siguientes iconos aparecen en los clientes con la exploración en tiempo real desactivada. TABLA B-3. Icono Iconos de clientes con exploración en tiempo real desactivada (Exploración convencional) Descripción La exploración en tiempo real está desactivada. La exploración en tiempo real está desactivada y el archivo de patrones obsoleto. La exploración en tiempo real está desactivada y el cliente no está conectado a Security Server. La exploración en tiempo real está desactivada, el cliente no está conectado a Security Server y el archivo de patrones está obsoleto. B-4

295 Información del cliente Los clientes con los siguientes iconos de color rojo son muy vulnerables, porque el servicio de exploración en tiempo real se ha interrumpido o no funciona correctamente. TABLA B-4. Icono Iconos de clientes con exploración en tiempo real que no funciona correctamente (Exploración convencional) Descripción El servicio de exploración en tiempo real no funciona correctamente. El servicio de exploración en tiempo real no funciona correctamente y el archivo de patrones está obsoleto. El servicio de exploración en tiempo real no funciona correctamente y el cliente no está conectado al servidor. El servicio de exploración en tiempo real no funciona correctamente, el cliente no está conectado al servidor y el archivo de patrones está obsoleto. Estado de cliente de exploración inteligente: normal Si aparecen los siguientes iconos, todo lo relacionado con los clientes configurados para la exploración inteligente es normal. TABLA B-5. Icono Iconos de clientes en circunstancias normales (Exploración inteligente) Descripción Cliente normal configurado para la exploración inteligente. Se está ejecutando la exploración inteligente. B-5

296 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Estado de cliente de exploración inteligente: Desconectado de Smart Scan Server o Security Server La tecnología de exploración inteligente utiliza el servidor de exploración inteligente para proteger a los clientes. Si los clientes están configurados para la exploración inteligente pero se desconectan del servidor de exploración inteligente, solo contarán con el nivel mínimo de protección. Si aparecen los siguientes iconos, asegúrese de que el servicio TMiCRCScanService de Smart Scan esté en funcionamiento y que sus clientes estén conectados a Security Server. TABLA B-6. Icono Iconos de clientes con exploración en tiempo real desactivada (Exploración inteligente) Descripción El cliente no está conectado al servidor de exploración, pero sí a Security Server. El cliente no está desconectado al servidor de exploración ni a Security Server. Estado de cliente de exploración inteligente: la exploración en tiempo real no funciona. Trend Micro recomienda habilitar la exploración en tiempo real. Aunque se puede desactivar, no se recomienda. Los siguientes iconos aparecen en los clientes con la exploración en tiempo real desactivada. TABLA B-7. Icono Iconos de clientes con exploración en tiempo real desactivada (Exploración inteligente) Descripción La exploración en tiempo real está desactivada pero el cliente está conectado al servidor de exploración y a Security Server. La exploración en tiempo real está desactivada y el cliente está conectado al servidor de exploración pero no a Security Server. La exploración en tiempo real está desactivada y el cliente no está conectado al servidor de exploración pero sí a Security Server. B-6

297 Información del cliente TABLA B-7. Icono Iconos de clientes con exploración en tiempo real desactivada (Exploración inteligente) Descripción La exploración en tiempo real está desactivada y el cliente no está conectado ni al servidor de exploración ni a Security Server. Los clientes con los siguientes iconos de color rojo son muy vulnerables, porque el servicio de exploración en tiempo real se ha interrumpido o no funciona correctamente. TABLA B-8. Icono Iconos de clientes con exploración en tiempo real que no funciona correctamente (Exploración inteligente) Descripción La exploración en tiempo real no funciona correctamente, pero el cliente está conectado al servidor de exploración y a Security Server. La exploración en tiempo real no funciona correctamente y el cliente está conectado al servidor de exploración pero no a Security Server. La exploración en tiempo real no funciona correctamente y el cliente no está conectado al servidor de exploración aunque sí a Security Server. La exploración en tiempo real no funciona correctamente y el cliente no está conectado al servidor de exploración o a Security Server. Conocimiento de ubicación Conocimiento de ubicación permite a los administradores controlar la configuración de seguridad en función de cómo se conecte el cliente a la red. WFBS-A identifica automáticamente la ubicación del cliente a partir de la información del gateway del servidor de Worry-Free Business Security, y controla los sitios Web a los que pueden acceder los usuarios. Las restricciones varían según la ubicación del usuario: B-7

298 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Los clientes normales son equipos fijos que mantienen una conexión de red permanente con Security Server. Los clientes en modo roaming son los equipos que no mantienen una conexión de red permanente Clientes en modo roaming Los administradores pueden asignar derechos de modo roaming a los clientes para que los usuarios puedan poner estos clientes en modo roaming. Aunque están protegidos, los clientes en modo roaming no reciben mensajes del servidor y solo se pueden actualizar en las siguientes circunstancias: Cuando el usuario ejecuta una acción Actualizar ahora o realiza una actualización programada Cuando el agente se conecta a Trend Micro Security Server Si utiliza un equipo para funciones que no deban verse interrumpidas por comandos del servidor, asegúrese de que CSA dispone de derechos de roaming en ese equipo. Para obtener más información sobre cómo cambiar los derechos de clientes, consulte Derechos del cliente en la página El estado de los clientes en modo roaming se indica mediante iconos que aparecen en la bandeja del sistema. Consulte las siguientes tablas para ver la lista de iconos que aparecen en un cliente en modo roaming. TABLA B-9. Iconos que aparecen en los clientes en modo roaming (Exploración convencional) ICONO DESCRIPCIÓN Cliente en modo roaming (icono azul). La exploración en tiempo real está desactivada. El archivo de patrones está obsoleto. La exploración en tiempo real está desactivada y el archivo de patrones está obsoleto. B-8

