Ediciones Advanced y Standard de. Worry-Free. Business Security Service Pack 3 Manual del administrador. Securing Your Journey to the Cloud

Transcripción

1 Ediciones Advanced y Standard de Worry-Free Business Security Service Pack 3 Manual del administrador Securing Your Journey to the Cloud

2 Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en el producto que en él se describe sin previo aviso. Antes de instalar y empezar a utilizar el producto, consulte los archivos Léame, las notas de la versión y la última versión de la documentación correspondiente que encontrará disponible en el sitio Web de Trend Micro en: Trend Micro, el logotipo en forma de pelota con la letra t en su interior de Trend Micro, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan y ScanMail. son marcas comerciales o marcas comerciales registradas de Trend Micro Incorporated. El resto de nombres de productos o empresas pueden ser marcas comerciales o marcas comerciales registradas de sus respectivos propietarios. Copyright Trend Micro Incorporated. Reservados todos los derechos. Nº de documento: WFSM97377/ Fecha de publicación: marzo de 2016 Protegido por las patentes de Estados Unidos: 5,951,698 y 7,188,369

3 Esta documentación presenta las características principales del producto y proporciona instrucciones de instalación para un entorno de producción. Léala detenidamente antes de instalar o utilizar el producto. También encontrará información pormenorizada sobre cómo utilizar funciones específicas del producto en el Centro de ayuda en línea de Trend Micro y en la Base de conocimientos de Trend Micro. Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda, comentario o sugerencia con relación a este o a cualquier otro documento de Trend Micro, póngase en contacto con nosotros a través de la dirección de correo electrónico docs@trendmicro.com. Evalúe esta documentación en el siguiente sitio Web:

4

5 Tabla de contenidos Prefacio Prefacio... xi Documentación de Worry-Free Business Security... xii Destinatarios... xiii Convenciones del documento... xiii Capítulo 1: Introducción a Worry-Free Business Security Standard y Advanced Información general sobre Trend Micro Worry-Free Business Security Novedades de esta versión (WFBS 9.0 SP3) Novedades de WFBS 9.0 SP Novedades de WFBS 9.0 SP Novedades de WFBS Funciones y ventajas principales Red de Protección Inteligente de Trend Micro Servicios de File Reputation Servicios de Reputación Web Reputation (Advanced solo) Comentarios inteligentes Filtrado de URL Ventajas de la protección Descripción de las amenazas Virus y malware Spyware y grayware Spam Intrusiones Comportamiento malicioso Puntos de acceso falsos Incidentes de phishing i

6 Manual del administrador de Worry-Free Business Security 9.0 SP3 Capítulo 2: Introducción Ataques de correo masivo Amenazas Web Red de Worry-Free Business Security Security Server Servidor de exploración Agentes Consola Web Abrir la consola Web Navegación por la consola Web Iconos de la consola Web Estado de actividad Capítulo 3: Instalar agentes Instalación del Security Agent Requisitos de instalación del Security Agent Consideraciones sobre la instalación del Security Agent Funciones disponibles del Security Agent Instalación del Security Agent y compatibilidad con IPv Métodos de instalación del Security Agent Instalar desde la página Web interna Instalar con Configuración de secuencia de comandos de inicio de sesión Instalar con Client Packager Instalar con Instalación remota Instalar con Vulnerability Scanner Instalar mediante notificación por correo electrónico Migrar al Security Agent Realizar tareas posteriores a la instalación en los Security Agents 3-39 Instalación de Messaging Security Agent Requisitos de instalación del Messaging Security Agent Instalar el Messaging Security Agent (Advanced solo) Eliminar agentes Eliminar agentes desde la consola Web ii

7 Tabla de contenidos Desinstalar agentes desde la consola Web Desinstalar el Security Agent desde el cliente Usar la herramienta de desinstalación de SA Desinstalación del Messaging Security Agent desde el servidor Microsoft Exchange (Advanced solo) Capítulo 4: Gestionar grupos Grupos Agregar grupos Agregar agentes a grupos Mover agentes Mover Security Agents entre grupos Mover agentes entre Security Servers usando la consola Web Mover un Security Agent entre Security Servers usando Client Mover Replicar configuración Replicar configuraciones de grupo de Security Agents Replicar configuraciones del Messaging Security Agent (Advanced solo) Importar y exportar la configuración de grupos de Security Agents Exportar configuración Importar configuración Capítulo 5: Gestionar la configuración de seguridad básica para los Security Agents Resumen de la configuración de seguridad básica para los Security Agents Métodos de exploración Configurar los métodos de exploración Exploración en tiempo real para los Security Agents Configurar la exploración en tiempo real para los Security Agents Cortafuegos Configurar el cortafuegos iii

8 Manual del administrador de Worry-Free Business Security 9.0 SP3 Trabajar con las excepciones del cortafuegos Desactivar el cortafuegos en un grupo de agentes Desactivar el cortafuegos en todos los agentes Reputación Web Configurar la reputación Web para los Security Agents Filtrado de URL Configuración del filtrado de URL URL aprobadas/bloqueadas Configurar las URL permitidas/bloqueadas Supervisión del comportamiento Configurar la supervisión del comportamiento Programa de confianza Configurar programas de confianza Control del dispositivo Configurar el control de los dispositivos Herramientas del usuario Configurar las herramientas de usuario Derechos de agente Configuración de los privilegios del agente Directorio de cuarentena Configurar el directorio de cuarentena Capítulo 6: Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Messaging Security Agents Cómo explora Messaging Security Agent los mensajes de correo electrónico Configuración predeterminada de Messaging Security Agent Exploración en tiempo real para los Messaging Security Agents Configurar la exploración en tiempo real para Messaging Security Agent Antispam Reputation iv

9 Tabla de contenidos Exploración del contenido Filtrado de contenido Gestionar las reglas del filtrado de contenidos Tipos de reglas para filtrar contenidos Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición Agregar reglas de supervisión para el filtrado de contenido Crear excepciones para las reglas de filtrado de contenidos Prevención de pérdida de datos Tareas de preparación Gestionar reglas de prevención de pérdida de datos Reglas de prevención de pérdida de datos predeterminadas Agregar reglas de prevención de pérdida de datos Bloqueo de archivos adjuntos Configurar el bloqueo de archivos adjuntos Reputación Web Configurar la reputación Web para los Messaging Security Agents Mobile Security Compatibilidad de Mobile Security Configurar el control de acceso a dispositivos Cancelar un borrado de dispositivo pendiente Borrar dispositivos manualmente Configurar políticas de seguridad Cuarentena para los Messaging Security Agents Consultar directorios de cuarentena Ver resultados de las consultas y realizar acciones Mantener directorios de cuarentena Configurar directorios de cuarentena Configuración de notificaciones para los Messaging Security Agents Definir configuraciones de notificación para los Messaging Security Agents v

10 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configurar el mantenimiento del spam Gestionar End User Quarantine Depurador y asistencia de Trend Micro Generar informes del depurador del sistema Supervisor en tiempo real Usar un supervisor en tiempo real Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes Capítulo 7: Gestionar las exploraciones Acerca de las exploraciones Exploración en tiempo real Exploración manual Ejecutar exploraciones manuales Exploración programada Configurar exploraciones programadas Explorar destinos y acciones para los Security Agents Explorar destinos y acciones para los Messaging Security Agents Capítulo 8: Administrar las actualizaciones Información general sobre actualizaciones Componentes que se pueden actualizar Archivos Hotfix, parches y Service Packs Actualizaciones del Security Server Configurar la fuente de actualización del Security Server Actualizar manualmente el Security Server Configuración de actualizaciones programadas para el Security Server Recuperación de componentes Actualizaciones del Security Agent y el Messaging Security Agent Actualizaciones automáticas Actualizaciones manuales vi

11 Tabla de contenidos Sugerencias y recordatorios sobre la actualización de agentes Agentes de actualización Configurar agentes de actualización Capítulo 9: Gestionar las notificaciones Notificaciones Configurar sucesos de notificaciones Variables de símbolo Capítulo 10: Utilizar la función Defensa frente a epidemias Estrategia de la defensa frente a epidemias Configurar la defensa frente a epidemias Estado actual de Defensa frente a epidemias Valoración de vulnerabilidades Configurar la valoración de vulnerabilidades Ejecutar valoraciones de vulnerabilidades bajo petición Damage Cleanup Ejecutar limpieza bajo petición Capítulo 11: Administrar la configuración general Configuración general Configurar el proxy de Internet Definir la configuración del servidor SMTP Definir la configuración de los equipos de sobremesa/servidores Definir la configuración de sistemas Capítulo 12: Usar los registros y los informes Registros Utilizar la consulta al registro Informes Uso de informes puntuales Trabajar con informes programados vii

12 Manual del administrador de Worry-Free Business Security 9.0 SP3 Interpretar informes Realizar tareas de mantenimiento para informes y registros Capítulo 13: Realizar tareas administrativas Cambiar la contraseña de la consola Web Trabajar con Plug-in Manager Gestionar la licencia del producto Participar en el programa Smart Feedback Cambiar el idioma de la interfaz del agente Guardar y restaurar la configuración del programa Desinstalar Security Server Capítulo 14: Usar las herramientas de gestión Tipos de herramientas Instalación de Trend Micro Remote Manager Agent Ahorrar espacio en disco Ejecutar Disk Cleaner en el Security Server Ejecutar Disk Cleaner en el Security Server mediante la interfaz de línea de comandos Ahorrar espacio de disco en los clientes Desplazamiento de la base de datos de Scan Server Restaurar archivos cifrados Descifrar y restaurar archivos en el Security Agent Descifrar y restaurar archivos en el Security Server, el directorio de cuarentena personalizado o el Messaging Security Agent Restaurar mensajes con formato de transporte por encapsulación neutral Utilizar la herramienta ReGenID Gestionar los complementos de SBS y EBS Instalar manualmente los complementos de SBS y EBS Usar los complementos de SBS o EBS viii

13 Tabla de contenidos Apéndice A: Iconos del Security Agent Comprobar el estado del Security Agent... A-2 Ver iconos de Security Agent en la barra de tareas de Windows... A-4 Acceder a la ventana emergente de la consola... A-5 Apéndice B: Compatibilidad con IPv6 en WFBS Compatibilidad con IPv6 en WFBS y Security Agents... B-2 Requisitos del Security Server IPv6... B-2 Requisitos del Security Agent... B-3 Requisitos del Messaging Security Agent... B-3 Limitaciones de los servidores que solo utilizan IPv6... B-4 Limitaciones de Security Agent que solo utiliza IPv6... B-5 Configuración de direcciones IPv6... B-6 Pantallas que muestran direcciones IP... B-7 Apéndice C: Obtener ayuda La Base de conocimientos de Trend Micro... C-2 Ponerse en contacto con Trend Micro... C-2 Herramienta de diagnóstico de casos... C-3 Agilizar la llamada al servicio de asistencia... C-3 Enviar contenido sospechoso a Trend Micro... C-4 Servicios de File Reputation... C-4 Reputation Services... C-4 Servicios de Reputación Web... C-4 Enciclopedia de amenazas... C-5 TrendLabs... C-5 Evaluación de la documentación... C-6 Apéndice D: Terminología del producto y conceptos Revisión crítica... D-2 Revisión... D-2 ix

14 Manual del administrador de Worry-Free Business Security 9.0 SP3 IntelliScan... D-2 IntelliTrap... D-3 Sistema de detección de intrusiones... D-4 Palabras clave... D-6 Parche... D-10 Expresiones regulares... D-10 Listas de exclusión de la exploración... D-19 Service Pack... D-26 Puerto de troyano... D-26 Archivos que no se pueden limpiar... D-28 Índice Índice... IN-1 x

15 Prefacio Prefacio Le damos la bienvenida al Manual del administrador de Trend Micro Worry-Free Business Security. Este documento contiene información introductoria, procedimientos para instalar agentes e instrucciones para la gestión de los agentes y del Security Server. xi

16 Manual del administrador de Worry-Free Business Security 9.0 SP3 Documentación de Worry-Free Business Security La documentación de Worry-Free Business Security consta de lo siguiente: Tabla 1. Documentación de Worry-Free Business Security Documentació n Manual de instalación y actualización Manual del administrador Ayuda Archivo Léame Base de conocimientos Descripción Documento PDF que contiene los requisitos y procedimientos de instalación del Security Server y de actualización del servidor y de los agentes. Documento PDF que contiene información introductoria, procedimientos de instalación de clientes e instrucciones para gestionar los agentes y el Security Server. Los archivos HTML compilados en formato WebHelp o CHM que proporcionan información sobre procedimientos, consejos de uso e información específica de los campos. contiene una lista de los problemas conocidos y los pasos básicos para la instalación. También puede contener la información más reciente del producto, no disponible en la documentación impresa o en la Ayuda. Una base de datos en línea con información sobre la solución de problemas. Incluye la información más reciente acerca de los problemas conocidos de los productos. Para acceder a la Base de conocimientos, vaya al siguiente sitio Web: Descargue la versión más reciente de los documentos en PDF y del archivo Léame en: xii

17 Prefacio Destinatarios La documentación de Worry-Free Business Security tiene como destinatarios a los siguientes usuarios: Administradores de seguridad: responsables de la gestión de Worry-Free Business Security, incluida la gestión y la instalación del agente y del Security Server. Estos usuarios deberán tener conocimientos avanzados sobre la administración de redes y servidores. Usuarios finales: usuarios que tienen instalado en sus equipos el Security Agent. El nivel de conocimientos informáticos de estos individuos abarca desde principiantes hasta usuarios avanzados. Convenciones del documento Para facilitar la localización y la interpretación de la información con facilidad, la documentación de Worry-Free Business Security utiliza las siguientes convenciones: Tabla 2. Convenciones del documento Convención TODO EN MAYÚSCULAS Negrita Cursiva <Texto> Nota Descripción Acrónimos, abreviaciones y nombres de determinados comandos y teclas del teclado Menús y opciones de menú, botones de comandos, pestañas, opciones y tareas Referencias a componentes de otra documentación o nuevas tecnologías Indica que el texto dentro de los corchetes deberá sustituirse por datos reales. Por ejemplo, C:\Program Files \<file_name> puede ser C:\Program Files\sample.jpg. Ofrece notas o recomendaciones sobre la configuración xiii

18 Manual del administrador de Worry-Free Business Security 9.0 SP3 Convención Consejo Descripción Ofrece información sobre prácticas recomendadas y recomendaciones de Trend Micro ADVERTENCIA! Ofrece advertencias sobre actividades que pueden dañar los equipos de la red xiv

19 Capítulo 1 Introducción a Worry-Free Business Security Standard y Advanced En este capítulo se ofrece información general sobre Worry-Free Business Security (WFBS). 1-1

20 Manual del administrador de Worry-Free Business Security 9.0 SP3 Información general sobre Trend Micro Worry- Free Business Security Trend Micro Worry-Free Business Security (WFBS) protege a los usuarios y activos de las pequeñas empresas frente al robo de datos, la sustracción de identidades, los sitios Web peligrosos y el spam (Advanced solo). Este documento ofrece información sobre las versiones Standard y Advanced de WFBS. Las secciones y los capítulos correspondientes solo a la versión Advanced aparecen marcados como "(Advanced solo)". Con la tecnología de Trend Micro Smart Protection Network, WFBS es: Más seguro: evita que los virus, el spyware, el spam (Advanced solo) y las amenazas Web lleguen a los clientes. El filtrado de URL bloquea el acceso a los sitios Web peligrosos y contribuye a mejorar la productividad del usuario. Más inteligente: la exploración rápida y las continuas actualizaciones evitan nuevas amenazas, con un impacto mínimo en los clientes. Más fácil: con una instalación sencilla y sin requisitos de administración, WFBS detecta amenazas de forma más efectiva, para que pueda centrarse en su negocio sin preocuparse por la seguridad. Novedades de esta versión (WFBS 9.0 SP3) Worry-Free Business Security ofrece las siguientes mejoras y nuevas características: Tabla 1-1. Novedades de WFBS 9.0 SP3 Función/mejora Compatibilidad con la actualización de noviembre de Windows 10 Descripción Worry-Free Business Security ya es compatible con la instalación de Security Agent en los equipos con Windows 10 en los que se ha instalado la actualización de noviembre. 1-2

21 Introducción a Worry-Free Business Security Standard y Advanced Función/mejora Inspección del programa Mejoras en la protección de documentos Protección mediante Supervisión del comportamiento mejorada Descripción Worry-Free Business Security ofrece protección frente a ransomware mediante la supervisión y el enlace de procesos en puntos finales para detectar archivos ejecutables en riesgo y mejorar la tasa de detección general. Worry-Free Business Security mejora la protección de documentos frente a cambios o cifrado no autorizados para evitar posibles ataques de ransomware. Worry-Free Business Security ahora habilita las siguientes características de Supervisión del comportamiento de forma predeterminada: Notificaciones de usuario antes de ejecutar programas recién encontrados Protección de documentos frente a cambios o cifrado no autorizados Copias de seguridad automáticas de los archivos modificados por programas sospechosos Supervisión y enlace de procesos Bloqueo de procesos asociados con ransomware Compatibilidad con SHA-2 Worry-Free Business Security ahora es compatible con certificados firmados mediante SHA

22 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 1-2. Problemas conocidos resueltos N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Trend Micro Messaging Security Agent desaparece del árbol de clientes en la consola de administración de Worry- Free Business Security Server cuando los usuarios reinstalan Messaging Security Agent tras actualizar a Worry-Free Business Security 9.0 Service Pack Puede que los usuarios encuentren ransomware debido a un gran número de ataques recientes Puede que los usuarios no sean capaces de acceder a ningún sitio Web tras habilitar la característica Reputación Web del agente de Worry- Free Business Security 9.0 Service Pack 2. Este archivo HotFix garantiza que Messaging Security Agent se puede registrar correctamente en Worry-Free Business Security 9.0 Service Pack 2 Security Server. Este archivo HotFix habilita la supervisión de programas recién encontrados que se han descargado mediante aplicaciones HTTP o de correo electrónico en los agentes de Security Agent para aumentar la protección frente a posibles ataques de ransomware. Este archivo HotFix garantiza que la característica Reputación Web funciona con normalidad. 1-4

23 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Después de actualizar a Worry-Free Business Security 9.0 Service Pack 2, el enlace rápido «Editar configuración» no se muestra con normalidad en la consola de administración de Worry-Free Business Security Server Los usuarios no pueden volver a implementar los Security Agents de Worry-Free mediante el objeto de política de grupo (GPO) tras desinstalar los Security Agents desde el Panel de control. Esto ocurre debido a que el programa de instalación de los Security Agents detecta la clave de producto de Worry-Free Security Agent que se generó mediante el GPO e interpreta que el producto ya está instalado, por lo que se interrumpe la instalación Puede que los usuarios reciban el mensaje de error del explorador «localstorage incorrecto» cuando accedan a la página «Configuración de seguridad para los agentes de Security Agent». Este archivo HotFix garantiza que la consola de administración de Worry-Free Business Security Server muestra el enlace rápido «Editar configuración» correctamente. Este archivo HotFix garantiza que los usuarios puedan volver a implementar los Security Agents desde el GPO. Este archivo HotFix garantiza que cuando los usuarios navegan por el árbol de clientes y se produce un error en la configuración de diseño de la interfaz de usuario personalizada, el explorador muestra el diseño de interfaz de usuario predeterminado al usuario. 1-5