299 Información del cliente TABLA B-9. ICONO Iconos que aparecen en los clientes en modo roaming (Exploración convencional) (continuación) DESCRIPCIÓN El servicio de exploración en tiempo real no se está ejecutando (icono rojo). El servicio de exploración en tiempo real no se está ejecutando y el archivo de patrones está obsoleto (icono rojo). Está conectado al servidor de exploración inteligente, pero la exploración en tiempo real no funciona. Está conectado al servidor de exploración inteligente, pero la exploración en tiempo real está desactivada. No está conectado al servidor de exploración inteligente. No está conectado al servidor de exploración inteligente y la exploración en tiempo real no funciona. No está conectado al servidor de exploración inteligente y la exploración en tiempo real está desactivada. TABLA B-10. Iconos que aparecen en los clientes en modo roaming (Exploración inteligente) ICONO DESCRIPCIÓN Cliente en modo roaming. CONEXIÓN CON EL SERVIDOR DE EXPLORACIÓN Conectado. Cliente en modo roaming. Desconectado. La exploración en tiempo real está desactivada. La exploración en tiempo real está desactivada. Conectado. Desconectado. B-9

300 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 TABLA B-10. Iconos que aparecen en los clientes en modo roaming (Exploración inteligente) ICONO DESCRIPCIÓN El servicio de exploración en tiempo real no se está ejecutando (icono rojo). El servicio de exploración en tiempo real no se está ejecutando (icono rojo). CONEXIÓN CON EL SERVIDOR DE EXPLORACIÓN Conectado. Desconectado. Clientes de 32 y 64 bits El agente es compatible con equipos que utilizan las arquitecturas de procesador x86 y x64. Todas las características están disponibles para estos sistemas operativos y arquitecturas, con la excepción de antirooktik. Nota: el agente no es compatible con la arquitectura Itanium 2 (IA-64). B-10

301 Apéndice C Servicios de Trend Micro En este apéndice se explican los servicios que ofrece Trend Micro. Este apéndice incluye los siguientes temas: Política de prevención de epidemias en la página C-2 Damage Cleanup Services en la página C-2 Valoración de vulnerabilidades en la página C-3 IntelliScan en la página C-4 ActiveAction en la página C-4 IntelliTrap en la página C-7 Servicios de reputación de correo electrónico en la página C-8 Reputación Web en la página C-9 C-1

302 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Política de prevención de epidemias La política de prevención de epidemias de Trend Micro es un conjunto de parámetros de configuración de seguridad predeterminados recomendados por Trend Micro, que se aplican como respuesta a una epidemia en la red. La política de prevención de epidemias se descarga desde Trend Micro en Trend Micro Security Server. Cuando Trend Micro Security Server detecta una epidemia, determina el grado de ésta e implementa inmediatamente las medidas de seguridad apropiadas, según lo establecido en la política de prevención de epidemias. Basándose en la política de prevención de epidemias, la respuesta automática frente a epidemias lleva a cabo los siguientes pasos preventivos para proteger la red en caso de epidemia: Bloquea las carpetas compartidas para impedir que los virus/malware infecten sus archivos. Bloquea los puertos para impedir que los virus/malware utilicen los puertos desprotegidos para infectar los archivos de la red y los clientes. Deniega el acceso de escritura a archivos y carpetas para evitar que los virus/malware modifiquen los archivos. Muestra un mensaje de alerta en los clientes cuando detecta una epidemia. Damage Cleanup Services WFBS-A utiliza Damage Cleanup Services (DCS) para para proteger los equipos Windows frente a troyanos (o programas de caballo de Troya) y virus/malware. La solución Damage Cleanup Services Para hacer frente a las amenazas causadas por virus/malware o spyware/grayware, DCS lleva a cabo las siguientes acciones: Detecta y elimina las amenazas. Termina los procesos creados por las amenazas. Repara los archivos del sistema modificados por las amenazas. Elimina los archivos y las amenazas creados por las amenazas. C-2

303 Servicios de Trend Micro Para efectuar estas tareas, DCS utiliza los componentes que se indican a continuación: Motor de limpieza de virus: el motor que utiliza Damage Cleanup Services para buscar y eliminar las amenazas y sus procesos asociados. Plantilla de limpieza de virus: utilizada por el motor de limpieza de virus, esta plantilla ayuda a identificar las amenazas y sus procesos asociados para que el motor los pueda eliminar. En WFBS-A, DCS se ejecuta en el cliente cuando se dan las siguientes circunstancias: Los usuarios realizan una limpieza manual desde la consola del agente. Los administradores ejecutan Limpiar ahora en el cliente desde la consola Web. Los usuarios ejecutan una exploración manual o programada. Después de implementar un archivo Hotfix o un parche (consulte para conocer más información). Cuando se reinicia el servicio de WFBS-A (es necesario seleccionar el servicio guardián del cliente de WFBS-A para que se reinicie automáticamente el agente en caso de que el agente termine de forma inesperada. Active esta función en la pantalla Configuración general del cliente. Consulte Configuración del servicio guardián en la página para obtener más información.) Dado que DCS se ejecuta de forma automática, no requiere configuración. Los usuarios no perciben la ejecución del programa porque se ejecuta en segundo plano (cuando el agente está en funcionamiento). No obstante, es posible que algunas veces WFBS-A solicite al usuario que reinicie el cliente para completar el proceso de eliminación de amenazas. Valoración de vulnerabilidades La herramienta Valoración de vulnerabilidades ofrece a los administradores del sistema una valoración de los riesgos de seguridad de la red. La información generada con la valoración de vulnerabilidades les ofrece una guía clara para resolver vulnerabilidades conocidas y proteger las redes. Use la valoración de vulnerabilidades para: Configurar tareas que exploren alguno o todos los equipos conectados a la red. En las exploraciones se pueden buscar vulnerabilidades concretas o una lista de todas las vulnerabilidades conocidas. C-3

304 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Ejecutar tareas de valoración manual o configurar tareas según un programa. Solicitar el bloqueo de los equipos que presentan un nivel inaceptable de riesgo para la seguridad de la red. Crear informes que identifiquen las vulnerabilidades de equipos individuales y describan los riesgos de seguridad que esos equipos suponen para toda la red. Los informes identifican las vulnerabilidades según unas convenciones de nombres estándar para que los administradores puedan seguir investigando para solucionar las vulnerabilidades y proteger la red. Puede ver historiales de valoraciones y comparar informes para comprender mejor las vulnerabilidades y modificar los factores de riesgo para la seguridad de la red. IntelliScan IntelliScan es un nuevo método para identificar los archivos que se exploran. Cuando se trata de archivos ejecutables (como, por ejemplo,.exe), el tipo de archivo verdadero se determina en función del contenido del archivo. Cuando se trata de archivos no ejecutables (por ejemplo,.txt), el tipo de archivo verdadero se determina en función del encabezado del archivo. Utilizar IntelliScan ofrece las siguientes ventajas: Optimización del rendimiento: IntelliScan no afecta a las aplicaciones básicas del cliente porque utiliza unos recursos del sistema mínimos. Periodo de exploración más corto: IntelliScan utiliza la identificación de tipo de archivo verdadero, lo que permite explorar únicamente los archivos vulnerables a infecciones. Por lo tanto, el tiempo de exploración es considerablemente inferior al que se invierte para explorar todos los archivos. ActiveAction Existen distintos tipos de virus/malware, cada uno de los cuales requiere acciones de exploración diferentes. La personalización de las acciones de exploración para distintos tipos de virus/malware requiere una serie de conocimientos y puede resultar una tarea tediosa. Trend Micro utiliza ActiveAction para hacer frente a estos problemas. C-4

305 Servicios de Trend Micro ActiveAction es un conjunto de acciones de exploración preconfiguradas para la defensa ante virus/malware y otros tipos de amenazas. La acción recomendada para los virus/malware es Limpiar, y la acción alternativa, Poner en cuarentena. La acción recomendada para los troyanos y los programas de broma es Poner en cuarentena. Si no está familiarizado con las acciones de exploración o si no está seguro de cuál es la acción más adecuada para un determinado tipo de virus/malware, Trend Micro le recomienda utilizar ActiveAction. Utilizar ActiveAction ofrece las siguientes ventajas: Ahorro de tiempo y facilidad de mantenimiento: ActiveAction utiliza acciones de exploración que recomienda Trend Micro. De este modo, no tendrá que perder tiempo configurando las acciones de exploración. Acciones de exploración que se pueden actualizar: los programadores de virus modifican sin cesar el modo de ataque de los virus/malware. Para garantizar la protección de los clientes ante las últimas amenazas y métodos de ataque de los virus/malware, la configuración de ActiveAction se actualiza en los archivos de patrones de virus. C-5

306 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Configuración predeterminada de ActiveAction A continuación figura la configuración predeterminada de ActiveAction para las siguientes amenazas: TABLA C-1. Configuración predeterminada de ActiveAction AMENAZA Posible virus/malware ACCIÓN Ninguna acción ACCIÓN PARA AMENAZAS QUE NO SE PUEDEN LIMPIAR No aplicable Broma Quarantena No aplicable Otras amenazas Limpiar Quarantena Packer Quarantena No aplicable Virus de prueba Omitir No aplicable Virus Limpiar Quarantena Gusanos/Troyanos Quarantena No aplicable Nota: las acciones predeterminadas podrían verse modificadas por futuros archivos de patrones. C-6

307 Servicios de Trend Micro IntelliTrap IntelliTrap es una tecnología heurística que Trend Micro utiliza para detectar amenazas que utilizan la compresión en tiempo real en combinación con otras características del malware, como los packers. Entre los packers se incluyen virus/malware, gusanos, troyanos, puertas traseras y programas robot. Los autores de virus suelen intentar evitar el filtrado de virus/malware mediante distintos esquemas de compresión de archivos. IntelliTrap es una tecnología de motor de exploración basada en reglas de reconocimiento de patrones que actúa en tiempo real para detectar y eliminar virus/malware conocidos de archivos comprimidos hasta seis capas con los 16 tipos de compresión más populares. IntelliTrap utiliza los siguientes componentes cuando busca programas robot y otros programas maliciosos: Motor de exploración antivirus y archivo de patrones de Trend Micro Patrón y patrón de excepciones de IntelliTrap Tipo de archivo verdadero Cuando se configura para explorar el tipo de archivo verdadero, el motor de exploración examina el encabezado del archivo en lugar del nombre de archivo para comprobar cuál es el tipo de archivo real. Por ejemplo, si el motor de exploración está configurado para explorar todos los archivos ejecutables y detecta un archivo denominado family.gif, no presupone que se trata de un archivo gráfico. En su lugar, el motor de exploración abre el encabezado del archivo y examina el tipo de datos registrado internamente para determinar si se trata realmente de un archivo gráfico o si es, por ejemplo, un ejecutable al que se le ha cambiado el nombre para evitar ser detectado. La exploración de tipos de archivo verdadero funciona junto con IntelliScan para explorar solo los tipos de archivo potencialmente peligrosos. Estas tecnologías pueden reducir el número total de archivos que debe examinar el motor de exploración (incluso hasta de dos tercios), pero dicha reducción puede conllevar un riesgo potencialmente más elevado. C-7

308 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Por ejemplo, los archivos.gif suponen un gran volumen del total del tráfico en Internet pero es improbable que alberguen virus/malware, inicien código ejecutable o aprovechen cualquier vulnerabilidad conocida o teórica. Pero, significa eso que son seguros? No del todo. Es posible que un hacker malintencionado asigne un nombre de archivo seguro a un archivo dañino para que eluda el motor de exploración y pase a la red. Este archivo podría causar daños si alguien le cambiara el nombre y lo ejecutara. Consejo: para obtener el mayor nivel de seguridad, Trend Micro recomienda explorar todos los archivos. Servicios de reputación de correo electrónico La tecnología Reputation determina si un correo es spam en función de la reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera al servidor WFBS-A de algunas de sus tareas. Cuando Reputation está activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP entrante para discernir si la dirección IP original está limpia o si, por el contrario, está incluida en alguna lista negra como un vector de spam conocido. Reputation consta de dos niveles de servicio: Estándar: el servicio Estándar utiliza una base de datos que rastrea la reputación de unos dos billones de direcciones IP. Las direcciones IP que constantemente están asociadas a la entrega de mensajes de spam se agregan a la base de datos y casi siempre permanecen en ella. Avanzado: el nivel de servicio Avanzado es un servicio DNS basado en consultas igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos de reputaciones estándar junto con la base de datos de reputaciones en tiempo real dinámica que bloquea los mensajes procedentes de orígenes sospechosos o conocidos de spam. Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP bloqueada o sospechosa, Reputation Services (ERS) la detiene antes de que alcance la infraestructura de mensajería del destinatario. Si ERS bloquea los mensajes de correo electrónico de una dirección IP que el destinatario piensa que es segura, agregue dicha dirección IP a la lista de direcciones IP permitidas. C-8