24 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Puede que el módulo AEGIS provoque el cierre inesperado de algunos procesos El complemento de Internet Explorer de Worry-Free Business Security se detiene de forma inesperada cuando los usuarios visitan ciertos sitios Web tras habilitar la característica «Prevención de explotación del explorador». Este archivo HotFix actualiza el módulo del servicio de Supervisión del comportamiento para garantizar que el módulo AEGIS no provoque el cierre inesperado de procesos. Este archivo HotFix garantiza que el complemento de Internet Explorer funciona con normalidad cuando se habilita la característica «Prevención de explotación del explorador». 9 MSA ActiveSync no funciona cuando el campo de encabezado de autorización HTTP no contiene información de usuario. Este archivo HotFix permite a Worry-Free Business Security recopilar información de usuario automáticamente si el campo de encabezado de autorización HTTP no contiene información de usuario. De esta manera se garantiza que ActiveSync funcione con normalidad. Este archivo HotFix también soluciona algunos problemas de interfaz de usuario de Messaging Security Agent. Tras aplicar el archivo HotFix, Worry-Free Business Security abrirá la consola Web de MSA en una nueva pestaña en Internet Explorer. 1-6

25 Introducción a Worry-Free Business Security Standard y Advanced Novedades de WFBS 9.0 SP2 Worry-Free Business Security ofrece las siguientes mejoras y nuevas características: Tabla 1-3. Novedades de WFBS 9.0 SP2 Función/mejora Compatibilidad con Windows 10 Protección de ransomware para documentos Descripción Worry-Free Business Security es compatible ahora con la instalación de Security Agent en Windows 10. Las características de exploración mejoradas pueden identificar y bloquear los programas de ransomware que tienen como objetivo los documentos que se ejecutan en los puntos finales; para ello, identifican los comportamientos comunes y bloquean los procesos normalmente asociados a programas de ransomware. Tabla 1-4. Problemas conocidos resueltos N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 1 B2363 Security Agent puede seguir protegiendo los archivos Intuit después de que el usuario desactiva la función Protección de Intuit QuickBooks. 2 B2363 Security Agent puede seguir protegiendo las carpetas después de que el usuario desactiva la función de protección de carpetas. Este archivo Hotfix garantiza que los usuarios pueden desactivar con éxito la función Protección de Intuit Quickbooks. Este archivo Hotfix garantiza que los usuarios pueden desactivar con éxito la función de protección de carpetas. 1-7

26 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 3 B2453 Al iniciar el agente de Worry- Free Business Security 9.0 Service Pack 1 con la exploración del correo electrónico POP3 activada, puede que el servicio de exploración en tiempo real (Ntrtscan.exe) no se pueda iniciar debido a un conflicto de tiempo con el servicio Trend Micro Security Agent Listener (TmListen.exe). 4 B2453 En algunos entornos, parte del proceso de exploración puede colgarse y el agente de Worry- Free Business Security 9.0 Service Pack 1 puede ser incapaz de realizar cualquier acción en el malware detectado. Cuando esto sucede, Worry-Free Business Security no muestra un mensaje de advertencia emergente ni genera un registro de detección. 5 B2479 La ventana de progreso de la exploración manual deja de responder durante una exploración manual. Esta revisión crítica resuelve el conflicto de tiempo al garantizar que el servicio Trend Micro Security Agent Listener permite que se inicie el servicio de exploración en tiempo real antes que otros servicios. Esta revisión crítica permite al agente de Worry-Free Business Security 9.0 Service Pack 1 realizar la acción necesaria sobre el malware detectado en la situación descrita anteriormente. Este archivo Hotfix garantiza que las exploraciones manuales se ejecutan y completan normalmente. 1-8

27 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 6 B2500 Un problema impide que los servidores de Worry-Free Business Security 9.0 Service Pack 1 actualicen con éxito Smart Scan Pattern. Cuando esto sucede, el estado activo del servicio de Smart Scan en la consola web del servidor se vuelve «no disponible». 7 B2502 Un problema impide que los servidores de Worry-Free Business Security 9.0 Service Pack 1 deshabiliten el ajuste global: «Enviar registros de Reputación Web y Filtrado de URL a Security Server». 8 B2503 En sistemas operativos de 64 bits de Microsoft(TM), la versión de 32 bits de Internet Explorer 9 puede bloquearse cuando coexiste con Security Agent. Este archivo Hotfix garantiza que los servidores de Worry- Free Business Security 9.0 Service Pack 1 puedan actualizar con éxito Smart Scan Pattern. Este archivo Hotfix garantiza que los servidores de Worry- Free Business Security 9.0 Service Pack 1 puedan desactivar la configuración general: «Envío de los registros de filtrado de URL y de la reputación Web al Security Server». Este archivo Hotfix garantiza que este explorador funcione correctamente cuando coexista con Security Agent en sistemas operativos de 64 bits de Microsoft. 1-9

28 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 9 B2510 La característica de exploración de correo SMTP se activa de forma predeterminada cuando el agente de Worry-Free Business Security 9.0 Service Pack 1 está instalado en la plataforma Microsoft(TM) Windows(TM) 8.0, 8.1 o Server 2012 R2. Cuando esto sucede, es posible que tanto el servidor como el cliente de correo electrónico de la plataforma no puedan enviar ni recibir algunos mensajes de correo electrónico. 10 B2514 Los usuarios podrían encontrarse con problemas de rendimiento en equipos en los que está instalado el agente de Worry-Free Business Security 9.0 Service Pack B2515 Un problema relacionado con el archivo binario «coretaskmanager.dll» podría activar un problema de pérdida de montones después de instalar el agente de Worry- Free Business Security 9.0 Service Pack 1 en el equipo. Este archivo Hotfix garantiza que Security Agent funciona correctamente con el servidor y el cliente de correo electrónico de la plataforma. Este archivo Hotfix resuelve los problemas de rendimiento en los equipos afectados. Este archivo Hotfix resuelve el problema de pérdida de montones en los equipos afectados. 1-10

29 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 12 B2516 Los usuarios podrían ser incapaces de instalar el agente de Trend Micro Remote Manager en equipos en los que está instalado Worry-Free Business Security 9.0 Service Pack 1. Cuando esto sucede, los usuarios no podrán registrar Worry-Free Business Security en Trend Micro Remote Manager con su GUID existente. 13 B2517 Los equipos en los que está instalado el agente de Worry- Free Business Security 9.0 Service Pack 1 podrían dejar de responder después de que se active la característica de exploración en tiempo real. 14 B2519 Los usuarios pueden encontrarse con problemas de bloqueo del sistema al instalar el agente de Worry-Free Business Security 9.0 Service Pack B2520 En ocasiones, Worry-Free Business Security 9.0 Service Pack 1 no puede detectar un dispositivo de discos USB que se ha expulsado y se ha vuelto a conectar a un equipo protegido. Este archivo Hotfix resuelve los problemas de instalación para garantizar que los usuarios puedan instalar el agente de Trend Micro Remote Manager en equipos donde está instalado el servidor de Worry-Free Business Security 9.0 Service Pack 1. Este archivo hotfix garantiza que la característica de exploración en tiempo real de los agentes de Worry-Free Business Security 9.0 Service Pack 1 funcione normalmente. Este archivo Hotfix resuelve problemas de bloqueo del sistema al instalar el agente de Worry-Free Business Security 9.0 Service Pack 1. Este archivo Hotfix garantiza que Worry-Free Business Security 9.0 Service Pack 1 pueda detectar dispositivos de discos USB que se conectan a equipos protegidos. 1-11

30 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 16 B2534 Los usuarios pueden encontrarse con problemas de bloqueo del sistema después de instalar el agente de Worry- Free Business Security 9.0 Service Pack B2541 Worry-Free Business Security 9.0 Service Pack 1 puede detenerse de forma inesperada o mostrar una pantalla azul en un entorno de Microsoft Windows Server con un disco de volúmenes compartidos de clúster (CSV). Este archivo Hotfix resuelve problemas de bloqueo del sistema al instalar el agente de Worry-Free Business Security 9.0 Service Pack 1. Este archivo Hotfix garantiza que Worry-Free Business Security 9.0 Service Pack 1 funcione correctamente con discos CSV dentro de un clúster de conmutación por error de Windows Server. Novedades de WFBS 9.0 SP1 Worry-Free Business Security ofrece las siguientes mejoras y nuevas características: Tabla 1-5. Novedades de WFBS 9.0 SP1 Función/mejora Descripción Mejoras de detección Protección de prevención de epidemias frente a archivos comprimidos ejecutables (empaquetadores) Rendimiento mejorado del motor de Damage Cleanup Mejoras Los registros de reputación Web incluyen información sobre los procesos en funcionamiento 1-12

31 Introducción a Worry-Free Business Security Standard y Advanced Función/mejora Descripción Mejoras de facilidad de manejo La versión de Security Server se muestra en la pantalla de inicio de sesión Tabla 1-6. Problemas conocidos resueltos Texto de la interfaz de usuario mejorada para reflejar mejor cómo funciona WFBS N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución 1 N/D Un usuario solicita una forma de configurar Messaging Security Agent para que ejecute exploraciones de bloqueo de archivos adjuntos en mensajes de correo electrónico de spam en cuarentena (MSA ) Tras actualizar el servidor de Worry-Free Business Security desde la versión 8.0 u 8.0 Service Pack 1 a la 9.0, el estado de actividad del servicio de Smart Scan de la consola Web del servidor pasa a estar «no disponible». Esto se produce porque el servidor de Worry-Free Business Security 9.0 no puede actualizar correctamente Smart Scan Pattern. Este archivo hotfix agrega una opción para configurar Messaging Security Agent para que ejecute exploraciones de bloqueo de archivos adjuntos en mensajes de correo electrónico de spam en cuarentena. Este archivo hotfix garantiza que el servidor de Worry-Free Business Security 9.0 pueda actualizar correctamente Smart Scan Pattern. 1-13

32 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución El paquete del servidor de Worry-Free Business Security 9.0 contiene una biblioteca de software criptográfico de OpenSSL que se ve afectada por la vulnerabilidad de Heartbleed Si Microsoft Windows está en modo de contraste alto y los usuarios acceden a la consola de Worry-Free Business Security 9.0 en Microsoft Internet Explorer, los usuarios no podrán mover clientes de un grupo a otro Es posible que los agentes de Worry-Free Business Security no puedan ejecutar exploraciones manuales en las unidades de red El proceso de la base de datos del servidor de Worry- Free Business Security puede producir pérdidas de memoria durante la consulta de registro de Spyware. Esta revisión crítica actualiza la biblioteca de software criptográfico de OpenSSL en el paquete del servidor de Worry-Free Business Security 9.0 SP3 para resolver el problema. Este archivo hotfix corrige un atributo de función para permitir a Internet Explorer recuperar correctamente la información cuando Windows está en modo de contraste alto. Esto ayuda a garantizar que los usuarios puedan mover clientes entre grupos en este escenario correctamente. Este archivo hotfix garantiza que los agentes de Worry- Free Business Security puedan ejecutar exploraciones manuales en las unidades de red. Este archivo hotfix garantiza que el proceso de la base de datos del servidor de Worry- Free Business Security no produzca pérdidas de memoria al realizar consultas de registro de Spyware. 1-14

33 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Cuando los usuarios ordenan datos haciendo clic en las columnas "Virus detectados", «Spyware detectado», «Spam detectado» y «URL infringidas» en el árbol de clientes de la interfaz de usuario del servidor, Worry- Free Business Security no puede ordenar los datos correctamente Los servicios de Security Agent producen un error al cargar durante el inicio si los administradores utilizan la configuración de inicio de sesión de AutoPCC para implementar clientes Se muestran ventanas emergentes de forma aleatoria desde Security Agent sin razón aparente En sistemas operativos (SO) de 64 bits de Microsoft, la versión de 32 bits de Internet Explorer 9 puede bloquearse cuando coexiste con Security Agent. Este archivo hotfix corrige el problema de ordenación de datos que afecta a las columnas «Virus detectados», «Spyware detectado», «Spam detectado» y «URL infringidas». Este archivo hotfix garantiza que los servicios de Security Agent funcionen correctamente durante el inicio si los administradores utilizan la configuración de inicio de sesión de AutoPCC para implementar clientes. Este archivo hotfix garantiza que solo se muestren ventanas emergentes desde Security Agent para eventos necesarios según su configuración de notificaciones. Este archivo hotfix garantiza que este explorador funcione correctamente cuando coexista con Security Agent en sistemas operativos de 64 bits de Microsoft. 1-15

34 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución El campo «Acción ejecutada» en los registros de virus que se han exportado desde el servidor de Worry-Free Business Security no contiene información Existe una incoherencia en el campo "Fecha/hora" entre el registro de correo POP3 del servidor de Worry-Free Business Security y el registro de Security Agent Es posible que los usuarios no puedan actualizar el Smart Scan Pattern desde un origen de redireccionamiento de HTTP Los agentes de Security Agents reciben notificaciones de globo cuando el agente está actualizando sus archivos de programa. Los clientes están solicitando una forma de deshabilitar este tipo de notificaciones de globo. Este archivo hotfix garantiza que los registros se importen correctamente desde el servidor de Worry-Free Business Security. Este archivo hotfix garantiza que la información del registro de correo POP3 del servidor de Worry-Free Business Security sea coherente con el registro de Security Agent. Este archivo hotfix garantiza que el procedimiento de actualizar pueda procesar correctamente el carácter del signo del dólar en las respuestas de redireccionamiento de HTTP para que los usuarios puedan actualizar correctamente el Smart Scan Pattern desde un origen de redireccionamiento de HTTP. Este archivo hotfix proporciona una opción para deshabilitar la notificación de globo que aparece cuando el agente está actualizando sus archivos de programa. 1-16

35 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Tras instalar el agente de Worry-Free Business Security, el proceso PccNTMon.exe puede encontrar un problema de error de punteros El controlador EYES que viene con el paquete de Worry-Free Business Security y funciona con un controlador de terceros, en ocasiones puede informar de falsos positivos TmListen se puede detener inesperadamente tras la instalación del agente de Worry-Free Business Security Cuando Security Agent se instala en equipos que ejecutan Windows XP no puede detectar malware ubicado en el sector de arranque de un dispositivo USB cuando los usuarios inician sesión en Windows con una cuenta que no es de administrador. Este archivo hotfix resuelve el problema de error de punteros en los equipos afectados. Este archivo hotfix actualiza el controlador EYES para ayudarle a evitar que informe de falsos positivos. Este archivo hotfix garantiza que TMListen se ejecute correctamente tras la instalación del agente de Worry-Free Business Security. Este archivo hotfix actualiza los archivos de Security Agent para resolver este problema. 1-17

36 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución El servicio Ntrtscan.exe se puede detener inesperadamente mientras Security Agent realiza una exploración manual en una ubicación con una longitud de ruta superior a los 260 caracteres En ocasiones, el servicio de escucha de Security Agent, TmListen.exe, se detiene inesperadamente cuando se inicia Security Agent A veces, el estado de un equipo de Security Agent aparece como "Trend Micro Security Agent está desactivado" en el Centro de actividades de Microsoft Windows incluso si Security Agent está habilitado en el equipo. Este archivo hotfix permite a Security Agent utilizar una variable flexible en lugar de una fija para almacenar rutas de archivos durante las exploraciones para impedir que Ntrtscan.exe se detenga inesperadamente. Este archivo hotfix mejora el mecanismo de gestión de errores de Security Agent para impedir que TmListen.exe se detenga inesperadamente cuando se inicia Security Agent. Este archivo hotfix actualiza los archivos de Security Agent para garantizar que aparezca el estado de Security Agent correcto en el Centro de actividades de Windows. 1-18

37 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Puede llevar mucho tiempo iniciar sesión en la consola de Security Agent en la plataforma de la aplicación Novell ZENworks debido a un problema con la configuración del Motor de exploración antivirus La función cgicheckip.exe de Security Server permite a los usuarios explorar cualquier puerto dentro de cualquier red Microsoft Office se cuelga al abrir archivos de Office en carpetas compartidas. Este problema se puede resolver con la implementación del parámetro CheckRtPCWOplock. Este archivo hotfix resuelve este problema permitiendo a los usuarios modificar la configuración del Motor de exploración antivirus en el servidor de Worry-Free Business Security e implementar de forma global la nueva configuración del Motor de exploración antivirus en los clientes de Worry-Free Business Security. Este archivo hotfix mejora el mecanismo de comprobación de puertos de la función cgicheckip.exe para permitirle que valide correctamente el número de puerto enviado desde un cliente antes de explorar el puerto. Este archivo hotfix permite a los usuarios establecer el siguiente parámetro CheckRtPCWOplock en la Configuración general e implementarlo en el cliente para solucionar el problema de que se cuelgue. 1-19

38 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución A veces, el estado de un equipo de Security Agent en un entorno de red VPN aparece como «Trend Micro Security Agent está desactivado» en el Centro de actividades de Microsoft Windows Security Agent siempre sobrescribe esta clave de registro de cliente y la establece como el valor predeterminado para el módulo del cortafuegos: HKLM \SYSTEM\CurrentControlSet \services\tmtdi \Parameters\ RedirectIpv6 Este archivo hotfix actualiza los archivos de Security Agent para garantizar que aparezca el estado de cliente correcto en el Centro de actividades de Windows. Este archivo hotfix modifica la función Redirigir IPv6 sobrescribiendo de forma manual (pero no a la fuerza) la clave RedirectIpv6, para establecerla como el valor predeterminado. 1-20

39 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Durante las actualizaciones de Security Agent, Security Agent recupera la configuración de otras fuentes de actualización (OUS) del archivo ClientAllSetting.ini y actualiza el archivo OUS.ini con la información recuperada. Sin embargo, cuando se detiene Security Server Master Service, se borra el archivo "ClientAllSetting.ini". Como resultado, Security Agent no podrá recuperar la configuración de OUS para actualizar el archivo OUS.ini que puede provocar que fallen las actualizaciones de Security Agent En ocasiones, la versión de la Plantilla de limpieza de virus de la consola de Security Agent pasa a ser «0» después de que el cliente actualice la plantilla y cargue la nueva versión Es posible que los usuarios no puedan acceder a sitios Web internos cuando Security Agent utiliza IPv6 para redirigir las URL al Servicio de reputación Web (WRS). Este archivo hotfix agrega un mecanismo de comprobación que impide que Security Agent realice cambios en el archivo OUS.ini si no puede recuperar la configuración de OUS del archivo ClientAllSetting.ini. Esto garantiza que los agentes de Security Agents puedan seguir completando actualizaciones cuando el archivo ClientAllSetting.ini esté vacío. Este archivo hotfix mejora el mecanismo de comprobación de versiones para garantizar que aparezca la versión correcta de la Plantilla de limpieza de virus de la consola de Security Agent. Este archivo hotfix resuelve el problema proporcionando una opción para configurar los agentes de Security Agents para redirigir las URL a WRS mediante IPv4 en lugar de IPv6 y para implementar la configuración de forma global. 1-21