309 Servicios de Trend Micro Reputación Web La reputación Web ayuda a prevenir el acceso a las direcciones URL que pueden suponer un riesgo para la seguridad ya que contrasta cualquier URL solicitada con la base de datos de Trend Micro Web Security. En función de la ubicación (En la oficina/fuera de la oficina) del cliente, se deberá configurar un nivel de seguridad distinto. Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura, agréguela a la lista de URL permitidas. Para obtener información sobre cómo agregar una dirección URL a la lista de direcciones URL permitidas, consulte Definir la configuración general. Puntuación de reputación La puntuación de reputación de una URL determina si una URL es una amenaza Web. Trend Micro calcula la puntuación mediante métricas de propiedad. Trend Micro considera una URL como una amenaza Web, muy probable que sea una amenaza Web o probable que sea una amenaza Web si su puntuación está en el rango establecido para una de estas categorías. Trend Micro considera que se puede acceder con seguridad a una URL si su puntuación supera un umbral definido. Hay tres niveles de seguridad que determinan si los agentes permitirán o bloquearán el acceso a una URL. Alto: bloquea las páginas en los casos siguientes: Página fraudulenta o fuente de amenaza confirmada Posible página fraudulenta o fuente de amenaza Relacionada con spam o probablemente comprometida Páginas sin clasificar Medio: bloquea las páginas en los casos siguientes: Página fraudulenta o fuente de amenaza confirmada Posible página fraudulenta o fuente de amenaza Baja: bloquea páginas que se han comprobado que son fraudulentas u orígenes de amenazas C-9

310 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 C-10

311 Apéndice D Recomendaciones para proteger los clientes En este apéndice se ofrecen algunas recomendaciones para ayudarle a proteger mejor los clientes de su red. D-1

312 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Recomendaciones Existen muchos modos de proteger los equipos y la red frente a las amenazas de Internet. Trend Micro recomienda realizar las siguientes acciones: Utilizar la configuración predeterminada de WFBS-A que recomienda Trend Micro. Mantener todo el software y los sistemas operativos actualizados con los parches más recientes. Utilizar contraseñas seguras y recomendar también su uso a los usuarios finales. Una contraseña segura debe constar de al menos ocho caracteres con mayúsculas, minúsculas, números y caracteres no alfanuméricos. De igual modo, no debe contener ningún tipo de información personal. Cambie las contraseñas cada 60 o 90 días. Deshabilitar todos los programas y servicios innecesarios para reducir las posibles vulnerabilidades. Enseñar a los usuarios a: Leer el contrato de licencia de usuario final (EULA) y la documentación incluida con las aplicaciones que descargan e instalan en los equipos. Hacer clic en No en cualquier mensaje que solicite autorización para descargar e instalar software (a no ser que los usuarios finales sepan con seguridad que pueden confiar en el fabricante del software y en el sitio Web desde donde van a realizar la descarga). Omitir los mensajes de correo electrónico comercial no solicitado (spam), sobre todo si solicita a los usuarios que hagan clic en un botón o un hiperenlace. Definir la configuración del explorador de Internet para garantizar un nivel de seguridad estricto. Trend Micro recomienda configurar los exploradores para que pidan el consentimiento de los usuarios para instalar controles ActiveX. Para aumentar el nivel de seguridad de Internet Explorer (IE), vaya a Herramientas > Opciones de Internet > Seguridad y desplace el control deslizante hasta un nivel superior. Si esta configuración provoca problemas con los sitios Web que desee visitar, haga clic en Sitios... y añada los sitios que desee visitar a la lista de sitios de confianza. Si se usa Microsoft Outlook, definir la configuración de seguridad para que Outlook no descargue automáticamente los elementos HTML tales como las imágenes enviadas a través de mensajes spam. D-2

313 Recomendaciones para proteger los clientes Prohibir el uso de servicios para compartir archivos de punto a punto. Las amenazas de Internet pueden enmascararse como otros tipos de archivo que los usuarios suelen querer descargar (como archivos de música MP3). Examinar periódicamente el software instalado en los equipos de la red. Si encuentra una aplicación o un archivo que WFBS-A no ha podido detectar como una amenaza de Internet, envíelo a Trend Micro: TrendLabs analizará los archivos y aplicaciones recibidos. Para conocer más recomendaciones de seguridad informática, visite el sitio Web de Trend Micro, donde puede leer la Guía de la informática segura y otra información de seguridad. D-3

314 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 D-4

315 Apéndice E Utilizar herramientas administrativas y de cliente En este apéndice se explica cómo utilizar las herramientas administrativas y de cliente con WFBS-A. Este apéndice incluye los siguientes temas: Tipos de herramientas en la página E-2 Herramientas administrativas en la página E-3 Herramientas de cliente en la página E-11 Complementos en la página E-17 E-1

316 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Tipos de herramientas WFBS-A incluye un conjunto de herramientas que pueden ayudarle a realizar con facilidad varias tareas, incluidas la configuración del servidor y la administración de los clientes. Nota: estas herramientas no se pueden utilizar desde la consola Web. Si desea conocer instrucciones para utilizar las herramientas, consulte los apartados correspondientes más abajo. Estas herramientas se clasifican en tres categorías: Herramientas administrativas: Ayuda a configurar o administrar WFBS-A Configuración de inicio de sesión (autopcc.exe): automatiza la instalación de Client/Server Security Agent. Vulnerability Scanner (TMVS.exe): detecta los equipos sin protección de la red. Remote Manager Agent: habilita a los distribuidores para administrar WFBS-A. Disk Cleaner (TMDiskCleaner.exe): identifica y elimina los archivos de copia de seguridad, registro y patrones no utilizados para ahorrar espacio en disco. Herramientas de cliente: ayudan a mejorar el rendimiento de los agentes. Client Packager (ClnPack.exe): crea un archivo autoextraíble que contiene el programa Client/Server Security Agent y sus componentes. Restaurar virus cifrados (VSEncode.exe): abre los archivos infectados que WFBS-A cifró. Touch Tool (TmTouch.exe): modifica la marca de fecha y hora de un archivo Hotfix para sincronizarlo con el reloj del sistema. Herramienta Client Mover (IpXfer.exe): transfiere un cliente de un Security Server a otro. Los servidores de origen y de destino deben ejecutar la misma versión de WFBS-A y de sistema operativo. E-2