40 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Microsoft Outlook deja de responder cuando se inicia en equipos que ejecutan el servicio de Supervisión de comportamiento de Security Agent Security Agent no genera un registro de spyware cuando detecta spyware en un archivo comprimido autoextraíble y fallan todas las acciones del archivo El archivo OUS.ini de Security Agent se trunca después de una actualización. Esto ocurre cuando el archivo OUS.ini es mayor que la memoria búfer asignada para la función de copiar que fuerza a la función a truncar el archivo para ajustarse al búfer En ocasiones, la versión de la Plantilla de limpieza de virus de la consola de cliente de OfficeScan pasa a ser «0» después de que el cliente actualice la plantilla y cargue la nueva versión. El archivo hotfix proporciona la implementación de la configuración de Supervisión de comportamiento que puede impedir que Outlook se detenga inesperadamente en esta situación. Este archivo hotfix garantiza que Security Agent genere registros de spyware cuando detecte spyware en un archivo comprimido y fallan todas las acciones del archivo. Este archivo hotfix aumenta la memoria búfer para la función de copiar OUS.ini e impedir que la función trunque el archivo OUS.ini de los agentes de Security Agents durante las actualizaciones. Este archivo hotfix mejora el mecanismo de comprobación de versiones para garantizar que aparezca la versión correcta de la Plantilla de limpieza de virus de la consola de cliente de OfficeScan 1-22

41 Introducción a Worry-Free Business Security Standard y Advanced N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Es posible que el proceso de recuperación de Smart Scan Agent y los archivos del patrón de virus no funcionen correctamente Un software de terceros puede dejar de responder en un equipo de Security Agent cuando están habilitados tanto el Servicio de prevención de cambios no autorizados como los servicios del cortafuegos del cliente Cuando Security Agent realiza una exploración manual y la ruta de la exploración es superior a 63 caracteres, el registro de exploración correspondiente no aparece en el visor "Registros de virus" Es posible que los agentes de Security Agents instalados en plataformas de 64 bits no puedan actualizarse desde el agente de actualización. Este archivo hotfix garantiza que el proceso de recuperación de Smart Scan Agent y los archivos del patrón de virus funcionen correctamente. Este archivo hotfix permite a los usuarios implementar una configuración de cortafuegos para impedir que un software de terceros se detenga inesperadamente en equipos de Security Agent cuando están habilitados tanto el Servicio de prevención de cambios no autorizados como los servicios del cortafuegos del cliente. Este archivo hotfix garantiza que los registros de la exploración se registren correctamente cuando la ruta de la exploración sea superior a 63 caracteres. Este archivo hotfix garantiza que los agentes de Security Agents se actualicen correctamente desde los agentes de actualización. 1-23

42 Manual del administrador de Worry-Free Business Security 9.0 SP3 N.º de elem ento s Número del archivo hotfix o revisión crítica Problema Solución Es posible que algunos componentes no se actualicen cuando algunas características utilicen sus módulos durante la actualización de Security Agent. Este archivo hotfix garantiza que todos los componentes se actualicen durante la actualización de Security Agent. Novedades de WFBS 9.0 Worry-Free Business Security ofrece las siguientes mejoras y nuevas características: Tabla 1-7. Novedades de WFBS 9.0 Función/mejora Compatibilidad con Microsoft Exchange Compatibilidad con Windows Descripción WFBS ya es compatible con Microsoft Exchange Server 2010 SP3 y Microsoft Exchange Server WFBS ya es compatible con Microsoft Windows 8.1 y Windows Server 2012 R

43 Introducción a Worry-Free Business Security Standard y Advanced Función/mejora Seguridad de dispositivos móviles Descripción WFBS Advanced ya es compatible con el control de acceso y la protección de datos de dispositivos móviles. La seguridad de dispositivos móviles incluye las siguientes funciones: Control de acceso a dispositivos Permitir acceso al servidor de Exchange en función del usuario, el sistema operativo o el cliente de correo electrónico Especificar el acceso otorgado a componentes de buzón de correo determinados Administración de dispositivos Realizar un borrado en dispositivos robados o extraviados Aplicar la configuración de seguridad a usuarios específicos, incluido: Requisitos de seguridad de la contraseña Bloqueo automático de dispositivo después de permanecer inactivo Cifrado Purga de datos de inicio de sesión incorrecta Mejora en el código de activación Compatibilidad con el código de activación de postpago. 1-25

44 Manual del administrador de Worry-Free Business Security 9.0 SP3 Función/mejora Descripción Mejoras de detección Exploración de memoria mejorada para exploración en tiempo real Modo de amenazas conocidas y potenciales para supervisión de comportamiento Prevención de explotación del explorador Detección de descarga de programas recién encontrados Mejoras de rendimiento Hora de instalación y desinstalación de Security Agent Exploración retardada para la exploración en tiempo real Mejoras de facilidad de manejo Listas globales y grupales de aprobación/ bloqueo para reputación Web y filtrado de URL Lista de excepciones de IP para reputación Web y filtrado de URL en la Configuración general Eliminación de ActiveX del árbol de clientes y de la página de instalación remota Defensa frente a epidemias personalizada Compatibilidad de la barra de herramientas antispam de Trend Micro con Outlook 2013 y Windows Live Mail 2012 Agente de actualización para actualizar únicamente desde ActiveUpdate de Trend Micro Detener actualizaciones del servidor Mantener los patrones al actualizar el servidor y el agente Registros de virus del origen de infección y enlace de ayuda 1-26

45 Introducción a Worry-Free Business Security Standard y Advanced Funciones y ventajas principales Worry-Free Business Security proporciona las funciones y ventajas siguientes: Red de Protección Inteligente de Trend Micro Trend Micro Smart Protection Network es una infraestructura de seguridad de contenidos de clientes por Internet de próxima generación diseñada para proteger a los clientes frente a riesgos de seguridad y las amenazas Web. Cuenta con soluciones tanto locales como alojadas por Trend Micro para proteger a los usuarios, independientemente de si se encuentran en la red, en casa o en movimiento. Smart Protection Network utiliza agentes para acceder a la correlación única de correo electrónico por Internet y a las tecnologías File Reputation y de reputación Web, así como a las bases de datos de amenazas. La protección de los clientes se actualiza automáticamente y se refuerza a medida que van accediendo a la red más productos, servicios y usuarios, creando un servicio de protección de supervisión de entorno en tiempo real. Para obtener más información sobre Smart Protection Network, visite el sitio: Servicios de File Reputation Los Servicios de File Reputation comprueban la reputación de cada archivo en una extensa base de datos en la nube. Dado que la información acerca del malware se almacena en Internet, al instante está disponible para todos los usuarios. Las redes de contenido de alto rendimiento y los servidores en caché local aseguran una demora mínima durante el proceso de comprobación. La arquitectura Internet-cliente ofrece una protección más inmediata, y elimina la carga de la instalación de archivos de patrones, reduciendo además el impacto general del cliente. Los Security Agents se deben encontrar en el modo smart scan para utilizar los Servicios de File Reputation. Estos agentes se denominan agentes de smart scan en este documento. Los agentes que no se encuentran en el modo de Smart Scan no utilizan los Servicios de File Reputation y se denominan agentes de exploración convencional. 1-27

46 Manual del administrador de Worry-Free Business Security 9.0 SP3 Los administradores de Worry-Free Business Security pueden configurar todos los agentes (o varios de ellos) en este modo. Servicios de Reputación Web Con una de las bases de datos de dominios y reputaciones más grandes del mundo, la tecnología de reputación Web de Trend Micro realiza un seguimiento de la credibilidad de los dominios Web mediante la asignación de un resultado de reputación basado en factores como la antigüedad del sitio Web, los cambios en la ubicación histórica y las indicaciones de actividades sospechosas descubiertas mediante el análisis de comportamientos malintencionados. A continuación el sistema de reputación Web seguirá con la exploración de los sitios y el bloqueo del acceso de los usuarios a los sitios infectados. Las funciones de la reputación Web garantizan que las páginas a las que accede el usuario son seguras y no contienen amenazas Web, como malware, spyware y fraudes de phishing que tienen como objetivo engañar al usuario para que proporcione información personal. Para aumentar la precisión y reducir los falsos positivos, la tecnología de reputación Web de Trend Micro asigna puntuaciones de reputación a páginas específicas dentro de los sitios en lugar de clasificar o bloquear sitios completos, ya que a veces son sólo partes de estos los que están afectados y las reputaciones pueden cambiar de forma dinámica con el tiempo. Los agentes sujetos a políticas de reputación Web utilizan los Servicios de reputación Web. Los administradores de Worry-Free Business Security pueden someter a estas políticas a todos los agentes o solo a algunos de ellos. Reputation (Advanced solo) La tecnología de reputación de correo electrónico de Trend Micro valida las direcciones IP y las comprueba en una base de datos de reputación que contiene emisores de spam conocidos, mediante un servicio dinámico que puede valorar la reputación del emisor de correo electrónico en tiempo real. Las clasificaciones se redefinen mediante análisis continuos del "comportamiento" de las direcciones IP, del ámbito de actividad y del historial anterior. Los mensajes de correo maliciosos se bloquean en Internet según la dirección IP del remitente, y así se evita que amenazas como las redes zombi o los programas robot lleguen a la red o al equipo del usuario. La tecnología Reputation identifica si un correo es spam en función de la reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera parte del 1-28

47 Introducción a Worry-Free Business Security Standard y Advanced trabajo que es responsabilidad del Security Server. Cuando Reputation está activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP entrante para discernir si la dirección IP original está limpia o si, por el contrario, está incluida en alguna lista negra como un vector de spam conocido. Reputation consta de dos niveles de servicio: Estándar: El servicio Estándar utiliza una base de datos que rastrea la reputación de unos dos billones de direcciones IP. Las direcciones IP que constantemente están asociadas a la entrega de mensajes de spam se agregan a la base de datos y casi siempre permanecen en ella. Avanzado: El nivel de servicio Avanzado es un servicio DNS basado en consultas igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos de reputaciones estándar junto con la base de datos de reputaciones en tiempo real dinámica que bloquea los mensajes procedentes de orígenes sospechosos o conocidos de spam. Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP bloqueada o sospechosa, Reputation Services (ERS) la detiene antes de que alcance la infraestructura de mensajería del destinatario. Si ERS bloquea los mensajes de correo electrónico de una dirección IP que el destinatario piensa que es segura, agregue dicha dirección IP a la lista de direcciones IP permitidas. Comentarios inteligentes Trend Micro Smart Feedback proporciona una comunicación continua entre los productos Trend Micro y los centros de investigación de amenazas y sus tecnologías, que ofrecen asistencia 24 horas al día, los 7 días de la semana. Cada nueva amenaza identificada mediante cada una de las verificaciones rutinarias de la reputación del cliente actualiza automáticamente todas las bases de datos de amenazas de Trend Micro, lo que bloquea cualquier encuentro posterior del cliente con dicha amenaza. Mediante el procesamiento continuo de la inteligencia de la amenaza, recopilada a través de su extensa red global de clientes y socios, Trend Micro ofrece protección automática en tiempo real frente a las amenazas más recientes y proporciona la seguridad "mejor juntos", esto es como un tipo de vigilancia vecinal automatizado que involucra a la comunidad en la protección de los demás. La privacidad de la información personal o empresarial de un cliente está siempre protegida ya que la información recopilada sobre 1-29

48 Manual del administrador de Worry-Free Business Security 9.0 SP3 las amenazas está basada en la reputación de la fuente de comunicación, no en el contenido de la comunicación específica. Ejemplos de la información enviada a Trend Micro son: Sumas de comprobación de archivos Sitios Web a los que se ha accedido Información de archivos, incluido el tamaño y las rutas Nombres de archivos ejecutables En cualquier momento puede poner fin a su participación en el programa desde la consola Web. Para obtener más información, consulte Participar en el programa Smart Feedback en la página Consejo No es necesario que participe con Smart Feedback para proteger sus clientes. La participación es opcional y puede eliminar esta opción en cualquier momento. Trend Micro le recomienda que participe con Smart Feedback para ayudar a ofrecer una mayor protección total a todos los clientes de Trend Micro. Para obtener más información sobre Smart Protection Network, visite el sitio: Filtrado de URL El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un entorno de Internet más seguro. Puede elegir un nivel de protección de filtrado de URL o personalizar los tipos de sitios Web que desea filtrar. 1-30

49 Introducción a Worry-Free Business Security Standard y Advanced Ventajas de la protección En la siguiente tabla se describe el modo en que los distintos componentes de Worry- Free Business Security protegen los equipos informáticos frente a amenazas. Tabla 1-8. Ventajas de la protección Amenaza Virus/Malware. virus, troyanos, gusanos, puertas traseras y rootkits Spyware/Grayware. spyware, programas de marcación, herramientas de piratería, aplicaciones de robo de contraseñas, adware, programas de broma y registradores de teclas Amenazas de seguridad transmitidas a través de mensajes de correo electrónico Gusanos/virus de red e intrusiones Sitios Web/sitios de phishing posiblemente dañinos Amenazas de seguridad que se propagan a través de USB y de otros dispositivos externos. Comportamiento malicioso Protección Exploraciones basadas en archivos (Exploración en tiempo real, Exploración manual y Exploración programada). POP3 Mail Scan en el Security Agent Cortafuegos en el agente de seguridad Reputación Web y filtrado de URL en el Security Agent Control de dispositivos en el Security Agent Supervisión del comportamiento en el agente de seguridad Descripción de las amenazas Las organizaciones sin personal de seguridad dedicado y con políticas de seguridad flexibles están cada vez más expuestas a amenazas, incluso si cuentan con una infraestructura básica de seguridad. Una vez descubiertas, estas amenazas se pueden haber expandido ya a numerosos recursos informáticos, lo que requeriría un tiempo y un esfuerzo considerables para su eliminación. Los costes imprevistos relacionados con la eliminación de amenazas también pueden ser muy altos. 1-31

50 Manual del administrador de Worry-Free Business Security 9.0 SP3 La inteligencia de seguridad de red de Trend Micro y los servidores en Internet que forman parte de Trend Micro Smart Protection Network permiten identificar y responder a las amenazas de próxima generación. Virus y malware Existen decenas de miles de virus/malware, una cifra que va en aumento cada día. Aunque eran más comunes en DOS o Windows, los virus informáticos actuales pueden dañar seriamente los sistemas mediante el aprovechamiento de las vulnerabilidades de las redes corporativas, sistemas de correo electrónico y sitios Web. Programas de broma: Programa similar a los virus que suele manipular el aspecto de los elementos de la pantalla de un equipo. Virus/malware probables: archivos sospechosos que tienen algunas características de virus/malware. Para obtener información detallada, consulte la Enciclopedia de amenazas de Trend Micro: Rootkit: un programa (o conjunto de programas) que instala y ejecuta código en un sistema sin el consentimiento o conocimiento del usuario. Utiliza técnicas de ocultación para mantener una presencia continúa e indetectable en el equipo. Los rootkits no infectan los equipos, sino que buscan proporcionar un entorno indetectable para que el código maligno se ejecute. Se instalan en los sistemas a través de la ingeniería social, al ejecutarse el malware o simplemente al navegar por un sitio Web malicioso. Una vez que se instalan, el atacante puede llevar a cabo prácticamente cualquier función en el sistema, entre ellas el acceso remoto, la interceptación, así como la ocultación de procesos, archivos, claves de registro y canales de comunicación. Troyano: este tipo de amenaza suele utilizar puertos para acceder a los equipos o programas ejecutables. Los troyanos no se replican sino que residen en los sistemas para realizar acciones maliciosas como abrir puertos para que accedan hackers. Las soluciones antivirus tradicionales pueden detectar y eliminar virus pero no troyanos, en especial los que ya se están ejecutando en el sistema. Virus: programa que se replica. Para ello, el virus tiene que adjuntarse a otros archivos de programa y ejecutarse siempre que se ejecute el programa host, incluyendo: 1-32

51 Introducción a Worry-Free Business Security Standard y Advanced Código malicioso de ActiveX: código que reside en páginas Web que ejecutan controles ActiveX. Virus de sector de arranque: virus que infecta el sector de arranque de una partición o un disco. Infector de archivos COM y EXE: Programa ejecutable con una extensión.com o.exe. Código malicioso de Java: código vírico independiente del sistema operativo escrito o incrustado en Java. Virus de macro: virus codificado como una macro de aplicación que suele incluirse en un documento. Packer: programa ejecutable comprimido y/o cifrado de Windows o Linux, a menudo un troyano. Los archivos ejecutables comprimidos hacen que los packers sean más difíciles de detectar para los productos antivirus. Virus de prueba: Un archivo de texto inerte que actúa como un virus real y que se puede detectar con un software de exploración antivirus. Utilice los virus de prueba, como la secuencia de comandos de prueba EICAR, para comprobar que la instalación antivirus funciona correctamente. Virus VBScript, JavaScript o HTML: virus que reside en páginas Web y que se descarga a través de un explorador. Gusano: programa completo o conjunto de programas que propaga copias funcionales de sí mismo o de sus segmentos a otros sistemas informáticos, generalmente por correo electrónico. Otros: Virus/Malware no clasificado en ninguno de los otros tipos de virus/ malware. Spyware y grayware Además de los virus/malware, los Puntos finales están expuestos a otras posibles amenazas. Spyware/grayware es el término con el que se hace referencia a las aplicaciones o los archivos no clasificados como virus o troyanos, pero que, igualmente, pueden afectar negativamente al rendimiento de los clientes de la red y generar 1-33

52 Manual del administrador de Worry-Free Business Security 9.0 SP3 importantes riesgos legales, de seguridad y confidencialidad para la organización. Es frecuente que el spyware/grayware lleve a cabo una serie de acciones no deseadas y de carácter amenazante como, por ejemplo, molestar a los usuarios con ventanas emergentes, registrar las pulsaciones de teclas de los usuarios o exponer las vulnerabilidades de cliente a posibles ataques. Si detecta alguna aplicación o archivo que Worry-Free Business Security no pueda detectar como grayware pero que sea sospechoso de serlo, envíelo a Trend Micro para su análisis: Tipo Spyware Adware Marcador telefónico Programa de broma Herramienta de hackers Herramienta de acceso remoto Aplicación de robo de contraseñas Otros Descripción recopila datos, como nombres de usuarios y contraseñas de cuentas, y los envía a otras personas. muestra publicidad y recopila datos, como las preferencias de navegación por Internet de un usuario, para enviar anuncios al usuario mediante el explorador Web. modifica la configuración de Internet del cliente para forzar al cliente a que marque números de teléfono preconfigurados a través de un módem. Suelen ser números de servicios de pago por llamada o números internacionales que pueden ocasionar gastos importantes a la organización. provoca comportamientos anómalos en el cliente, como el cierre y la apertura de la bandeja de la unidad de CD-ROM o la visualización de numerosos cuadros de mensaje. ayuda a los hackers a introducirse en los equipos. ayuda a los hackers a acceder y controlar de forma remota otros equipos. permite a los hackers descifrar nombres de usuario y contraseñas de cuentas. otros tipos de programas potencialmente dañinos. 1-34