317 Utilizar herramientas administrativas y de cliente Complementos: estos complementos de Windows Small Business Server (SBS) 2008 y Windows Essential Business (EBS) Server 2008 permiten a los administradores visualizar en vivo información de seguridad y del sistema desde las consolas de SBS y EBS. Se trata de la misma información de nivel elevado visible desde la pantalla Estado de actividad. Nota: algunas herramientas de versiones anteriores de WFBS-A no están disponibles en esta versión. Si necesita estas herramientas, póngase en contacto con la asistencia técnica de Trend Micro. Consulte Asistencia técnica en la página G-4. Herramientas administrativas Este apartado contiene información sobre las herramientas administrativas de WFBS-A. Configuración de inicio de sesión Utilice la Configuración de inicio de sesión para automatizar la instalación de Client/Server Security Agent en equipos sin protección cuando éstos inician una sesión en la red. Configuración de inicio de sesión añade el programa autopcc.exe a la secuencia de comandos de inicio de sesión del servidor. El programa autopcc.exe realiza las siguientes funciones: Determina el sistema operativo del equipo sin protección e instala la versión correspondiente de Client/Server Security Agent Actualiza el archivo de patrones de virus y los archivos de programa. Para ver instrucciones sobre la instalación de los agentes, consulte Instalar con Configuración de inicio de sesión en la página 3-6. E-3

318 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Vulnerability Scanner Utilice Vulnerability Scanner para detectar las soluciones antivirus instaladas y buscar los equipos de la red que no dispongan de protección. Para determinar si los equipos están protegidos, Vulnerability Scanner envía un comando ping a los puertos que suelen utilizar las soluciones antivirus. Vulnerability Scanner puede realizar las siguientes funciones: Realizar una exploración de DHCP para supervisar la red en busca de solicitudes DHCP de forma que cuando los equipos inicien sesión en la red por primera vez, Vulnerability Scanner pueda determinar su estado. Enviar comandos ping a equipos de la red para comprobar su estado y obtener los nombres de los equipos, las versiones de plataforma y las descripciones. Determinar las soluciones antivirus instaladas en la red. Puede detectar productos de Trend Micro (entre ellos, OfficeScan, ServerProtect for Windows NT y Linux, ScanMail for Microsoft Exchange, InterScan Messaging Security Suite y PortalProtect), así como soluciones antivirus de otros fabricantes (como Norton AntiVirus Corporate Edition v7.5 y v7.6 y McAfee VirusScan epolicy Orchestrator). Mostrar el nombre del servidor y la versión del archivo de patrones, el motor de exploración y el programa para OfficeScan y ServerProtect for Windows NT. Enviar los resultados de la exploración por correo electrónico. Ejecutarse en modo silencioso (modo de símbolo del sistema). Instalar Client/Server Security Agent remotamente en equipos Windows 2000/Server 2003 (R2). También puede automatizar Vulnerability Scanner mediante la creación de tareas programadas. Para obtener más información sobre cómo automatizar Vulnerability Scanner, consulte la Ayuda en línea de TMVS. Para ejecutar Vulnerability Scanner desde un equipo que no sea el servidor, copie la carpeta TMVS desde la carpeta \PCCSRV\Admin\Utility del servidor al equipo en cuestión. Nota: no se puede instalar Client/Server Security Agent con Vulnerability Scanner si el componente del servidor de WFBS-A está presente en el mismo equipo. Vulnerability Scanner no instala Client/Server Security Agent en equipos que ya estén ejecutando el componente del servidor de WFBS-A. E-4

319 Utilizar herramientas administrativas y de cliente Utilizar Vulnerability Scanner Para configurar Vulnerability Scanner: 1. Abra los directorios siguientes en la unidad en la que está instalado el componente del servidor de WFBS-A: Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Haga doble clic en TMVS.exe. Aparecerá la consola de Trend Micro Vulnerability Scanner. 2. Haga clic en Settings. Aparecerá la pantalla Settings. 3. En el cuadro Product Query, seleccione los productos de la red que desea comprobar. Seleccione Check for all Trend Micro products para seleccionar todos los productos. Si en la red están instalados los productos Trend Micro InterScan y Norton AntiVirus Corporate Edition, haga clic en Settings junto al nombre del producto para verificar el número de puerto que comprobará Vulnerability Scanner. 4. En Description Retrieval Settings, haga clic en el método de recuperación que desee utilizar. La recuperación normal es más precisa, pero también es un proceso más largo. Si hace clic en Normal retrieval, puede definir Vulnerability Scanner para que intente obtener las descripciones de los equipos, si están disponibles. A tal efecto, seleccione la casilla de verificación Retrieve computer descriptions when available. 5. Para enviarse automáticamente los resultados o enviarlos a otros administradores, en Alert Settings, active la casilla de verificación results to the system administrator y haga clic en Configure para especificar la configuración del correo electrónico: To From SMTP server: la dirección del servidor SMTP. Por ejemplo, smtp.empresa.com. La información del servidor SMTP es obligatoria. Subject 6. Si desea mostrar una alerta en los equipos sin protección, active la casilla de verificación Display alert on unprotected computers. A continuación, haga clic en Customize para definir el mensaje de alerta. Aparecerá la pantalla Alert Message. Puede escribir un mensaje de alerta nuevo o aceptar el mensaje predeterminado. Haga clic en Aceptar. E-5