53 Introducción a Worry-Free Business Security Standard y Advanced Spam El spam consta de mensajes de correo electrónico no solicitados (correo electrónico basura), a menudo de tipo comercial, que se envían indiscriminadamente a varias listas de correo, usuarios individuales o grupos de noticias. Hay dos tipos de spam: mensajes de correo comercial no solicitados y mensajes de correo masivo no solicitados. Intrusiones Una intrusión es la entrada en una red o clientes a la fuerza o sin permiso. También significa eludir la seguridad de una red o cliente. Comportamiento malicioso Se entiende por comportamiento malicioso los cambios no autorizados que realiza un software en el sistema operativo, en las entradas del registro, en otro software o en los archivos y carpetas. Puntos de acceso falsos Un punto de acceso falso, también conocido como Evil Twin (gemelo malvado), es un punto de acceso Wi-Fi con fines delictivos que parece legítimo en el edificio, pero que en realidad ha sido diseñado por un hacker para escuchar a hurtadillas las comunicaciones inalámbricas. Incidentes de phishing El phish, o phishing, es una forma de fraude en auge que intenta engañar a los usuarios de Internet para que revelen información privada copiando un sitio Web legítimo. En una situación típica, un usuario desprevenido recibe un mensaje urgente y alarmante (con un aspecto real) que le informa de que hay un problema con su cuenta que se debe resolver de inmediato o, de lo contrario, la cuenta se cerrará. El correo electrónico incluirá una URL a un sitio web que tiene la misma apariencia que el verdadero. Simplemente es copiar un correo electrónico legítimo y un sitio Web legítimo pero cambiar lo denominado backend, que recibe los datos recopilados. 1-35

54 Manual del administrador de Worry-Free Business Security 9.0 SP3 El mensaje de correo le indica al usuario que inicie una sesión en el sitio y que confirme algunos datos de la cuenta. Un hacker recibe los datos que proporciona el usuario, como el nombre de inicio de sesión, la contraseña, el número de tarjeta de crédito o el número de la seguridad social. Este tipo de fraude es rápido, barato y muy fácil de realizar. También es potencialmente muy lucrativo para los delincuentes que lo practican. El phish es difícil de detectar, incluso para usuarios informáticos avanzados, y también es complicado de perseguir por parte de las autoridades competentes. Y, lo que es peor, es prácticamente imposible de juzgar legalmente. Notifique a Trend Micro cualquier sitio Web que crea que es un sitio de phishing. Consulte Enviar contenido sospechoso a Trend Micro en la página C-4 para obtener más información. Ataques de correo masivo Los virus/malware de correo electrónico tienen la habilidad de propagarse a través de mensajes de correo electrónico mediante la automatización de los clientes de correo electrónico del equipo infectado o propagando los virus/malware. El correo masivo supone una infección que se propaga rápidamente en un entorno Microsoft Exchange. Trend Micro diseñó el motor de exploración para detectar los comportamientos que suelen tener los ataques de correo masivo. Estos comportamientos se graban en el patrón de virus, el cual se actualiza con los servidores ActiveUpdate de Trend Micro. El Messaging Security Agent (Advanced solo) se puede activar para realizar una acción especial contra estos ataques de correo masivo cada vez que se detecta un comportamiento de este tipo. La acción definida para el comportamiento de correo masivo tiene preferencia sobre el resto de las acciones. La acción predeterminada contra los ataques de correo masivo es eliminar todo el mensaje. Por ejemplo: puede configurar Messaging Security Agent para poner en cuarentena los mensajes cuando se detecta una infección de un gusano o un troyano. También puede activar el comportamiento de correo masivo y configurar el agente para que elimine todos los mensajes en los que se detecte un comportamiento de correo masivo. El agente recibe un mensaje que contiene un gusano, por ejemplo, una variante de MyDoom. Este gusano utiliza su propio motor SMTP para enviarse a las direcciones de correo electrónico que recopila del equipo infectado. Cuando el agente detecta el gusano MyDoom y reconoce su comportamiento de correo masivo, eliminará el mensaje de 1-36

55 Introducción a Worry-Free Business Security Standard y Advanced correo electrónico que contiene el gusano, al contrario que la acción de cuarentena para los gusanos que no muestran un comportamiento de correo masivo. Amenazas Web Las amenazas web abarcan una amplia gama de amenazas que se originan en Internet. Las amenazas Web utilizan métodos sofisticados, con una combinación de diversos archivos y técnicas en lugar de un solo archivo o enfoque. Por ejemplo, los creadores de amenazas Web cambian constantemente la versión o variante utilizada. Debido a que la amenaza se encuentra en una ubicación fija de un sitio Web en vez del cliente infectado, el creador de la amenaza web modifica constantemente su código para evitar la detección. En los últimos años, los individuos llamados hackers, programadores de virus o creadores de spam y spyware se conocen actualmente como delincuentes cibernéticos. Las amenazas Web ayudan a estos individuos a perseguir uno de los dos objetivos siguientes. El primer objetivo es robar información para venderla posteriormente. El resultado es una fuga de información confidencial en forma de pérdida de identidad. El cliente infectado también puede convertirse en una fuente de ataques de phishing u otras actividades de recopilación de información. Entre otros impactos, esta amenaza tiene el potencial de debilitar la confianza en el comercio Web, lo que daña la confianza necesaria para las transacciones de Internet. El segundo objetivo es secuestrar la potencia de la CPU de un usuario para utilizarla como medio para llevar a cabo actividades lucrativas. Dichas actividades incluyen el envío de spam, la extorsión en forma de actividades de pago por clic y los ataques de denegación de servicio distribuidos. 1-37

56

57 Capítulo 2 Introducción En este capítulo se explica cómo comenzar a usar Worry-Free Business Security. 2-1

58 Manual del administrador de Worry-Free Business Security 9.0 SP3 Red de Worry-Free Business Security Worry-Free Business Security consta de lo siguiente: Security Server en la página 2-2 Agentes en la página 2-4 Consola Web en la página 2-4 Security Server Security Server es un componente principal de Worry-Free Business Security. El Security Server aloja la consola Web, que es la consola de administración centralizada basada en Web de Worry-Free Business Security. El Security Server instala los agentes en los clientes de la red y, en combinación con los agentes, establece una relación de agenteservidor. Security Server permite consultar información de seguridad, ver los agentes, configurar la seguridad del sistema y descargar componentes desde una ubicación centralizada. Security Server también contiene la base de datos donde se almacenan los registros de las amenazas de Internet detectadas que han comunicado los agentes. Security Server lleva a cabo las siguientes funciones importantes: Instala, supervisa y gestiona los agentes. Descarga los componentes que requieren los agentes. De forma predeterminada, el Security Server descarga componentes del servidor ActiveUpdate de Trend Micro y después los distribuye a los agentes. Servidor de exploración El Security Server incluye un servicio llamado "servidor de exploración", que se instala automáticamente durante la instalación del Security Server. En consecuencia, no es necesario instalarlo por separado. El servidor de exploración se ejecuta con el nombre de proceso icrcservice.exe y aparece como Trend Micro Smart Scan Service en Microsoft Management Console. 2-2

59 Introducción Cuando los Security Agents utilizan un método de exploración llamado smart scan, el servidor de exploración ayuda a estos agentes a realizar exploraciones con mayor eficiencia. Descripción del proceso smart scan: El Security Agent explora el cliente para detectar amenazas de seguridad usando el Smart Scan Agent Pattern, una versión reducida del Patrón de virus tradicional. El Smart Scan Agent Pattern cuenta con la mayoría de las firmas de amenazas disponibles en el Patrón de virus. Si el Security Agent no puede determinar el riesgo del archivo durante la exploración, puede verificar el riesgo enviando una consulta de exploración al servidor de exploración. El servidor de exploración verifica el riesgo usando un Smart Scan Pattern, que dispone de las firmas de amenazas que no están disponibles en el Smart Scan Agent Pattern. El Security Agent almacena en caché el resultado de la consulta de exploración proporcionado por el servidor de exploración para mejorar el rendimiento de la exploración. Al alojar algunas de las definiciones de amenazas, el servidor de exploración reduce el consumo de ancho de banda de los Security Agents a la hora de descargar componentes. En lugar de descargar el Patrón de virus, los Security Agents descargan el Smart Scan Agent Pattern, cuyo tamaño es significativamente menor. Cuando los Security Agents no pueden conectar con el servidor de exploración, envían consultas de exploración a Trend Micro Smart Protection Network, que tiene la misma función que el servidor de exploración. No es posible desinstalar el servidor de exploración de forma independiente del Security Server. Si no desea usar el servidor de exploración: 1. En el equipo del Security Server, abra Microsoft Management Console y desactive la opción Trend Micro Smart Scan Service. 2. En la consola Web, cambie los Security Agents al método de exploración convencional; para ello, acceda a Preferencias > Configuración general > pestaña Equipo de sobremesa o servidor y seleccione la opción Desactivar Smart Scan Service. 2-3

60 Manual del administrador de Worry-Free Business Security 9.0 SP3 Agentes Los agentes protegen a los clientes frente a las amenazas de seguridad. Entre los clientes, se incluyen los equipos de sobremesa, los servidores y servidores Microsoft Exchange. Los agentes de WFBS son: Tabla 2-1. Agentes de WFBS Agente Security Agent Messaging Security Agent (sólo Advanced) Descripción Protege los equipos de sobremesa y los servidores frente a amenazas de seguridad e intrusiones. Protege los servidores Microsoft Exchange frente a las amenazas de seguridad del correo electrónico. Cada agente informa al Security Server desde el que se instaló. Para proporcionar al Security Server la información más reciente sobre el cliente, el agente envía información de estado sobre los sucesos en tiempo real. Algunos sucesos de los que informan los agentes son la detección de amenazas, el inicio, el cierre, el comienzo de una exploración o la finalización de una actualización. Consola Web La consola Web es el punto central para supervisar los clientes a través de la red empresarial. Incluye un conjunto de valores y parámetros de configuración predeterminados que pueden configurarse en función de los requisitos y especificaciones de seguridad de la empresa. La consola Web utiliza las tecnologías de Internet estándar, como Java, CGI, HTML y HTTP. Use la consola Web para: Implementar agentes en clientes Organizar agentes en grupos lógicos para realizar una configuración y administración simultáneas Definir configuraciones de producto e iniciar la exploración manual en uno o varios grupos. 2-4

61 Introducción Recibir notificaciones y ver informes de registro sobre actividades relacionadas con amenazas Recibir notificaciones y enviar alertas de epidemias a través de mensajes de correo electrónico cuando se detectan virus en los clientes. Controlar las epidemias mediante la configuración y activación de la defensa frente a epidemias Abrir la consola Web Antes de empezar Abra la consola Web desde cualquier cliente de la red que disponga de los siguientes recursos: Internet Explorer 7.0 o posterior Color de alta calidad con una resolución de 1.024x768 o superior Microsoft Edge en canal HTTPS Consejo La consola del servidor de Messaging Security Agent no es compatible con el explorador Windows 10 Microsoft Edge. Utilice Microsoft Internet Explorer 7.0 o posterior si experimenta problemas a la hora de acceder a la consola mediante el explorador Edge. Procedimiento 1. Seleccione una de las opciones siguientes para abrir la consola Web: En el equipo que aloja el Security Server, acceda al escritorio y haga clic en el acceso directo de Worry-Free Business Security. En el equipo en el que se aloja el Security Server, haga clic en el menú Inicio de Windows > Trend Micro Worry-Free Business Security > Worry- Free Business Security. 2-5

62 Manual del administrador de Worry-Free Business Security 9.0 SP3 En cualquier cliente de la red, abra un explorador Web y escriba lo siguiente en la barra de direcciones: o dirección IP de_security_server}: {número de puerto}/smb Por ejemplo: Consejo Si no utiliza SSL, escriba http en lugar de https. El puerto predeterminado para conexiones HTTP es 8059 y para conexiones HTTPS es Si el entorno no puede resolver los nombres de servidor por el valor DNS, use el nombre del servidor en lugar de la dirección IP. El explorador abrirá la pantalla de inicio de sesión de Worry-Free Business Security. 2. Escriba la contraseña y haga clic en Iniciar sesión. El explorador mostrará la pantalla de Estado de actividad. Qué hacer a continuación Compruebe lo siguiente si no puede acceder a la consola Web. 2-6

63 Introducción Elemento que se debe comprobar Contraseña Detalles Si ha olvidado la contraseña, puede utilizar la herramienta de restablecimiento de la contraseña de la consola para restablecer la contraseña. Acceda a la herramienta en el equipo de Security Server bajo la carpeta Trend Micro Worry-Free Business Security en el menú Inicio de Windows. Caché del explorador Certificado SSL Si ha realizado una actualización desde una versión anterior de WFBS, es posible que los archivos almacenados en caché en el explorador Web y el servidor proxy impidan que la consola Web se cargue correctamente. Libere la memoria caché del explorador y de los servidores proxy ubicados entre Trend Micro Security Server y el cliente que utiliza para acceder a la consola Web. Compruebe que el servidor Web funciona correctamente. Si utiliza SSL, compruebe que el certificado SSL sigue siendo válido. Consulte la documentación del servidor Web para obtener información detallada. 2-7

64 Manual del administrador de Worry-Free Business Security 9.0 SP3 Elemento que se debe comprobar Configuración del directorio virtual Detalles Puede surgir un problema con la configuración del directorio virtual si ejecuta la consola Web en un servidor IIS; en tal caso aparece el mensaje siguiente: No se puede mostrar la página Error HTTP Denegado: se ha denegado el acceso de ejecución. Internet Information Services (IIS) Este mensaje puede aparecer cuando se utiliza una de las siguientes direcciones para acceder a la consola: del servidor}/smb/ del servidor}/smb/default.htm No obstante, la consola se puede abrir sin problemas si se utiliza la siguiente dirección: del servidor}/smb/console/html/cgi/ cgichkmasterpwd.exe Para resolver este problema, compruebe los derechos de ejecución del directorio virtual SMB. Para activar las secuencias de comandos: 1. Abra el administrador de Internet Information Services (IIS). 2. En el directorio virtual SMB, seleccione Propiedades. 3. Seleccione la pestaña Directorio virtual y cambie los derechos de ejecución a Secuencias de comandos en lugar de ninguno. Modifique también los derechos de ejecución del directorio virtual de instalación del cliente. Navegación por la consola Web Secciones principales de la consola Web La consola contiene las siguientes secciones principales: 2-8

65 Introducción Sección Descripción A. Menú principal En la parte superior de la consola Web se encuentra el menú principal. En la esquina superior derecha aparece un cuadro desplegable que contiene accesos directos a las tareas que realizan con frecuencia los administradores. El enlace Fin de sesión también se proporciona para permitirle cerrar la sesión actual. B. Área de configuración C. Menú lateral (no disponible en todas las pantallas) Se sitúa debajo de los elementos de menú principales. Utilice esta área para seleccionar opciones según el elemento de menú que haya elegido. Al elegir un grupo de Security Agent en la pantalla Configuración de seguridad y hacer clic en Definir la configuración, aparece una barra lateral de menús. Utilice la barra lateral para definir la configuración de seguridad y las exploraciones de los equipos de sobremesa y los servidores que pertenecen al grupo. Cuando se selecciona un Messaging Security Agent en la pantalla Configuración de seguridad (Advanced solo), puede utilizar la barra lateral para definir la configuración de seguridad y las exploraciones de los servidores Microsoft Exchange. Opciones del menú de la consola Web Puede utilizar las siguientes opciones de menú de la consola Web: 2-9

66 Manual del administrador de Worry-Free Business Security 9.0 SP3 Opciones de menú Estado de actividad Descripción Ofrece una función central en la estrategia de Worry-Free Business Security. Use Estado de actividad para visualizar alertas y notificaciones sobre epidemias y riesgos importantes de seguridad. Puede ver los avisos de alertas amarillas o rojas que emite Trend Micro. Puede ver las últimas alertas para los clientes de su red. Puede ver las últimas amenazas para los servidores Microsoft Exchange (Advanced solo). Implemente actualizaciones en clientes que estén en riesgo Configuración de seguridad Defensa frente a epidemias Personalice la configuración de seguridad de los agentes. Replique la configuración entre los grupos. Configure e implemente Defensa frente a epidemias, Valoración de vulnerabilidades y Damage Cleanup. Exploraciones Explora los clientes en busca de amenazas. Programe una exploración de los clientes. Actualizaciones En el servidor ActiveUpdate de Trend Micro (o una fuente de actualización personalizada), busque los componentes actualizados más recientes, como las actualizaciones de patrones de virus, el motor de exploración, los componentes de limpieza y el programa del agente. Configure una fuente de actualización. Especifique qué agentes de seguridad van a ser agentes de actualización Informes Genere informes para realizar un seguimiento de las amenazas y otros sucesos relacionados con la seguridad. 2-10

67 Introducción Opciones de menú Descripción Preferencias Configure notificaciones sobre sucesos anómalos relacionados con las amenazas o el sistema. Defina una configuración general para simplificar el mantenimiento. Use las herramientas de gestión como ayuda para la administración de la red y los clientes. Consulte la información sobre la licencia del producto, defina una contraseña de administrador y cree un entorno comercial seguro para el intercambio de información digital con la participación en el programa Comentarios inteligentes. Ayuda Buscar temas y contenido específicos Ver el Manual del administrador Obtener acceso a la información más reciente de la Base de conocimientos (KB) Consulte información sobre seguridad, ventas, asistencia y versión. Iconos de la consola Web En la tabla siguiente se describen los iconos que aparecen en la consola Web y se explica su función. Tabla 2-2. Iconos de la consola Web Icono Descripción Icono de Ayuda. Abre la ayuda en línea. Icono Actualizar. Actualiza la vista de la pantalla actual. Icono Ampliar/Contraer sección. Muestra u oculta las secciones. Solo se puede ampliar una sección a la vez. 2-11

68 Manual del administrador de Worry-Free Business Security 9.0 SP3 Icono Descripción Icono Información. Muestra información relacionada con un elemento concreto. Icono Personalizar notificaciones. Muestra varias opciones de notificación. Estado de actividad Use la pantalla Estado de actividad para obtener una visión general de la seguridad frente amenazas de su red. La velocidad de actualización de la información de la pantalla Estado de actividad varía según la sección. En general, la velocidad de actualización es de entre 1 y 10 minutos. Para actualizar manualmente la información de la pantalla, haga clic en el botón Actualizar del explorador. 2-12