320 Manual del administrador de Trend Micro Worry-Free Business Security Advanced Para guardar los resultados en un archivo de datos de valores separados por comas (CSV), active la casilla de verificación Automatically save the results to a CSV file. De manera predeterminada, los archivos de datos CSV se guardan en la carpeta TMVS. Si desea cambiar la carpeta CSV predeterminada, haga clic en Browse. Aparecerá la pantalla Browse for folder. Busque una carpeta de destino en el equipo o en la red y, a continuación, haga clic en OK. 8. Puede activar Vulnerability Scanner para que envíe comandos ping a los equipos de la red para comprobar su estado. En Ping Settings, especifique el modo en que Vulnerability Scanner debe enviar los paquetes a los equipos y cómo debe esperar las respuestas. Acepte la configuración predeterminada o escriba nuevos valores en los cuadros de texto Packet size y Timeout. 9. Para instalar de forma remota el agente y enviar un registro al servidor, escriba el nombre y el número de puerto del servidor. Para instalar automáticamente el agente de forma remota, active la casilla de verificación Auto-install Client/Server Security Agent for unprotected computers. 10. Haga clic en Install Account para configurar la cuenta. Aparecerá la pantalla Account Information. 11. Escriba un nombre de usuario y una contraseña y haga clic en OK. 12. Haga clic en OK para guardar la configuración. Aparecerá la consola de Trend Micro Vulnerability Scanner. Para ejecutar una exploración de vulnerabilidades manual en un rango de direcciones IP: 1. En IP Range to Check, escriba el rango de direcciones IP que desee para comprobar si hay soluciones antivirus instaladas y equipos desprotegidos. Nota: Vulnerability Scanner solo es compatible con direcciones IP de clase B. 2. Haga clic en Start para empezar la comprobación de los equipos de la red. Los resultados aparecerán en la tabla Results. E-6

321 Utilizar herramientas administrativas y de cliente Para ejecutar Vulnerability Scanner en equipos que solicitan direcciones IP desde un servidor DHCP: 1. Haga clic en la pestaña DHCP Scan del cuadro Results. Aparecerá el botón DHCP Start. 2. Haga clic en DHCP Start. Vulnerability Scanner comienza a escuchar las solicitudes DHCP y realiza la exploración de vulnerabilidades en los equipos a medida que inician sesión en la red. Para crear tareas programadas: 1. En Scheduled Tasks, haga clic en Add/Edit. Aparecerá la pantalla Scheduled Task. 2. En Task Name, escriba un nombre para la tarea que está creando. 3. En IP Address to Check, escriba el rango de direcciones IP que desee para comprobar si hay soluciones antivirus instaladas y equipos desprotegidos. 4. En Task Schedule, haga clic en la frecuencia con la que desea ejecutar la tarea que está creando. Puede elegir entre las opciones Daily, Weekly o Monthly. Si hace clic en Weekly, deberá seleccionar un día de la lista. Si hace clic en Monthly, deberá seleccionar una fecha de la lista. 5. En el menú Start time, escriba o seleccione la hora a la que se ejecutará la tarea. Utilice el formato horario de 24 horas. 6. En Settings, haga clic en Use current settings si desea utilizar la configuración existente o bien en Modify settings para modificarla. Si hace clic en Modify settings, seleccione Settings para modificar la configuración. Para obtener información sobre como definir la configuración, consulte desde el paso 3 al paso 12 del apartado Para configurar Vulnerability Scanner: en la página E Haga clic en Aceptar para guardar la configuración. La tarea creada aparecerá en Scheduled Tasks. E-7

322 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Otras configuraciones Para configurar los siguientes parámetros es preciso modificar el archivo TMVS.ini: EchoNum: establece el número de clientes a los que Vulnerability Scanner enviará un comando ping simultáneamente. ThreadNumManual: define el número de clientes que Vulnerability Scanner comprobará simultáneamente para determinar si disponen de software antivirus. ThreadNumSchedule: define el número de clientes que Vulnerability Scanner comprobará simultáneamente para determinar si disponen de software antivirus cuando se ejecuten las tareas programadas. Para modificar estos parámetros: 1. Abra la carpeta TMVS y busque el archivo TMVS.ini. 2. Abra el archivo TMVS.ini con el Bloc de notas u otro editor de texto. 3. Para definir el número de equipos a los que Vulnerability Scanner enviará simultáneamente un comando ping, cambie el valor de EchoNum. Especifique un valor comprendido entre 1 y 64. Por ejemplo, escriba EchoNum=60 si desea que Vulnerability Scanner envíe comandos ping a 60 equipos de forma simultánea. 4. Para definir el número de equipos que Vulnerability Scanner comprobará simultáneamente para determinar si disponen de software antivirus, cambie el valor de ThreadNumManual. Especifique un valor comprendido entre 8 y 64. Por ejemplo, escriba ThreadNumManual=60 para que se comprueben 60 equipos a la vez para verificar si tienen algún software antivirus instalado. 5. Para definir el número de equipos que Vulnerability Scanner comprobará simultáneamente para determinar si disponen de software antivirus cuando se ejecuten tareas programadas, cambie el valor de ThreadNumSchedule. Especifique un valor comprendido entre 8 y 64. Por ejemplo, escriba ThreadNumSchedule=60 para que se comprueben 60 equipos simultáneamente para determinar si disponen de software antivirus cuando Vulnerability Scanner ejecute una tarea programada. 6. Guarde el archivo TMVS.ini. E-8

323 Utilizar herramientas administrativas y de cliente Remote Manager Agent Trend Micro Worry-Free Remote Manager Agent permite a los distribuidores administrar WFBS-A con Trend Micro Worry-Free Remote Manager (WFRM). Consulte la Guía de instalación de WFBS-A o la documentación de WFRM para obtener información detallada. Herramienta Disk Cleaner Para ahorrar espacio en disco, la herramienta Disk Cleaner (TMDiskCleaner.exe) identifica y elimina los archivos de copia de seguridad, registro y patrones no utilizados de los siguientes directorios: <CSA>\AU_Data\AU_Temp\* <CSA>\Reserve <SS>\PCCSRV\TEMP\* (excepto archivos ocultos) <SS>\PCCSRV\Web\Service\AU_Data\AU_Temp\* <SS>\PCCSRV\wss\*.log <SS>\PCCSRV\wss\AU_Data\AU_Temp\* <SS>\PCCSRV\Backup\* <SS>\PCCSRV\Virus\* (elimina archivos en cuarentena que superen las dos semanas excepto el archivo NOTVIRUS) <SS>\PCCSRV\ssaptpn.xxx (mantiene sólo el último patrón) <SS>\PCCSRV\lpt$vpn.xxx (mantiene sólo los tres últimos patrones) <SS>\PCCSRV\icrc$oth.xxx (mantiene sólo los tres últimos patrones) <SS>\DBBackup\* (mantiene sólo las dos últimas subcarpetas) <MSA>\AU_Data\AU_Temp\* <MSA>\Debug\* <MSA>\engine\vsapi\latest\pattern\* Utilice esta herramienta a través de la interfaz gráfica de usuario o de la interfaz de línea de comando. E-9