69 Introducción Descripción de los iconos Los iconos le indican si se debe realizar una acción. Expanda una sección para ver más información. También puede hacer clic en los elementos de la tabla para ver detalles más específicos. Para obtener más información sobre equipos clientes concretos, haga clic en los enlaces numerados que aparecen en las tablas. Tabla 2-3. Iconos del Estado de actividad Icono Descripción normal Solo unos pocos clientes necesitan que se les aplique una versión de revisión. La actividad de virus, spyware y otros tipos de malware de los dispositivos y la red representa un riesgo insignificante. Advertencia Realice una acción para evitar que aumente el riesgo para la red. Generalmente, un icono de advertencia significa que hay un número de equipos vulnerables que están comunicando demasiados incidentes de virus o malware. Cuando Trend Micro emite una alerta amarilla, la advertencia se muestra para Defensa frente a epidemias. Acción necesaria Un icono de advertencia significa que el administrador debe realizar acciones para solucionar un problema de seguridad. WFBS genera la información que aparece en Estado de actividad según los datos que ha recopilado de los clientes. Estado de la amenaza Esta sección contiene la siguiente información: Tabla 2-4. Secciones sobre el estado de las amenazas e información que se muestra Sección Defensa frente a epidemias Descripción Una posible epidemia de virus en su red. 2-13

70 Manual del administrador de Worry-Free Business Security 9.0 SP3 Sección Antivirus Antispyware Antispam Reputación Web Filtrado de URL Supervisión del comportamiento Virus de red Descripción Configurado desde la notificación, el icono de estado cambia para mostrar el icono de Advertencia. Si debe emprender acciones: El agente de seguridad no ha realizado correctamente la acción especificada. Haga clic en el enlace de número para ver información detallada sobre los equipos en los que el Security Agent no ha podido realizar la acción. La exploración en tiempo real está desactivada en los agentes de seguridad. Haga clic en Activar ahora para volver a iniciar la exploración en tiempo real. La exploración en tiempo real está desactivada en Messaging Security Agent. Muestra los últimos resultados de la exploración de spyware y las entradas del registro de spyware. La columna Número de incidentes de la tabla Incidentes de amenazas de spyware muestra los resultados de la última exploración antispyware. Para obtener más información sobre un cliente concreto, haga clic en el enlace numerado de la columna Incidentes detectados de la tabla Incidentes de amenazas de spyware. Desde ahí, puede buscar información sobre las amenazas de spyware concretas que afectan a sus clientes. Haga clic en el enlace Alto, Medio o Bajo para ir a la pantalla de configuración del servidor Microsoft Exchange seleccionado donde puede definir el umbral de la pantalla Antispam. Haga clic en Desactivado para ir a la pantalla correspondiente. Esta información se actualiza cada hora. Sitios Web potencialmente peligrosos determinados por Trend Micro. Sitios Web restringidos determinados por el administrador. Infracciones de las políticas de supervisión del comportamiento. Detección determinada por la configuración del cortafuegos. 2-14

71 Introducción Sección Control del dispositivo Descripción Restringe el acceso a dispositivos USB y unidades de red. Nota WFBS admite todo tipo de dispositivos de almacenamiento que se conectan mediante una interfaz USB, excepto smartphones y cámaras digitales. Estado del sistema Esta sección muestra información sobre los componentes actualizados y el espacio libre en disco en los clientes con agentes instalados. Tabla 2-5. Secciones sobre el estado del sistema e información que se muestra Sección Actualizaciones de los componentes Smart Scan Descripción El estado de las actualizaciones de los componentes de la implementación de componentes actualizados en los agentes. Los Security Agents no se pueden conectar con el servidor de exploración. Nota El servidor de exploración es un servicio alojado en el Security Server. Sucesos inusuales del sistema Información sobre el espacio en disco de los clientes que funcionan como servidores (que ejecutan un sistema operativo de servidor). Puede personalizar los parámetros que activan la aparición de un icono Advertencia o Acción necesaria en la consola Web desde la pantalla Administración > Notificaciones. Estado de la licencia Esta sección muestra información sobre el estado de la licencia del producto y, más concretamente, información sobre la caducidad. 2-15

72 Manual del administrador de Worry-Free Business Security 9.0 SP3 Intervalos de actualización de Estado de actividad Si desea comprender con qué frecuencia se actualiza la información de Estado de actividad, consulte la siguiente tabla. Tabla 2-6. Intervalos de actualización de Estado de actividad Evento Intervalo de actualización (minutos) El agente envía registros al servidor transcurridos... (minutos) Defensa frente a epidemias 3 N/D Antivirus 1 Security Agent: Inmediato Messaging Security Agent: 5 Antispyware 3 1 Antispam 3 60 Reputación Web 3 Inmediato Filtrado de URL 3 Inmediato Supervisión del comportamiento 3 2 Virus de red 3 2 Control del dispositivo 3 2 Smart Scan 60 N/D Licencia 10 N/D Actualizaciones de los componentes Sucesos inusuales del sistema 3 N/D 10 Cuando se ha iniciado el servicio TmListen 2-16

73 Capítulo 3 Instalar agentes En este capítulo se detallan los pasos necesarios para instalar los Security Agents y los Messaging Security Agents (Advanced solo). También se facilita información sobre cómo eliminar dichos agentes. 3-1

74 Manual del administrador de Worry-Free Business Security 9.0 SP3 Instalación del Security Agent Realice una instalación completamente nueva del Security Agent en los clientes Windows (equipos de sobremesa y servidores). Use el método de instalación que mejor se ajuste a sus necesidades. Cierre las aplicaciones que se estén ejecutando en los clientes antes de instalar el Security Agent. Si realiza la instalación mientras hay otras aplicaciones en ejecución, el proceso tardará más en completarse. Nota Para obtener información sobre cómo actualizar los Security Agents a esta versión, consulte el Manual de instalación y actualización. Requisitos de instalación del Security Agent Visite el siguiente sitio Web para obtener una lista completa de los requisitos de la instalación y los productos de terceros compatibles: Consideraciones sobre la instalación del Security Agent Antes de proceder a instalar los Security Agents, tenga en cuenta lo siguiente: Características del agente: algunas funciones de los Security Agents no están disponibles en determinadas plataformas Windows. Para obtener más información, consulte Funciones disponibles del Security Agent en la página 3-3. Plataformas x64: existe una versión reducida del Security Agent para plataformas x64. No obstante, actualmente no es compatible con las plataformas IA-64. Compatibilidad con IPv6: el Security Agent puede instalarse en clientes de doble pila o que solo utilicen IPv6. Sin embargo: Algunos sistemas operativos de Windows en los que puede instalarse el agente no son compatibles con el direccionamiento IPv6. 3-2

75 Instalar agentes En algunos métodos de instalación, existen requisitos especiales para instalar correctamente el agente. Para obtener más información, consulte Instalación del Security Agent y compatibilidad con IPv6 en la página 3-7. Listas de excepciones: asegúrese de que las listas de excepciones para las funciones siguientes se han configurado correctamente: Supervisión de comportamiento: agregue aplicaciones informáticas críticas a la lista Programas permitidos para evitar que el Security Agent bloquee dichas aplicaciones. Para obtener más información, consulte Configurar la supervisión del comportamiento en la página Reputación Web: agregue sitios Web que considere seguros a la Lista de URL permitidas para evitar que el Security Agent bloquee el acceso a los sitios Web. Para obtener más información, consulte Configurar la reputación Web para los Security Agents en la página Directorio de instalación del agente: Durante la instalación del Security Server, el programa de instalación solicita que se especifique el directorio de instalación del agente, que es $ProgramFiles\Trend Micro\Security Agent de manera predeterminada. Si desea instalar los Security Agents en un directorio diferente, especifique el nuevo directorio en Preferencias > Configuración general > Sistema > sección Ruta de instalación de Security Agent. Funciones disponibles del Security Agent Las funciones del Security Agent que están disponibles en un cliente dependen del sistema operativo de este. Tenga en cuenta las funciones no compatibles cuando instale un agente en un sistema operativo concreto. 3-3

76 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 3-1. Funciones del Security Agent Sistema operativo Windows Caract erística XP Vista 7 8/ Serv er/s BS 2003 Serv er/s BS 2008 Serv er 2008 R2/S BS 2011 Serv er 2012/ R2 Exploraci ón manual, exploraci ón en tiempo real y exploraci ón programa da Cortafue gos Reputaci ón Web Filtrado de URL Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Supervisi ón del comporta miento Sí (32 bits) No (64 bits) Sí (32/64 bits) No (64 bits sin SP1) Sí Sí Sí Sí (32 bits) No (64 bits) Sí Sí Sí 3-4

77 Instalar agentes Sistema operativo Windows Caract erística XP Vista 7 8/ Serv er/s BS 2003 Serv er/s BS 2008 Serv er 2008 R2/S BS 2011 Serv er 2012/ R2 Control del dispositiv o Sí (32 bits) No (64 bits) Sí (32/64 bits) No (64 bits sin SP1) Sí Sí Sí Sí (32 bits) No (64 bits) Sí Sí Sí Damage Cleanup Services Mail Scan (POP3) Actualiza ciones manuale s y programa das Agente de actualiza ción Plug-in Manager del agente Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí 3-5

78 Manual del administrador de Worry-Free Business Security 9.0 SP3 Sistema operativo Windows Caract erística XP Vista 7 8/ Serv er/s BS 2003 Serv er/s BS 2008 Serv er 2008 R2/S BS 2011 Serv er 2012/ R2 Comenta rios inteligent es Barra de herramie ntas antispam de Trend Micro Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí (32 bits) No (64 bits) Sí Sí Sí Sí No No No No Clientes de correo electrónico compatibles: Microsoft Outlook 2003 (32 bits), 2007 (32 bits), 2010 (32 y 64 bits), 2013 (32 y 64 bits) Outlook Express 6.0 con Service Pack 2 o posterior Windows Mail 6.0 Windows Live Mail 2011, 2012 HouseCa ll Herramie nta de diagnósti co de casos Asesor de Wi-Fi Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí No No No No 3-6

79 Instalar agentes Instalación del Security Agent y compatibilidad con IPv6 En este tema se indican algunas consideraciones que se deben tener en cuenta al instalar el Security Agent en clientes de doble pila o que solo utilicen IPv6. Sistema operativo El Security Agent solo se puede instalar en los siguientes sistemas operativos que sean compatibles con el direccionamiento IPv6: Windows Vista (todas las ediciones) Windows Server 2008/2008 R2 (todas las ediciones) Windows 7 (todas las ediciones) Windows SBS 2008/2011 Windows 8/8.1 (todas las ediciones) Windows 10 (todas las ediciones) Windows Server 2012/2012 R2 (todas las ediciones) Visite el siguiente sitio Web para obtener una lista completa de los requisitos del sistema: Métodos de instalación admitidos Se pueden utilizar todos los métodos de instalación disponibles para instalar el Security Agent en los clientes de doble pila o que solo utilicen IPv6. En algunos métodos de instalación, existen requisitos especiales para instalar correctamente el Security Agent. 3-7

80 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 3-2. Métodos de instalación y compatibilidad con IPv6 Método de instalación Página Web interna e instalación mediante notificación por correo electrónico Vulnerability Scanner e instalación remota Requisitos/consideraciones Si está realizando la instalación en un cliente que solo utilice IPv6, el Security Server ha de ser de doble pila o debe utilizar únicamente IPv6; además, su nombre de host o dirección IPv6 deben formar parte de la URL. Para los clientes de doble pila, la dirección IPv6 que se muestra en la pantalla de estado de la instalación depende de la opción que se haya seleccionado en la sección Dirección IP preferida de Preferencias > Configuración general > Equipo de sobremesa/servidor. Un Security Server que solo utilice IPv6 no puede instalar el Security Agent en clientes que utilicen únicamente IPv4. De forma similar, un Security Server que solo utilice IPv4 no puede instalar el agente en clientes que utilicen únicamente IPv6. Direcciones IP del Security Agent Un Security Server instalado en un entorno que sea compatible con el direccionamiento IPv6 puede administrar los siguientes Security Agents: Un Security Server instalado en un cliente que solo use IPv6 puede gestionar Security Agents que solo usen IPv6. Un Security Server instalado en un cliente de doble pila y que tenga asignadas direcciones IPv4 e IPv6 puede administrar Security Agents de doble pila y que solo utilicen IPv6 o IPv4. Después de instalar o actualizar los Security Agents, estos se registran en el Security Server mediante una dirección IP. Los Security Agents que solo utilizan IPv6 se registran mediante su dirección IPv6. Los Security Agents que solo utilizan IPv4 se registran mediante su dirección IPv4. Los Security Agents de doble pila se registran mediante una dirección IPv4 o IPv6. Puede elegir la dirección IP que esos agentes usarán mediante la sección Dirección 3-8

81 Instalar agentes IP preferida de Preferencias > Configuración general > pestaña Equipo de sobremesa/servidor. Métodos de instalación del Security Agent En esta sección se ofrece un resumen de los diferentes métodos que existen para realizar una instalación nueva del Security Agent. Todos los métodos de instalación requieren derechos de administrador local en los clientes de destino. Si está instalando Security Agents y desea activar la compatibilidad con IPv6, lea las directrices que aparecen en Instalación del Security Agent y compatibilidad con IPv6 en la página 3-7. Tabla 3-3. Métodos de instalación Consideraciones sobre la implementación Método de instalación y compatibilidad con sistemas operativos Implem entaci ón de la WAN Adminis tración centrali zada Requie re la interv ención del usuari o Preci sa recu rsos de TI Implem entaci ón en masa Ancho de banda consumid o página Web interna Compatible con todos los sistemas operativos Notificación por correo electrónico Compatible con todos los sistemas operativos Sí Sí Sí No No Reducido, si se programa Sí Sí Sí No No Alto (si las instalacione s se inician simultánea mente) 3-9

82 Manual del administrador de Worry-Free Business Security 9.0 SP3 Consideraciones sobre la implementación Método de instalación y compatibilidad con sistemas operativos Implem entaci ón de la WAN Adminis tración centrali zada Requie re la interv ención del usuari o Preci sa recu rsos de TI Implem entaci ón en masa Ancho de banda consumid o Instalación remota Compatible con todos los sistemas operativos, salvo en: Windows Vista Home Basic y Home Premium Editions Windows XP Home Edition Windows 7 Home Basic/ Home Premium Windows 8/8.1 Basic Windows 10 Home Configuración de inicio de sesión Compatible con todos los sistemas operativos No Sí No Sí Sí Reducido, si se programa No Sí No Sí Sí Alto (si las instalacione s se inician simultánea mente) 3-10

83 Instalar agentes Consideraciones sobre la implementación Método de instalación y compatibilidad con sistemas operativos Implem entaci ón de la WAN Adminis tración centrali zada Requie re la interv ención del usuari o Preci sa recu rsos de TI Implem entaci ón en masa Ancho de banda consumid o Client Packager Compatible con todos los sistemas operativos Trend Micro Vulnerability Scanner (TMVS) Compatible con todos los sistemas operativos, salvo en: Windows Vista Home Basic y Home Premium Editions Windows XP Home Edition Windows 7 Home Basic/ Home Premium Windows 8/8.1 Basic Windows 10 Home Sí No Sí Sí No Reducido, si se programa No Sí No Sí Sí Reducido, si se programa En implementaciones de sitio único y en organizaciones donde las políticas de TI se aplican de forma estricta, los administradores de TI pueden optar por implementar usando las opciones Instalación remota o Configuración de inicio de sesión. 3-11

84 Manual del administrador de Worry-Free Business Security 9.0 SP3 En organizaciones donde las políticas de TI se aplican de forma menos estricta, Trend Micro recomienda instalar los Security Agents utilizando la página Web interna. Sin embargo, este método requiere que los usuarios finales que van a instalar el Security Agent dispongan de derechos de administrador. La instalación remota es eficaz en redes con Active Directory. Por lo tanto, si su red no hace uso de Active Directory, utilice la página Web interna. Instalar desde la página Web interna Antes de empezar Para realizar la instalación desde la página Web interna, se requiere lo siguiente: Elemento que se debe comprobar Security Server Cliente de destino Requisito Security Server debe estar instalado en: Windows XP, Vista, 7, 8, 8.1, Server 2003/2008/2008 R2/2012/2012 R2 o SBS 2003/2008/2011 con Internet Information Services (IIS) 6.0, 7.0, 7.5, 8.0, 8.5 o Apache 2.0.6x El cliente de destino debe contar con Internet Explorer 7.0 o una versión posterior. Los usuarios deben usar una cuenta de administrador para iniciar sesión en el cliente. Nota Si el cliente de destino ejecuta Windows 7, active la cuenta del administrador integrada en primer lugar. Windows 7 desactiva la cuenta de administrador integrada de manera predeterminada. Para obtener más información, consulte el sitio de asistencia de Microsoft ( dd744293%28ws.10%29.aspx). 3-12

85 Instalar agentes Elemento que se debe comprobar Cliente de destino que ejecuta Windows XP, 7, 8, 8.1, 10, Vista, Server 2003, 2008, 2008 R2, 2012, 2012 R2 o SBS 2003, 2008, 2011 Cliente de destino que ejecuta Windows Vista IPv6 Requisito Los usuarios deben llevar a cabo los siguientes pasos: 1. Inicie Internet Explorer y añada la URL de Security Server (por ejemplo, de Security Server>:4343/SMB/ console/html/client) a la lista de sitios de confianza. En Windows XP, acceda a Herramientas > Opciones de Internet > pestaña Seguridad para acceder a la lista; a continuación, seleccione el icono Sitios de confianza y haga clic en Sitios. 2. Modifique la configuración de seguridad de Internet Explorer para activar Pedir intervención del usuario automática para controles ActiveX. En Windows XP, vaya a la pestaña Herramientas > Opciones de Internet > Seguridad y, a continuación, haga clic en Nivel personalizado. Los usuarios deben activar el Modo protegido. Para activar este modo en Internet Explorer, haga clic en Herramientas > Opciones de Internet > pestaña Seguridad. Si cuenta con un entorno mixto formado por clientes de doble pila y clientes que solo usan IPv4 o IPv6, el Security Server debe tener direcciones IPv4 e IPv6, de forma que todos los clientes puedan conectarse a la página Web interna en el Security Server. Envíe las siguientes instrucciones a los usuarios para que instalen el Security Agent desde la página Web interna. Para enviar una notificación de instalación a través de correo electrónico, consulte Instalar mediante notificación por correo electrónico en la página Procedimiento 1. Inicie sesión en el cliente con una cuenta de administrador. 2. Abra una ventana de Internet Explorer y escriba una de las siguientes opciones: Security Server con SSL: o dirección IP de Security Server>: 4343/SMB/console/html/client 3-13

86 Manual del administrador de Worry-Free Business Security 9.0 SP3 Security Server sin SSL: o dirección IP de Security Server>: 8059/SMB/console/html/client 3. Haga clic en Instalar ahora para empezar a instalar el agente de seguridad. Comienza la instalación. Cuando el sistema lo solicite, permita la instalación de controles ActiveX. El icono del Security Agent aparece en la barra de herramientas de Windows después de la instalación. Nota Para ver la lista de iconos que se muestran en la barra de tareas de Windows, consulte Comprobar el estado del Security Agent en la página A-2. Qué hacer a continuación Si los usuarios indican que no pueden realizar la instalación desde la página Web interna, pruebe los siguientes métodos. Verifique que existe comunicación entre el cliente y el servidor mediante los comandos ping y telnet. Compruebe si el protocolo TCP/IP está activado y configurado correctamente en el cliente. Si utiliza un servidor proxy para la comunicación entre el cliente y el servidor, compruebe que la configuración del proxy se haya realizado correctamente. En el explorador Web, elimine los complementos de Trend Micro y el historial de exploración. Instalar con Configuración de secuencia de comandos de inicio de sesión La herramienta Configuración de inicio de sesión automatiza la instalación del Security Agent en clientes sin protección cuando estos inician una sesión en la red. Configuración de inicio de sesión añade el programa AutoPcc.exe a la secuencia de comandos de inicio de sesión del servidor. 3-14

87 Instalar agentes AutoPcc.exe instala el Security Agent en equipos sin protección y actualiza los componentes y archivos del programa. Los clientes deben formar parte del dominio para poder utilizar AutoPcc a través de la secuencia de comandos de inicio de sesión. Si ya tiene una secuencia de comandos de inicio de sesión, Configuración de inicio de sesión añade un comando que ejecuta AutoPcc.exe. De lo contrario, se creará un archivo de lotes denominado ofcscan.bat que contiene el comando necesario para ejecutar AutoPcc.exe. Configuración de secuencia de comandos de inicio de sesión añade el texto siguiente al final de la secuencia de comandos: \\<Server_name>\ofcscan\autopcc Donde: <Server_name> es el nombre o dirección IP del equipo de Security Server. "ofcscan" es el nombre de la carpeta compartida en el Security Server. "autopcc" es el enlace al archivo ejecutable de autopcc que instala el Security Agent. Ubicación de la secuencia de comandos de inicio de sesión en todas las versiones de Windows Server (a través de un directorio compartido de inicio de sesión en red): \\Windows server\system drive\windir\sysvol\domain\scripts \ofcscan.bat Procedimiento 1. En el equipo que utilizó para ejecutar la instalación del servidor, abra la <carpeta de instalación del Security Server>\PCCSRV\Admin. 2. Haga doble clic en SetupUsr.exe. Se cargará la utilidad Configuración de inicio de sesión. La consola muestra un árbol en el que aparecen todos los dominios de la red. 3. Busque el servidor cuya secuencia de comandos de inicio de sesión desee modificar, márquelo y haga clic en Seleccionar. Asegúrese de que el servidor es un controlador de dominio principal y que dispone de derechos de administrador para acceder al servidor. 3-15

88 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración de secuencia de comandos de inicio de sesión le solicitará un nombre de usuario y una contraseña. 4. Escriba el nombre de usuario y la contraseña. Haga clic en Aceptar para continuar. Aparecerá la ventana Selección de usuario. La lista Usuarios muestra los perfiles de los usuarios que inician la sesión en el servidor. La lista Usuarios seleccionados muestra los perfiles de usuario cuya secuencia de comandos de inicio de sesión desea modificar. 5. Para modificar la secuencia de comandos de inicio de sesión de un perfil de usuario, seleccione dicho perfil en la lista de usuarios y, a continuación, haga clic en Agregar. 6. Para modificar la secuencia de comandos de inicio de sesión de todos los usuarios, haga clic en Agregar todos. 7. Para excluir un perfil de usuario seleccionado con anterioridad, seleccione el nombre correspondiente en la lista Usuarios seleccionados y haga clic en Eliminar. 8. Para restablecer las selecciones, haga clic en Eliminar todos. 9. Haga clic en Aplicar cuando todos los perfiles de usuario de destino se encuentren en la lista Usuarios seleccionados. Aparecerá un mensaje en el que se indica que ha modificado correctamente las secuencias de comando de inicio de sesión del servidor. 10. Haga clic en Aceptar. Configuración de inicio de sesión vuelve a la pantalla inicial. 11. Para cerrar la utilidad Configuración de inicio de sesión, haga clic en Salir. Instalar con Client Packager Client Packager crea un paquete de instalación que se puede enviar a los usuarios a través de soportes convencionales, como puede ser un CD-ROM. Los usuarios ejecutan el paquete en el cliente para instalar o actualizar el Security Agent y actualizar los componentes. 3-16

89 Instalar agentes Client Packager es especialmente útil en estos casos: Cuando se implementa el Security Agent o los componentes en clientes situados en oficinas remotas con ancho de banda reducido. Si el entorno donde trabaja está sujeto a restricciones de conexión a Internet, como en el caso de una LAN cerrada o cuando no existe conexión alguna a Internet. Los Security Agents que se instalan mediante Client Packager envían informes al servidor en el que se creó el paquete. Procedimiento 1. En el equipo de Security Server, acceda a <Carpeta de instalación del servidor>\pccsrv\admin\utility\clientpackager. 2. Haga doble clic en ClnPack.exe. Se abrirá la consola de Client Packager. 3. Seleccione el sistema operativo para el que desea crear el paquete. Implemente el paquete solo en clientes en los que se ejecute este tipo de sistema operativo. Cree otro paquete para implementarlo en un sistema operativo de otro tipo. 4. Seleccione el método de exploración para el paquete. Para obtener información detallada acerca de los métodos de exploración, consulte Métodos de exploración en la página 5-3. Los componentes incluidos en el paquete dependen del método de exploración seleccionado. En smart scan, se incluyen todos los componentes, excepto el patrón de virus. En las exploraciones convencionales, se incluyen todos los componentes, excepto Smart Scan Agent Pattern. 5. Seleccione el tipo de paquete que desee crear. 3-17

90 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 3-4. Tipos de paquete del cliente Tipo de paquete Configuración Actualización Descripción Seleccione Configuración para crear el paquete como un archivo MSI adecuado para el formato de paquetes de Microsoft Installer. El paquete instala el programa del Security Agent con los componentes que se encuentren disponibles en el Security Server en ese momento. Si el cliente de destino tiene instalada una versión previa del Security Agent y desea actualizarla, cree el archivo MSI a partir del Security Server que gestiona el agente. De lo contrario, el agente no se actualizará. Seleccione Actualizar para crear un paquete que contenga los componentes disponibles en el Security Server en ese momento. El paquete se creará como un archivo ejecutable. Use este paquete si surgen problemas al actualizar los componentes en el cliente en el que está instalado el Security Agent. 6. Haga clic en Modo silencioso para crear un paquete que se instala en el cliente en segundo plano. El procedimiento pasa desapercibido para el usuario del cliente y no se muestra la ventana de estado de la instalación. Active esta opción si desea implementar el paquete de forma remota en el cliente. 7. Haga clic en Desactivar exploración previa (solo para instalación nueva) si no desea explorar el cliente en busca de amenazas antes de instalar el Security Agent. Haga esto si tiene la seguridad de que el cliente está libre de amenazas. En caso de que esta opción esté activada, el programa de instalación busca virus y malware en las zonas más vulnerables del equipo, entre las que se incluyen las siguientes: El área y el directorio de arranque (para virus de arranque) Carpeta Windows La carpeta Archivos de programa 8. Junto a Archivo de origen, compruebe que la ubicación del archivo ofcscan.ini es correcta. Para modificar la ruta, haga clic en ( ) y busque el 3-18

91 Instalar agentes archivo ofcscan.ini. De forma predeterminada, este archivo se encuentra en la <carpeta de instalación del servidor>pccsrv. 9. En el archivo de salida haga clic en ( ), especifique la ubicación dónde desee crear el paquete y escriba el nombre del archivo del paquete (por ejemplo, ClientSetup.exe). 10. Haga clic en Crear. Cuando Client Packager cree el paquete, aparecerá el mensaje «Paquete creado correctamente». Localice el paquete en el directorio que haya especificado en el paso anterior. Qué hacer a continuación Implemente el paquete en los clientes. Requisitos del cliente: 1 GB de espacio libre en disco si el método de exploración del paquete es la exploración convencional y 500 MB si se trata de smart scan. Windows Installer 3.0 (para ejecutar un paquete MSI) Directrices para la implementación del paquete: Envíe el paquete a los usuarios y pídales que lo ejecuten haciendo doble clic en el archivo (.msi o.exe). Nota Envíe el paquete solo a los usuarios cuyo Security Agent informará al servidor en el que se creó el paquete. Si tiene usuarios que ejecutarán el paquete.exe en equipos con Windows Vista, 7, 8/8.1, 10, Server 2008, SBS 2011, Server 2012 o Server 2012 R2, indíqueles que hagan clic con el botón derecho del ratón en el archivo.exe y que seleccionen Ejecutar como administrador. Si está usando Active Directory, puede implementar automáticamente el Security Agent en todos los clientes de forma simultánea con el archivo.msi, en lugar de 3-19

92 Manual del administrador de Worry-Free Business Security 9.0 SP3 indicar a los usuarios que instalen ellos mismos el Security Agent. Use Configuración del equipo en lugar de Configuración del usuario para que el Security Agent se pueda instalar con independencia de qué usuario inicie sesión en el cliente. Si un Security Agent recién instalado no se puede conectar con el Security Server, el Security Agent conservará la configuración predeterminada. Cuando el Security Agent se conecte con el Security Server, obtendrá la configuración para su grupo en la consola Web. Si tiene problemas al actualizar el Security Agent con Client Packager, Trend Micro recomienda que desinstale primero la versión anterior del Security Agent y, a continuación, que instale la nueva versión. Para obtener instrucciones sobre la desinstalación, consulte Eliminar agentes en la página Instalar con Instalación remota Antes de empezar Instale el Security Agent de forma remota en uno o varios clientes conectados a la red. Para instalar con Instalación remota, se deben cumplir los siguientes requisitos: Elemento que se debe comprobar Cliente de destino Requisito Use una cuenta de administrador para iniciar sesión en cada cliente de destino. Nota Si el cliente de destino ejecuta Windows 7, active la cuenta del administrador integrada en primer lugar. Windows 7 desactiva la cuenta de administrador integrada de manera predeterminada. Para obtener más información, consulte el sitio de asistencia de Microsoft ( dd744293%28ws.10%29.aspx). 3-20

93 Instalar agentes Elemento que se debe comprobar Cliente de destino con Windows Vista, 7, 8/8.1, 10, Server 2008, 2012/2012 R2 o SBS 2011 Requisito El cliente de destino no debe tener Security Server instalado. La instalación remota no instala el Security Agent en un cliente en el que ya se esté ejecutando el Security Server. Realice las siguientes tareas: Nota Cuando se realiza una instalación remota en Windows 8/8.1 o 10, no puede utilizarse la cuenta de Microsoft para iniciar sesión en el cliente de destino. 1. En el cliente, active temporalmente la función Compartir archivos e impresoras. Nota si la normativa de seguridad de su empresa es desactivar el Firewall de Windows, continúe con el paso 2 para iniciar el servicio Registro remoto. a. Abra el Firewall de Windows desde el Panel de control. b. Haga clic en Permitir un programa a través del Firewall de Windows. Si el programa le pide una contraseña de administrador o confirmación, escriba la contraseña correspondiente o confirme. Aparecerá la ventana de configuración del Firewall de Windows. c. En la lista Programa o puerto de la pestaña Excepciones, compruebe que la casilla Compartir archivos e impresora está activada. d. Haga clic en Aceptar. 2. Desactive el Control de cuentas de usuario. 3-21

94 Manual del administrador de Worry-Free Business Security 9.0 SP3 Elemento que se debe comprobar Requisito Nota Para Windows 8/8.1, 10 o 2012/2012 R2: Modifique la siguiente clave de registro para desactivar el Control de cuentas de usuario: [HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Policies \System] EnableLUA =dword: Inicie temporalmente el servicio Registro remoto. a. Abra la Consola de administración de Microsoft. Nota escriba services.msc en la ventana Ejecutar para abrir la Consola de administración de Microsoft. b. Haga clic con el botón derecho del ratón en Registro remoto y seleccione Iniciar. 4. Si es necesario, restaure la configuración original después de instalar los agentes de Security Agent en el cliente Windows Vista 7, 8/8.1 o 10. Cliente de destino que ejecuta Windows XP En el cliente, desactive temporalmente el uso compartido simple de archivos: 1. Abra Windows Explorer. 2. Haga clic en Herramientas > Opciones de carpeta. 3. En la pestaña Ver, desactive Utilizar uso compartido simple de archivos (recomendado). 4. Haga clic en Aplicar. IPv6 Un Security Server de doble pila puede instalar el Security Agent en cualquier cliente. Un Security Server que solo use IPv6 únicamente podrá instalar el Security Agent en clientes de doble pila o que solo usen IPv

95 Instalar agentes Procedimiento 1. En la consola Web, vaya a Configuración de seguridad > Agregar equipo. Se abrirá una nueva pantalla. 2. Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo. 3. Seleccione Instalación remota en la sección Método. 4. Haga clic en Siguiente. Aparecerá una nueva pantalla. 5. En el cuadro Grupos y equipos de la lista de clientes, seleccione un cliente y, a continuación, haga clic en Agregar. Se le pedirá el nombre de usuario y la contraseña del cliente. 6. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Iniciar sesión. El cliente aparecerá en el cuadro de lista Equipos seleccionados. 7. Repita estos pasos hasta que aparezcan todos los clientes en el cuadro de lista Equipos seleccionados. 8. Haga clic en Instalar. Aparecerá un cuadro de confirmación. 9. Haga clic en Sí para confirmar que desea instalar el agente en los clientes. Aparecerá una pantalla en la que se indica el progreso a medida que el programa vaya copiando los archivos del Security Agent en cada cliente. Cuando Security Server complete la instalación en un cliente, se indicará el estado de la instalación en el campo Estado del cuadro de lista Equipos seleccionados y, junto al nombre de dicho cliente, aparecerá una marca de verificación verde. Qué hacer a continuación Si la instalación mediante la función de Instalación remota no tiene éxito, realice estas tareas: Verifique que existe comunicación entre el cliente y el servidor mediante los comandos ping y telnet. 3-23

96 Manual del administrador de Worry-Free Business Security 9.0 SP3 Compruebe si el protocolo TCP/IP está activado y configurado correctamente en el cliente. Si utiliza un servidor proxy para la comunicación entre el cliente y el servidor, compruebe que la configuración del proxy se haya realizado correctamente. En el explorador Web, elimine los complementos de Trend Micro y el historial de exploración. Instalar con Vulnerability Scanner Antes de empezar Realice exploraciones de vulnerabilidades para detectar las soluciones antivirus instaladas, buscar clientes en la red que no dispongan de protección e instalar Security Agents en dichos clientes. Para instalar Vulnerability Scanner se deben cumplir los siguientes requisitos: Elemento que se debe comprobar Dónde se debe iniciar Vulnerability Scanner Requisito Vulnerability Scanner se puede iniciar en el Security Server o en cualquier cliente de la red. El cliente no debería estar ejecutando Terminal Server. 3-24

97 Instalar agentes Elemento que se debe comprobar Cliente de destino Requisito El cliente de destino no debe tener Security Server instalado. Vulnerability Scanner no instala el Security Agent en un cliente en el que ya se esté ejecutando el Security Server. Los usuarios deben usar una cuenta de administrador para iniciar sesión en el cliente. Nota Si el cliente de destino ejecuta Windows 7, active la cuenta del administrador integrada en primer lugar. Windows 7 desactiva la cuenta de administrador integrada de manera predeterminada. Para obtener más información, consulte el sitio de asistencia de Microsoft ( dd744293%28ws.10%29.aspx). Hay varios modos de ejecutar exploraciones de vulnerabilidades. Ejecución de una exploración de vulnerabilidades manual en la página 3-25 Ejecución de una exploración DHCP en la página 3-27 Configuración de una exploración de vulnerabilidades programada en la página 3-30 Ejecución de una exploración de vulnerabilidades manual Permite ejecutar exploraciones de vulnerabilidades a demanda. Procedimiento 1. Ejecute el Vulnerability Scanner. 3-25

98 Manual del administrador de Worry-Free Business Security 9.0 SP3 Para iniciar el Vulnerability Scanner en: Pasos Security Server a. Vaya a la <carpeta de instalación del servidor>\pccsrv\admin\utility\tmvs. b. Haga doble clic en TMVS.exe. Un cliente en la red a. En Security Server, vaya a la <capeta de instalación del servidor>\pccsrv\admin \Utility. b. Copie la carpeta TMVS en el otro cliente. c. En el otro cliente, abra la carpeta TMVS y haga doble clic en TMVS.exe. 2. Vaya a la sección Exploración manual. 3. Escriba el intervalo de direcciones IP de los clientes que desee comprobar. a. Escriba un intervalo de direcciones IPv4. Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv4 si se ejecuta en un cliente de doble pila o que solo utilice IPv4. Vulnerability Scanner sólo admite un rango de direcciones IP de clase B; por ejemplo, de a b. Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6. Nota 4. Haga clic en Settings. Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv6 si se ejecuta en un cliente de doble pila o que solo utilice IPv6. Aparecerá la pantalla Configuración. 3-26

99 Instalar agentes 5. Configure los parámetros de la exploración de vulnerabilidades. Para obtener más información, consulte Configuración de la exploración de vulnerabilidades en la página Haga clic en Aceptar. Se cerrará la pantalla Configuración. 7. Haga clic en Iniciar. Los resultados de la exploración de vulnerabilidades aparecen en la tabla Resultados de la pestaña Exploración manual. Nota La información de la dirección MAC no aparece en la tabla Resultados si el equipo ejecuta Windows Server Para guardar los resultados en un archivo de valores separados por comas (CSV), haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el nombre del archivo y, a continuación, haga clic en Guardar. Ejecución de una exploración DHCP Para ejecutar exploraciones de vulnerabilidades en clientes que solicitan direcciones IP desde un servidor DHCP: Vulnerability Scanner utiliza el puerto de escucha 67, que es el puerto de escucha del servidor DHCP para solicitudes DHCP. Si detecta una solicitud DHCP desde un cliente, se ejecutará una exploración de vulnerabilidades en dicho cliente. Nota Vulnerability Scanner no puede detectar solicitudes DHCP si se ha iniciado en Windows Server 2008 o Windows

100 Manual del administrador de Worry-Free Business Security 9.0 SP3 Procedimiento 1. Defina los valores de configuración de DHCP en el archivo TMVS.ini que se encuentra en la siguiente carpeta: <Carpeta de instalación del servidor>\pccsrv\admin\utility\tmvs. Tabla 3-5. Configuración de DHCP en el archivo TMVS.ini Configuración DhcpThreadNum=x DhcpDelayScan=x LogReport=x OsceServer=x OsceServerPort=x Descripción Especifique el número de amenaza para el modo DHCP. El mínimo es 3 y el máximo 100. El valor predeterminado es 3. Se trata del tiempo de demora en segundos antes de comprobar si en el equipo solicitante se encuentra instalado algún software antivirus. El mínimo es 0 (sin tiempo de espera) y el máximo 600. El valor predeterminado es desactiva el inicio de sesión y 1 lo activa. Vulnerability Scanner envía los resultados de la exploración al servidor de WFBS. Los registros se muestran en la pantalla Registros de sucesos del sistema de la consola Web. Se trata del nombre DNS o de la dirección IP del servidor de WFBS. Se trata del puerto del servidor Web del servidor de WFBS. 2. Ejecute el Vulnerability Scanner. Para iniciar el Vulnerability Scanner en: Pasos Security Server a. Vaya a la <carpeta de instalación del servidor>\pccsrv\admin\utility\tmvs. b. Haga doble clic en TMVS.exe. 3-28