324 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Para limpiar archivos no utilizados usando la interfaz gráfica de usuario: 1. En el servidor WFBS-A, vaya al siguiente directorio: <SS>\PCCSRV\Admin\Utility\ 2. Haga doble clic en TMDiskCleaner.exe. Aparece el Disk Cleaner de Trend Micro Worry-Free Business Security. ILUSTRACIÓN E-1. Disk Cleaner ADVERTENCIA! Los archivos eliminados usando la interfaz gráfica de usuario no se pueden restaurar. 3. Haga clic en Eliminar archivos para explorar y eliminar los archivos de copias de seguridad, registro y patrones no utilizados. Para limpiar archivos no utilizados usando la interfaz de línea de comando: 1. En el Security Server, abra una ventana de símbolo del sistema. (Inicio --> Ejecutar --> escriba "cmd" --> haga clic en Aceptar) 2. En el símbolo del sistema, ejecute el siguiente comando: TMDiskCleaner.exe [/hide] [/log] [/allowundo] /hide: ejecuta la herramienta como un proceso en segundo plano. /log: guarda un registro de la operación en DiskClean.log que se encuentra en la carpeta actual. E-10

325 Utilizar herramientas administrativas y de cliente Nota: /log está sólo disponible cuando se usa /hide. /allowundo: mueve los archivos a la Papelera de reciclaje y no los elimina de forma permanente. Consejo: Para ejecutar la herramienta Disk Cleaner de forma frecuente, configure una nueva tarea usando las tareas programadas de Windows. Consulte la documentación sobre Windows para obtener más información. Herramientas de cliente Este apartado contiene información sobre las herramientas de cliente de WFBS-A. Client Packager Client Packager es una herramienta que puede comprimir archivos de instalación y actualización en un archivo autoextraíble para simplificar el envío a través del correo electrónico, CD-ROM o un soporte similar. También incluye una función de correo electrónico que puede abrir la libreta de direcciones de Microsoft Outlook y le permite enviar el archivo autoextraíble desde la consola de la herramienta. Para ejecutar Client Packager, haga doble clic en el archivo. Los clientes de WFBS-A que se instalan mediante Client Packager envían un informe al servidor en el que se creó el paquete de instalación. E-11

326 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Restaurar virus cifrados Los agentes Client/Server Security Agent y Messaging Security Agent cifran los archivos y datos adjuntos infectados para evitar que los usuarios los abran y que el virus/malware se propague a otros archivos del cliente. Cuando Client/Server Security Agent hace una copia de seguridad, pone en cuarentena o cambia el nombre de un archivo infectado, cifrará el archivo. El archivo en cuarentena se almacena en la carpeta \Suspect del cliente para después enviarse al directorio en cuarentena. El archivo de copia de seguridad se almacena en la carpeta \Backup del cliente, normalmente en C:\Archivos de programa\trend Micro\Client Server Security Agent\Backup\. Siempre que Messaging Security Agent hace una copia de seguridad, pone en cuarentena o archiva un mensaje de correo electrónico o archivo adjunto, cifrará el archivo y lo almacenará en una carpeta de almacenamiento de MSA, por lo general en C:\Archivos de programa\trend Micro\Messaging Security Agent\storage\. Sin embargo, puede que alguna vez tenga que abrir el archivo aun sabiendo que está infectado. Por ejemplo, si se ha infectado un documento importante y necesita recuperar la información del mismo, tendrá que descifrar el archivo infectado para recuperar la información. En este caso, puede utilizar Restaurar virus cifrados para descifrar los archivos infectados que desee abrir. Nota: para evitar que Client/Server Security Agent vuelva a detectar el virus/malware al utilizar la herramienta Restaurar virus cifrados, excluya la carpeta en la que se descifra el archivo de la exploración en tiempo real. ADVERTENCIA: si descifra un archivo infectado, el virus/malware podría propagarse a otros archivos. Restaurar virus cifrados precisa los archivos siguientes: Archivo principal: VSEncode.exe Archivo DLL requerido: VSAPI32.dll E-12

327 Utilizar herramientas administrativas y de cliente Uso de la interfaz gráfica Para restaurar archivos de la carpeta Suspect desde la línea de comandos: 1. Vaya a la carpeta donde está ubicada la herramienta (por ejemplo: c:\vsencrypt) y escriba VSEncode.exe /u. 2. Seleccione el archivo que desea restaurar. 3. Haga clic en Restaurar. Uso de la interfaz de línea de comandos Para restaurar archivos de la carpeta Suspect desde la línea de comandos: 1. Copie VSEncrypt de Security Server al cliente: \PCCSRV\Admin\Utility\VSEncrypt. ADVERTENCIA: no copie la carpeta VSEncrypt a la carpeta de WFBS. El archivo VSAPI32.dll de la utilidad Restaurar virus cifrados provocaría un conflicto con el archivo original VSAPI32.dll. 2. Abra el símbolo del sistema y vaya al lugar en el que haya copiado la carpeta VSEncrypt. 3. Ejecute Restaurar virus cifrados con los siguientes parámetros: Ningún parámetro: cifra los archivos de la carpeta de cuarentena. -d: descifra los archivos de la carpeta de cuarentena. -debug: crea un registro de depuración en la carpeta raíz del cliente. /o: sobrescribe un archivo cifrado o descifrado si ya existe. /f: {nombre del archivo}: cifra o descifra un solo archivo. /nr: no restablece el nombre de archivo original. Por ejemplo, puede escribir VSEncode [-d] [-debug] para descifrar los archivos de la carpeta de cuarentena y crear un registro de depuración. Cuando se descifra o cifra un archivo, éste se crea en la misma carpeta. Nota: es posible que no pueda cifrar o descifrar archivos bloqueados. E-13