101 Instalar agentes Para iniciar el Vulnerability Scanner en: Pasos Un cliente en la red a. En Security Server, vaya a la <capeta de instalación del servidor>\pccsrv\admin \Utility. b. Copie la carpeta TMVS en el otro cliente. c. En el otro cliente, abra la carpeta TMVS y haga doble clic en TMVS.exe. 3. Junto a la sección Exploración manual, haga clic en Configuración. Aparecerá la pantalla Configuración. 4. Configure los parámetros de la exploración de vulnerabilidades. Para obtener más información, consulte Configuración de la exploración de vulnerabilidades en la página Haga clic en Aceptar. Se cerrará la pantalla Configuración. 6. En la tabla de resultados, haga clic en la pestaña DHCP Scan (Exploración de DHCP). Nota La pestaña DHCP Scan no está disponible en equipos en los que se ejecute Windows Server 2008 y Windows Haga clic en DHCP Start. Vulnerability Scanner comienza escuchando las solicitudes DHCP y realiza la exploración de vulnerabilidades en los clientes a medida que estos inician sesión en la red. 8. Para guardar los resultados en un archivo de valores separados por comas (CSV), haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el nombre del archivo y, a continuación, haga clic en Guardar. 3-29

102 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración de una exploración de vulnerabilidades programada Las exploraciones de vulnerabilidades se ejecutan conforme a una programación. Procedimiento 1. Ejecute el Vulnerability Scanner. Para iniciar el Vulnerability Scanner en: Pasos Security Server a. Vaya a la <carpeta de instalación del servidor>\pccsrv\admin\utility\tmvs. b. Haga doble clic en TMVS.exe. Un cliente en la red a. En Security Server, vaya a la <capeta de instalación del servidor>\pccsrv\admin \Utility. 2. Vaya a la sección Exploración programada. 3. Haga clic en Agregar/editar. b. Copie la carpeta TMVS en el otro cliente. Aparecerá la pantalla Exploración programada. c. En el otro cliente, abra la carpeta TMVS y haga doble clic en TMVS.exe. 4. Escriba un nombre para la exploración de vulnerabilidades programada. 5. Escriba el intervalo de direcciones IP de los equipos que desee comprobar. a. Escriba un intervalo de direcciones IPv

103 Instalar agentes Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv4 si se ejecuta en un equipo host de doble pila o de solo IPv4 que tenga una dirección IPv4 disponible. Vulnerability Scanner sólo admite un rango de direcciones IP de clase B; por ejemplo, de a b. Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6. Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv6 si se ejecuta en un equipo host de doble pila o de solo IPv6 que tenga una dirección IPv6 disponible. 6. Especifique la hora de inicio con un formato horario de 24 horas y, después, seleccione con qué frecuencia se ejecutará la exploración. Las opciones entre las que puede elegir son diariamente, semanalmente o mensualmente. 7. Seleccione Usar la configuración actual si ha definido y quiere usar la configuración de exploración de vulnerabilidades manual. Para obtener información detallada acerca de la configuración de la exploración de vulnerabilidades manual, consulte Ejecución de una exploración de vulnerabilidades manual en la página Si no ha especificado una configuración de la exploración de vulnerabilidades manual o si quiere utilizar otra configuración, seleccione Modificar la configuración y, después, haga clic en Configuración. Aparecerá la pantalla Configuración. Defina la configuración de las exploraciones y haga clic en Aceptar. Para obtener más información, consulte Configuración de la exploración de vulnerabilidades en la página Haga clic en Aceptar. Se cierra la pantalla Exploración programada. La exploración de vulnerabilidades programada que haya creado aparecerá en la sección Exploración programada. Si ha activado las notificaciones, Vulnerability Scanner le enviará los resultados de la exploración de vulnerabilidades programada. 9. Si desea ejecutar la exploración de vulnerabilidades programada inmediatamente, haga clic en Ejecutar ahora. 3-31

104 Manual del administrador de Worry-Free Business Security 9.0 SP3 Los resultados de la exploración de vulnerabilidades aparecen en la tabla Resultados de la pestaña Exploración programada. Nota La información de la dirección MAC no aparece en la tabla Resultados si el equipo ejecuta Windows Server Para guardar los resultados en un archivo de valores separados por comas (CSV), haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el nombre del archivo y, a continuación, haga clic en Guardar. 11. Para detener las exploraciones de vulnerabilidades programadas, acceda a la sección Exploraciones programadas, seleccione la exploración programada que desee y haga clic en Eliminar. Configuración de la exploración de vulnerabilidades Establezca las siguientes configuraciones a la hora de realizar exploraciones de vulnerabilidades. Para obtener información sobre los distintos tipos de exploraciones de vulnerabilidades, consulte Instalar con Vulnerability Scanner en la página

105 Instalar agentes Configuración Consulta del producto Descripción e instrucciones Vulnerability Scanner puede comprobar la presencia de software de seguridad en clientes de destino. 1. Seleccione el software de seguridad que se debe comprobar. 2. Vulnerability Scanner utiliza los puertos predeterminados que se muestran en pantalla para comprobar el software. Si el administrador de software ha cambiado los puertos predeterminados, será necesario efectuar los cambios oportunos; de lo contrario, Vulnerability Scanner no detectará el software. 3. Para Norton Antivirus Corporate Edition, se puede cambiar la configuración de tiempo de espera haciendo clic en Configuración. Configuración de consultas de otros productos Para definir el número de clientes que Vulnerability Scanner comprobará simultáneamente a fin de determinar si disponen de software de seguridad: 1. Vaya a la <Carpeta de instalación del servidor> \PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un editor de texto como el bloc de notas. 2. Para definir el número de clientes comprobados: Para las exploraciones de vulnerabilidades manuales, cambie el valor de ThreadNumManual. Especifique un valor comprendido entre 8 y 64. Por ejemplo, escriba ThreadNumManual=60 si desea que Vulnerability Scanner compruebe 60 clientes de forma simultánea. Para las exploraciones de vulnerabilidades programadas, cambie el valor de ThreadNumSchedule. Especifique un valor comprendido entre 8 y 64. Por ejemplo, escriba ThreadNumSchedule=50 si desea que Vulnerability Scanner compruebe 50 clientes de forma simultánea. 3. Guarde TMVS.ini. 3-33

106 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Configuración de la recuperación de descripciones Descripción e instrucciones Cuando Vulnerability Scanner pueda enviar comandos "ping" a los clientes, podrá recuperar información adicional acerca de dichos clientes. Hay dos métodos para recuperar información: Recuperación normal: recupera tanto información sobre el dominio como sobre el equipo Recuperación rápida: solo recupera el nombre del equipo 3-34

107 Instalar agentes Configuración Configuración de las alertas Guardar como archivo CSV Descripción e instrucciones Para enviarse automáticamente los resultados de la exploración de vulnerabilidades a sí mismo o a otros administradores de la organización: 1. Seleccione Enviar por correo electrónico los resultados al administrador del sistema. 2. Haga clic en Configurar para especificar la configuración del correo electrónico. 3. En To, escriba la dirección de correo electrónico del destinatario. 4. En De, escriba la dirección de correo electrónico del remitente. 5. En Servidor SMTP, escriba la dirección del servidor SMTP. Por ejemplo, puede escribir smtp.empresa.com. La información sobre el servidor SMTP es necesaria. 6. En Subject, escriba un nuevo asunto de mensaje o acepte el que se muestra de manera predeterminada. 7. Haga clic en Aceptar. Para informar a los usuarios de que sus equipos no tienen instalado software de seguridad: 1. Seleccione Mostrar una notificación en los equipos sin protección. 2. Haga clic en Personalizar para configurar el mensaje de notificación. 3. En la pantalla Mensaje de notificación, escriba un mensaje nuevo o acepte el predeterminado. 4. Haga clic en Aceptar. Guarde los resultados de la exploración de vulnerabilidades en un archivo de valores separados por comas (CSV). El archivo se guardará en el cliente en el que se ejecutó Vulnerability Scanner. Acepte la ruta de archivo predeterminada o cámbiela según sus preferencias. 3-35

108 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Configuración del comando ping Descripción e instrucciones Utilice la configuración del comando "ping" para validar la existencia de un cliente y determinar su sistema operativo. Si esta configuración está desactivada, Vulnerability Scanner explora todas las direcciones IP del intervalo de direcciones IP especificado, incluso aquellas que no se utilicen en ningún cliente, por lo que el intento de exploración durará más de lo que debiera. 1. En los campos Tamaño del paquete y Tiempo de espera, acepte o modifique los valores predeterminados. 2. Seleccione Detectar el tipo de sistema operativo mediante la opción de huellas de sistema operativo ICMP. Si selecciona esta opción, Vulnerability Scanner determina si un cliente ejecuta Windows u otro sistema operativo. Vulnerability Scanner puede identificar la versión de Windows en aquellos clientes que ejecuten dicho sistema operativo. Otras configuraciones del comando ping Para definir el número de clientes a los que Vulnerability Scanner enviará comandos ping simultáneamente: 1. Vaya a la <Carpeta de instalación del servidor> \PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un editor de texto como el bloc de notas. 2. Cambie el valor de EchoNum. Especifique un valor comprendido entre 1 y 64. Por ejemplo, escriba EchoNum=60 si desea que Vulnerability Scanner envíe comandos ping a 60 clientes de forma simultánea. 3. Guarde TMVS.ini. 3-36

109 Instalar agentes Configuración Configuración del Security Server Descripción e instrucciones 1. Seleccione Instalar automáticamente Security Agent en equipos sin protección para instalar el Security Agent en los clientes que explorará Vulnerability Scanner. 2. Escriba el nombre de host del Security Server o la dirección IPv4/IPv6 y el número de puerto. Los Security Agents instalados por Vulnerability Scanner enviarán informes a este servidor. 3. Configure las credenciales administrativas para usarlas cuando se vaya a iniciar sesión en los clientes haciendo clic en Instalar cuenta. En la pantalla Información de la cuenta, escriba un nombre de usuario y una contraseña y haga clic en Aceptar. Instalar mediante notificación por correo electrónico Utilice este método de instalación para enviar un mensaje con un enlace al instalador. Procedimiento 1. En la consola Web, vaya a Configuración de seguridad > Agregar equipo. Se abrirá una nueva pantalla. 2. Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo. 3. Seleccione Instalación mediante notificación por correo electrónico en la sección Método. 4. Haga clic en Siguiente. Aparecerá una nueva pantalla. 5. Escriba el asunto del mensaje y los destinatarios. 6. Haga clic en Aplicar. Se abrirá el cliente de correo electrónico predeterminado con los destinatarios, el asunto y el enlace al programa de instalación. 3-37

110 Manual del administrador de Worry-Free Business Security 9.0 SP3 Migrar al Security Agent Al instalar el Security Agent, el programa de instalación comprueba si existe otro software de seguridad de punto final de Trend Micro o de otro fabricante instalado en el cliente. El programa de instalación permite llevar a cabo las siguientes acciones: Eliminar otro software de seguridad de punto final que esté instalado actualmente en el cliente y sustituirlo por el Security Agent. Detectar otro software de seguridad de punto final, pero sin eliminarlo. Visite el siguiente sitio Web para obtener una lista completa del software de seguridad de punto final: Si el software del cliente no se puede eliminar automáticamente o solo se puede detectar, pero sin eliminarlo, deberá desinstalarlo manualmente primero. Dependiendo del proceso de desinstalación del software, tendrá que reiniciar o no el cliente tras la desinstalación. Problemas de la migración y posibles soluciones La desinstalación automática del software de seguridad de puntos finales de terceros puede fracasar por distintas razones: El número de versión o la clave de producto del software de otros fabricantes es incorrecto. No funciona el programa de desinstalación del software de otros fabricantes. Algunos archivos del software de otro fabricante faltan o están dañados. No se puede limpiar la clave de registro del software de otro fabricante. El software de otro fabricante no dispone de programa de desinstalación. Posibles soluciones para estos problemas: Elimine manualmente el software de otro fabricante. 3-38

111 Instalar agentes Detenga el servicio del software de otros fabricantes. Descargue el servicio o el proceso del software de otros fabricantes. Realizar tareas posteriores a la instalación en los Security Agents Procedimiento 1. Compruebe lo siguiente: Los accesos directos del Security Agent aparecen en el menú de Inicio de Windows en el cliente. Trend Micro Worry-Free Business Security Agent figura en la lista Agregar o quitar programas del Panel de control del cliente. El Security Agent aparece en la pantalla Configuración de seguridad en la consola Web y se muestra en el grupo Servidores (opción predeterminada) o Equipos de sobremesa (opción predeterminada), en función del tipo de sistema operativo del cliente. Nota Si no ve el Security Agent, ejecute una tarea de verificación de la conexión desde Preferencias > Configuración general > pestaña Sistema > Comprobación de la conexión del agente. Los siguientes servicios del Security Agent aparecen en la Microsoft Management Console: Trend Micro Security Agent Listener (tmlisten.exe) Trend Micro Security Agent RealTime Scan (ntrtscan.exe) Trend Micro Security Agent NT Proxy Service (TmProxy.exe) 3-39

112 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota Este servicio no está disponible en Windows 8/8.1, 10, Server 2012 y Server 2012 R2. Trend Micro Security Agent Firewall (TmPfw.exe) si el cortafuegos se activó durante la instalación Servicio de prevención de cambios no autorizados de Trend Micro (TMBMSRV.exe) si la Supervisión de comportamiento o el Control de dispositivos se activaron durante la instalación 2. Si el Security Agent no aparece en la consola Web, es posible que no haya podido enviar su estado al servidor. Siga uno de los pasos siguientes: Abra un explorador Web en el cliente, escriba de Trend Micro Security Server}:{Número de puerto}/smb/cgi/ cgionstart.exe en el cuadro de texto de dirección y presione ENTRAR. Si en la pantalla siguiente aparece -2, el agente podrá comunicarse con el servidor. Esto también indica que el problema podría encontrarse en la base de datos del servidor; es posible que no exista ningún registro del agente. Verifique que existe comunicación entre el cliente y el servidor mediante los comandos ping y telnet. Si dispone de un ancho de banda limitado, compruebe si por este motivo se supera el tiempo de espera de conexión entre el servidor y el cliente. Compruebe que la carpeta \PCCSRV del servidor dispone de derechos compartidos y si se han concedido a todos los usuarios derechos de control total Compruebe que la configuración del proxy de Trend Micro Security Server sea correcta. 3. Pruebe el Security Agent usando una secuencia de comandos de prueba EICAR. El Instituto europeo de investigación antivirus EICAR (European Institute for Computer Antivirus Research) ha creado un virus de prueba que puede utilizarse para comprobar la instalación y la configuración de su programa antivirus. Se trata de un archivo de texto inerte con un patrón binario que se incluye en el archivo de 3-40

113 Instalar agentes patrones de virus de los proveedores de antivirus. No es ningún virus real ni contiene ningún código de programa. Puede descargar el virus de prueba EICAR desde las siguientes direcciones de Internet: Otra opción sería crear un virus de prueba EICAR propio; para ello, cree un archivo de texto llamado eicar.com y escriba lo siguiente: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST- FILE!$H+H* Nota elimine la caché del servidor de caché y del explorador local antes de realizar la prueba. Instalación de Messaging Security Agent Los Messaging Security Agents solo se puede instalar si se cuenta con la versión Advanced de Worry-Free Business Security. Realice una instalación completamente nueva del Messaging Security Agent en los servidores Microsoft Exchange. Nota Para obtener información sobre cómo actualizar los Messaging Security Agents a esta versión, consulte el Manual de instalación y actualización. Requisitos de instalación del Messaging Security Agent Visite el siguiente sitio Web para obtener una lista completa de los requisitos de instalación: 3-41

114 Manual del administrador de Worry-Free Business Security 9.0 SP3 Instalar el Messaging Security Agent (Advanced solo) Antes de empezar Notas y recordatorios sobre la instalación: No es necesario detener o iniciar los servicios de Microsoft Exchange antes o después de la instalación. Si existiera información de una instalación previa de Messaging Security Agent en el cliente, no podrá instalar el Messaging Security Agent correctamente. Utilice la utilidad Windows Installer Cleanup Utility para limpiar los restos de instalaciones previas. Para descargar esta utilidad, visite: Si instala el Messaging Security Agent en un servidor con herramientas de bloqueo, elimine la herramienta de bloqueo para que no desactive el servicio IIS e impida que la instalación se realice correctamente. El Messaging Security Agent también se puede instalar durante la instalación del Security Server. Para obtener información detallada, consulte el Manual de instalación y actualización. Messaging Security Agent no es compatible con algunas características de Microsoft Exchange Server Enterprise, como el grupo de disponibilidad de datos (DAG). Procedimiento 1. Vaya a Configuración de seguridad > Agregar equipo. Se abrirá una nueva pantalla. 2. Seleccione Servidor Exchange. 3. En Información sobre el servidor Exchange, escriba la siguiente información: Nombre del servidor: El nombre del servidor Microsoft Exchange en el que desea instalar el agente. 3-42

115 Instalar agentes Cuenta: Nombre de usuario de administrador de dominio integrada. Contraseña: Contraseña de administrador de dominio integrada. 4. Haga clic en Siguiente. El asistente de instalación abrirá una pantalla que variará según el tipo de instalación que necesite. Instalación desde cero: el agente no existe en el servidor Microsoft Exchange y se instalará. Actualizar: existe una versión previa del agente en el servidor Microsoft Exchange y se actualizará a la versión actual. No es necesario instalar: la versión actual del agente ya existe en el servidor Microsoft Exchange. Si el agente no aparece actualmente en el árbol Grupos de seguridad, se agregará automáticamente. No válida: hay un problema al instalar el agente. Nota Para el tipo de gestión del spam, se utilizará End User Quarantine. 5. En Directorios, modifique o acepte el destino predeterminado o los directorios compartidos para la instalación del Messaging Security Agent. El destino predeterminado y los directorios compartidos son C:\Archivos de programa \Trend Micro\Messaging Security Agent y C$, respectivamente. 6. Haga clic en Siguiente. Se abrirá una nueva pantalla. 7. Compruebe que la configuración del servidor Microsoft Exchange especificada en las pantallas anteriores es correcta y haga clic en Siguiente para iniciar la instalación. 8. Para ver el estado de la instalación, haga clic en la pestaña Estado de actividad. 3-43