328 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Restaurar virus cifrados facilita los registros siguientes: VSEncrypt.log: contiene detalles sobre el cifrado o el descifrado. Este archivo se crea automáticamente en la carpeta temporal del usuario que tiene iniciada una sesión en el equipo (generalmente en la unidad C:). VSEncDbg.log: contiene detalles sobre la depuración. Este archivo se crea automáticamente en la carpeta temporal del usuario que tiene iniciada una sesión en el equipo (generalmente en la unidad C:) si VSEncode.exe se ejecuta con el parámetro -debug. Para cifrar o descifrar archivos situados en otras ubicaciones: 1. Cree un archivo de texto y escriba a continuación la ruta completa de los archivos que desee cifrar o descifrar. Por ejemplo, para cifrar o descifrar archivos ubicados en C:\Mis documentos\ Informes, escriba C:\Mis documentos\informes\*.* en el archivo de texto. A continuación, guarde el archivo de texto con una extensión INI o TXT; por ejemplo, puede guardarlo como ParaCifrar.ini en la unidad C:. 2. Ejecute Restaurar virus cifrados desde el símbolo del sistema. Para ello, escriba VSEncode.exe -d -i {ubicación del archivo INI o TXT}, donde {ubicación del archivo INI o TXT} corresponde a la ruta de acceso y nombre de archivo del archivo INI o TXT creado (por ejemplo, C:\ParaCifrar.ini). Restaurar mensajes con formato de transporte por encapsulación neutral El formato de transporte por encapsulación neutral (TNEF) es un formato para la encapsulación de mensajes que utiliza Microsoft Exchange/Outlook. Normalmente este formato se envía como archivo adjunto de correo con el nombre Winmail.dat y Outlook Express lo oculta de forma automática. Consulte Si MSA archiva este tipo de mensaje y la extensión del archivo se cambia a.eml, Outlook Express mostrará únicamente el cuerpo del mensaje. E-14

329 Utilizar herramientas administrativas y de cliente Herramienta Touch Touch Tool sincroniza la marca de hora de un archivo con la de otro archivo o con la hora del sistema del equipo. Si no consigue implementar con éxito un archivo Hotfix (una actualización o revisión publicada por Trend Micro) en Trend Micro Security Server, utilice Touch Tool para cambiar la marca de hora del archivo Hotfix. De esta forma, WFBS-A interpretará que el archivo Hotfix es nuevo y hará que el servidor intente instalarlo de nuevo automáticamente. Para ejecutar Touch Tool: 1. En Trend Micro Security Server, vaya a este directorio: \PCCSRV\Admin\Utility\Touch 2. Copie el archivo TMTouch.exe en la carpeta en la que se halle el archivo que desee modificar. Si sincroniza la marca de hora del archivo con la de otro archivo, coloque ambos archivos en la misma ubicación con ayuda de Touch Tool. 3. Abra una línea de comandos y desplácese hasta la ubicación de Touch Tool. 4. Escriba lo siguiente: TmTouch.exe <nombre del archivo de destino> <nombre del archivo de origen> Donde: <nombre del archivo de destino> = el nombre del archivo (el paquete de corrección, por ejemplo) cuya marca de hora desea modificar <nombre del archivo de origen> = el nombre del archivo cuya marca de hora desea duplicar Si no especifica ningún nombre de archivo de origen, la herramienta establecerá la marca de hora del archivo de destino según la marca de hora del sistema del equipo. Nota: puede utilizar el carácter de comodín * en el campo del nombre del archivo de destino, pero no en el campo del nombre del archivo de origen. 5. Para comprobar que se haya modificado la marca de hora, escriba dir en el símbolo del sistema, o haga clic con el botón derecho en el explorador de Windows y seleccione Propiedades. E-15

330 Manual del administrador de Trend Micro Worry-Free Business Security Advanced 6.0 Client Mover Si dispone de más de un servidor WFBS-A en la red, puede utilizar la función Client Mover para transferir los clientes de un servidor WFBS-A a otro. Esta resulta especialmente útil después de agregar un nuevo servidor WFBS-A a la red cuando se desea transferir los clientes existentes a un nuevo servidor. Los servidores de origen y de destino deben ejecutar la misma versión de WFBS-A y de sistema operativo. Client Mover requiere el archivo IpXfer.exe. Para ejecutar Client Mover: 1. En el servidor WFBS-A, vaya a este directorio: \PCCSRV\Admin\Utility\IpXfer. 2. Copie el archivo IpXfer.exe en el cliente que desea transferir. 3. En el cliente, abra el símbolo del sistema y vaya a la carpeta en la que se copió el archivo. 4. Ejecute Client Mover con la siguiente sintaxis: IpXfer.exe -s <nombre_servidor> -p <puerto_escucha_servidor> -m 1 -c <puerto_escucha_cliente> Donde: <nombre_servidor> = nombre del servidor WFBS-A de destino (el servidor al que va a transferirse el cliente). <puerto_escucha_servidor> = puerto de escucha (de confianza) del servidor WFBS-A de destino. Para ver el puerto de escucha en la consola Web, haga clic en Security Settings. El puerto de escucha se muestra junto al nombre de Security Server. 1 = debe utilizar el número 1 después de -m. <puerto_escucha_cliente> = el número de puerto del equipo cliente. Para confirmar que el cliente se comunica ahora con el otro servidor: 1. En el equipo cliente, haga clic con el botón derecho del ratón en el icono de Client/Server Security Agent situado en la bandeja del sistema. 2. Seleccione Consola de Client/Server Security Agent. 3. En la pestaña Help, haga clic en More info en la sección Product Information. 4. Compruebe que el Security Server con el que se comunica el CSA es el correcto. E-16

331 Utilizar herramientas administrativas y de cliente Complementos WFBS-A proporciona complementos de Windows Small Business Server (SBS) 2008 y Windows Essential Business (EBS) Server Estos complementos permiten que los administradores visualicen en vivo información sobre el estado de seguridad y del sistema desde las consolas de SBS y EBS. ILUSTRACIÓN E-2. Visualización en vivo de la información de estado mediante la consola de SBS Instalar los complementos de SBS y EBS Tanto el complemento de SBS como el de EBS se instalan automáticamente al instalar Security Server en un equipo que ejecute SBS 2008 o EBS Para usar el complemento en otro equipo, deberá instalarlo manualmente. Para instalar manualmente el complemento para SBS o EBS 2008: 1. Vaya a la consola Web desde el equipo que ejecuta SBS o EBS Haga clic en Preferencias > Herramientas y haga clic a continuación en la pestaña Complementos. E-17