116 Manual del administrador de Worry-Free Business Security 9.0 SP3 Eliminar agentes Hay dos formas de eliminar los Security Agents y los Messaging Security Agents (solo versión Advanced): Eliminar agentes desde la consola Web Use esta opción para los agentes inactivos. Un agente inactivo aparece continuamente como desconectado en la consola Web porque el cliente donde el agente está instalado puede haber estado desconectado durante un periodo largo de tiempo o haberse reformateado antes de que se haya podido desinstalar el agente. Al eliminar agentes desde la consola Web: El agente, si todavía está en el cliente, no se desinstalará. El servidor deja de gestionar el agente. Cuando el agente comienza a comunicarse con el servidor de nuevo (por ejemplo, después de conectar el cliente), el agente se vuelve a agregar a la consola Web. Un Security Agent aplica la configuración de su grupo original. Si el grupo ya no existe, el agente se incluirá en el grupo Servidores (opción predeterminada) o Equipos de sobremesa (opción predeterminada), en función del sistema operativo del cliente, y se aplicará la configuración de dicho grupo. Consejo WFBS ofrece otra función que comprueba si hay agentes inactivos y los elimina desde la consola Web. Use esta función para automatizar la tarea de eliminación de agentes. Para usar esta función, acceda a Preferencias > Configuración general > pestaña Sistema y vaya a la sección Eliminación de Security Agents inactivos. Desinstalar el agente Puede desinstalar el agente (y, en consecuencia, que deje de aparecer en la consola Web) si encuentra problemas con el programa del agente en cuestión. Trend Micro recomienda que se reinstale el agente inmediatamente para que el cliente se mantenga a salvo de las amenazas. 3-44

117 Instalar agentes Eliminar agentes desde la consola Web Procedimiento 1. Acceda a Configuración de seguridad. 2. Para eliminar los Security Agents, seleccione un grupo y, a continuación, elija los agentes. Para eliminar un Messaging Security Agent, selecciónelo. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 3. Haga clic en Administrar árbol de clientes > Eliminar grupo/cliente. Aparecerá una nueva pantalla. 4. Haga clic en Eliminar los agentes seleccionados. 5. Haga clic en Aplicar. Desinstalar agentes desde la consola Web Al desinstalar el Messaging Security Agent, el servicio de administración de IIS/servidor Apache y los demás servicios relacionados se detendrán y reiniciarán automáticamente. Procedimiento 1. Acceda a Configuración de seguridad. 2. Para desinstalar los Security Agents, seleccione un grupo y, a continuación, elija los agentes. Para desinstalar un Messaging Security Agent, selecciónelo. 3-45

118 Manual del administrador de Worry-Free Business Security 9.0 SP3 Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 3. Haga clic en Administrar árbol de clientes > Eliminar grupo/cliente. Aparecerá una nueva pantalla. 4. Haga clic en Desinstalar los agentes seleccionados. 5. Haga clic en Aplicar. Aparecerá una pantalla emergente con el número de notificaciones de desinstalación que ha enviado el servidor y el número de agentes que ha recibido la notificación. Nota Para un Messaging Security Agent, escriba el nombre de cuenta del servidor Microsoft Exchange que corresponda y especifique la contraseña cuando se le solicite. 6. Haga clic en Aceptar. 7. Para comprobar que se ha desinstalado el agente, actualice la pantalla Configuración de seguridad. Ahora el agente ya no debe aparecer en el árbol Grupos de seguridad. Si falla la desinstalación del Security Agent, consulte Usar la herramienta de desinstalación de SA en la página Desinstalar el Security Agent desde el cliente Los usuarios pueden desinstalar el agente desde el cliente. En función de cuál sea su configuración, puede que necesite una contraseña para la desinstalación. En caso de que necesite una contraseña, asegúrese de compartirla 3-46

119 Instalar agentes únicamente con aquellos usuarios que vayan a ejecutar el programa de desinstalación y, después, modifíquela de inmediato si la ha divulgado a otros usuarios. La contraseña se puede activar o desactivar en Preferencias > Configuración general > pestaña Equipo de sobremesa o servidor > Contraseña de desinstalación de Security Agent. Procedimiento 1. Haga clic en Panel de control > Agregar o quitar programas. 2. Localice Trend Micro Worry-Free Business Security Agent y haga clic en Cambiar o Desinstalar, según la opción que esté disponible. 3. Siga las instrucciones que aparecen en la pantalla. 4. Escriba la contraseña de desinstalación en caso de que se le solicite. El Security Server notifica al usuario sobre el progreso y la finalización de la desinstalación. No es necesario que el usuario reinicie el cliente para completar la desinstalación. En caso de que el procedimiento falle, consulte Usar la herramienta de desinstalación de SA en la página Usar la herramienta de desinstalación de SA Use la herramienta de desinstalación de SA: Cuando falle una instalación o sea necesario efectuar una desinstalación completa. La herramienta quita automáticamente todos los componentes del Security Agent de un cliente. Para descargar el Security Agent Procedimiento 1. En Security Server, acceda a <Carpeta de instalación de Security Server>\PCCSRV\Private. 3-47

120 Manual del administrador de Worry-Free Business Security 9.0 SP3 2. Copie el archivo SA_Uninstall.exe en el cliente de destino. 3. En el cliente de destino, ejecute SA_Uninstall.exe. 4. Inicie sesión en Windows como administrador (o con una cuenta con derechos de administrador). 5. Siga los pasos correspondientes a la tarea que desee realizar. Tarea Desinstalar el Security Agent Pasos a. Ejecute Uninstall.bat. Hay varias formas de llevar a cabo este paso. En Windows Vista, 7, 8/8.1, 10, Server 2008/2012/2012 R2 o SBS 2011, acceda al directorio de la herramienta, haga clic con el botón derecho en Uninstall.bat y seleccione Ejecutar como administrador. En la pantalla de UAC, seleccione Aceptar. En Windows XP/2003, haga doble clic en Uninstall.bat. b. Cuando se muestre el mensaje Desea reiniciar ahora? (S/N), seleccione sí o no: N [Intro]: algunos controladores no se desinstalarán hasta que reinicie. Y [Intro]: se reinicia después de 30 segundos. La herramienta de desinstalación de SA detiene el agente automáticamente. 3-48

121 Instalar agentes Tarea Descargar el Security Agent Pasos a. Ejecute Stop.bat. Hay varias formas de llevar a cabo este paso. En Windows Vista, 7, 8/8.1, 10, Server 2008/2012/2012 R2 o SBS 2011, acceda al directorio de la herramienta, haga clic con el botón derecho en Stop.bat y seleccione Ejecutar como administrador. En la pantalla de UAC, seleccione Aceptar. En Windows XP/2003, haga doble clic en Stop.bat. b. Compruebe que el programa termina cuando el cliente se detiene. Desinstalación del Messaging Security Agent desde el servidor Microsoft Exchange (Advanced solo) Al desinstalar el Messaging Security Agent, el servicio de administración de IIS/servidor Apache y los demás servicios relacionados se detendrán y reiniciarán automáticamente. Procedimiento 1. Inicie una sesión en el servidor Microsoft Exchange con derechos de administrador. 2. Haga clic en Panel de control > Agregar o quitar programas. 3. Localice Trend Micro Messaging Security Agent y haga clic en Cambiar. 4. Siga las instrucciones que aparecen en la pantalla. 3-49

122

123 Capítulo 4 Gestionar grupos En este capítulo se describe el concepto y el uso de grupos en Worry-Free Business Security. 4-1

124 Manual del administrador de Worry-Free Business Security 9.0 SP3 Grupos En Worry-Free Business Security, los grupos son conjuntos de agentes que comparten la misma configuración y ejecutan las mismas tareas. Organice los agentes en grupos en la pantalla Configuración de seguridad para que pueda configurarlos y gestionarlos simultáneamente. Lista Agentes y árbol Grupos de seguridad Figura 4-1. Pantalla Configuración de seguridad en la que se muestran los agentes en un grupo En la pantalla Configuración de seguridad, los grupos aparecen en la sección Árbol Grupos de seguridad, en el lateral izquierdo. Para facilitar la gestión, cree grupos que representen departamentos o funciones de su empresa. También puede crear grupos especiales. Por ejemplo, cree un grupo que incluya Security Agents en los clientes que presenten un mayor riesgo de infección, de manera que se puedan aplicar configuraciones y políticas de seguridad más estrictas a dicho grupo. Al hacer clic en un grupo, los agentes que pertenecen a dicho grupo se muestran en la lista Agentes, a la derecha. 4-2

125 Gestionar grupos Columnas de la lista Agentes Las columnas de la lista Agentes muestran la siguiente información para cada agente: Consejo Las celdas sombreadas en rojo en la lista Agentes contienen información que requiere su atención. Columna Información mostrada Para los Security Agents Nombre Dirección IP Nombre de host del cliente en el que está instalado el agente. Dirección IP del cliente en el que está instalado el agente. Conectado/Desconectado Conectado: el agente está conectado al Security Server. Desconectado: el agente no está conectado al Security Server. Exploración programada Exploración manual Plataforma Fecha y hora en que se produjo la última exploración programada. Fecha y hora en que se produjo la última exploración manual. Sistema operativo del cliente en el que está instalado el agente. Arquitectura x64: Sistema operativo de 64 bits. x86: Sistema operativo de 32 bits. Método de exploración Inteligente: exploraciones locales y en Internet. Convencional: exploraciones locales únicamente. Para obtener más información, consulte Métodos de exploración en la página 5-3. Motor de virus Versión del Motor de exploración antivirus 4-3

126 Manual del administrador de Worry-Free Business Security 9.0 SP3 Columna Smart Scan Agent Pattern Información mostrada Versión del Smart Scan Agent Pattern Nota Esta columna solo se muestra si el método de exploración es smart scan. Smart Scan Service Nota Esta columna solo se muestra si el método de exploración es smart scan. Patrón de virus Conectado: el agente está conectado al Smart Scan Service. Desconectado: el agente está desconectado del Smart Scan Service. Nota El Smart Scan Service se aloja en el Security Server. Si un agente está desconectado, significa que no se puede conectar al Security Server o que el Smart Scan Service no está operativo (por ejemplo, si el servicio se ha detenido). Versión del patrón de virus Nota Esta columna solo se muestra si el método de exploración es el convencional. Virus detectados Spyware detectado Versión Número de virus y malware detectados. Número de spyware/grayware detectados. Versión del agente. 4-4

127 Gestionar grupos Columna URL infringidas Spam detectado Información mostrada Número de URL prohibidas a las que se ha accedido. Número de mensajes de correo electrónico de spam. Exploración de POP3 Activado Desactivada Para Messaging Security Agent (Advanced solo) Nombre Dirección IP Nombre de host del cliente en el que está instalado el agente. Dirección IP del cliente en el que está instalado el agente. Conectado/Desconectado Conectado: el agente está conectado al Security Server. Desconectado: el agente no está conectado al Security Server. Plataforma Sistema operativo del cliente en el que está instalado el agente. Arquitectura x64: Sistema operativo de 64 bits. x86: Sistema operativo de 32 bits. Versión de Exchange Patrón de virus Motor de virus Versión Versión del servidor Microsoft Exchange. Versión del patrón de virus Versión del Motor de exploración antivirus Versión del agente. Tareas para grupos y agentes Ejecute tareas en un grupo o en uno o varios agentes. La ejecución de tareas conlleva dos pasos: 1. Seleccione un destino. 2. Haga clic en el botón de la tarea. 4-5

128 Manual del administrador de Worry-Free Business Security 9.0 SP3 En la siguiente tabla figuran las tareas que puede realizar. 4-6

129 Gestionar grupos Tarea Destino Descripción Configurar Un grupo de Security Agent (sobremesa o servidor) Defina las siguientes configuraciones básicas de seguridad para todos los Security Agents que pertenecen al grupo seleccionado: Método de exploración. Consulte Configurar los métodos de exploración en la página 5-5. Antivirus/Anti-spyware. Consulte Configurar la exploración en tiempo real para los Security Agents en la página 5-8. Cortafuegos. Consulte Configurar el cortafuegos en la página Reputación Web. Consulte Configurar la reputación Web para los Security Agents en la página Filtrado de URL. Consulte Configuración del filtrado de URL en la página URL aprobadas/bloqueadas. Consulte URL aprobadas/bloqueadas en la página Supervisión de comportamiento: Consulte Configurar la supervisión del comportamiento en la página Control de dispositivos. Consulte Configurar el control de los dispositivos en la página Herramientas del usuario (solo grupos de equipos de sobremesa). Consulte Configurar las herramientas de usuario en la página Derechos de agente. Consulte Configuración de los privilegios del agente en la página Poner en cuarentena: Consulte Configurar el directorio de cuarentena en la página

130 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Destino Descripción Configurar Replicar configuración Un Messaging Security Agent (Advanced solo) Un grupo de Security Agent (sobremesa o servidor) Defina las siguientes configuraciones básicas de seguridad para el Messaging Security Agent seleccionado: Antivirus: Consulte Configurar la exploración en tiempo real para Messaging Security Agent en la página 6-6. Antispam: Consulte Configurar Reputation en la página 6-8 y Configurar la exploración del contenido en la página Filtrado de contenidos: Consulte Gestionar las reglas del filtrado de contenidos en la página Bloqueo de archivos adjuntos: Consulte Configurar el bloqueo de archivos adjuntos en la página Reputación Web. Consulte Configurar la reputación Web para los Messaging Security Agents en la página Poner en cuarentena: Consulte Consultar directorios de cuarentena en la página 6-66, Mantener directorios de cuarentena en la página 6-69 y Configurar directorios de cuarentena en la página Operaciones. Consulte Definir configuraciones de notificación para los Messaging Security Agents en la página 6-73, Configurar el mantenimiento del spam en la página 6-73 y Generar informes del depurador del sistema en la página Las configuraciones del grupo seleccionado las aplicará otro grupo del mismo tipo (grupo de equipos de sobremesa o servidores). Para obtener más información, consulte Replicar configuración en la página

131 Gestionar grupos Tarea Destino Descripción Importar Exportar Agregar grupo Agregar Un grupo de Security Agent (sobremesa o servidor) Un grupo de Security Agent (sobremesa o servidor) Árbol Grupos de seguridad ( ) Árbol Grupos de seguridad ( ) Importe la configuración de un grupo de origen a un grupo de destino seleccionado. Antes de realizar la importación, debe haber exportado la configuración del grupo de origen a un archivo. Para obtener más información, consulte Importar y exportar la configuración de grupos de Security Agents en la página Exporte la configuración del grupo de destino seleccionado a un archivo. Realice esta tarea para hacer una copia de seguridad de la configuración o para importarla a otro grupo. Para obtener más información, consulte Importar y exportar la configuración de grupos de Security Agents en la página Agregue un nuevo grupo de Security Agent (grupo de equipos de sobremesa o servidores). Para obtener más información, consulte Agregar grupos en la página Instale una de las siguientes opciones: Security Agent en un cliente (equipo de sobremesa o servidor) Messaging Security Agent en un servidor Microsoft Exchange (Advanced solo) Para obtener más información, consulte Agregar agentes a grupos en la página

132 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Destino Descripción Quitar Mover Un grupo de Security Agent (sobremesa o servidor) Uno o varios Security Agents pertenecientes a un grupo Un Messaging Security Agent (Advanced solo) Uno o varios Security Agents pertenecientes a un grupo Elimine el grupo seleccionado del Árbol Grupos de seguridad. Asegúrese de que el grupo no tenga ningún agente; de lo contrario, el grupo no se eliminará. Para obtener más información, consulte Eliminar agentes en la página Tiene dos opciones: Elimine los Security Agents seleccionados de su grupo. Desinstale los Security Agents seleccionados de sus clientes y elimínelos del grupo. Para obtener más información, consulte Eliminar agentes en la página Tiene dos opciones: Elimine el Messaging Security Agent y su grupo. Desinstale los Messaging Security Agents del servidor Microsoft Exchange y elimine su grupo. Para obtener más información, consulte Eliminar agentes en la página Mueva los Security Agents seleccionados a otro grupo o a otro Security Server. Para obtener más información, consulte Mover agentes en la página

133 Gestionar grupos Tarea Destino Descripción Restablecer contadores Árbol Grupos de seguridad ( ) Restablece a cero los recuentos de amenazas de todos los Security Agents. En concreto, se restablecerán los valores de las siguientes columnas de la lista Agentes: Virus detectados Spyware detectado Spam detectado URL infringidas Agregar grupos Agregue un grupo de equipos de sobremesa o de servidores, el cual puede contener uno o varios Security Agents. No es posible agregar un grupo que contenga Messaging Security Agents. Una vez que un Messaging Security Agent esté instado y pueda enviar informes al Security Server, este será automáticamente su propio grupo en el Árbol Grupos de seguridad. Procedimiento 1. Acceda a Configuración de seguridad. 2. Haga clic en Agregar grupo. Aparecerá una nueva pantalla. 3. Seleccione un tipo de grupo. Equipos de sobremesa Servidores 4. Escriba un nombre para el grupo. 4-11

134 Manual del administrador de Worry-Free Business Security 9.0 SP3 5. Para aplicar la configuración de un grupo existente al grupo que está agregando, haga clic en Importar configuración de un grupo y, a continuación, seleccione el grupo. Solo se mostrarán grupos para el tipo de grupo seleccionado. 6. Haga clic en Guardar. Agregar agentes a grupos Una vez que un agente está instalado y puede enviar informes al Security Server, el servidor lo agrega a un grupo. Los Security Agents instalados en las plataformas de servidor, como Windows Server 2003 y Windows Server 2008, se agregan al grupo Servidores (opción predeterminada). Los Security Agents instalados en las plataformas de equipos de sobremesa, como Windows XP, Windows Vista y Windows 7, se agregan al grupo Equipos de sobremesa (opción predeterminada). Nota Puede asignar Security Agents a otros grupos moviéndolos. Para obtener más información, consulte Mover agentes en la página Cada Messaging Security Agent (Advanced solo) forma su propio grupo. No es posible organizar varios Messaging Security Agents en un grupo. Si el número de agentes reflejados en el árbol Grupos de seguridad es incorrecto, puede que los agentes se hayan eliminado sin informar al respecto al servidor (por ejemplo, si se perdió la comunicación entre el cliente y el servidor mientras se eliminaba el agente). Esto provoca que el servidor conserve la información del agente en la base de datos e indique que el agente está desconectado en la consola Web. Al reinstalar el agente, el servidor crea un registro nuevo en la base de datos y considera que el agente es nuevo, por lo que el agente aparece dos veces en el árbol Grupos de seguridad. Para comprobar los registros duplicados de agentes, use la función de Comprobación de la conexión del agente, en Preferencias > Configuración general > Sistema. 4-12

135 Gestionar grupos Instalar Security Agents Consulte los siguientes temas: Requisitos de instalación del Security Agent en la página 3-2 Consideraciones sobre la instalación del Security Agent en la página 3-2 Métodos de instalación del Security Agent en la página 3-9 Instalar desde la página Web interna en la página 3-12 Instalar con Configuración de secuencia de comandos de inicio de sesión en la página 3-14 Instalar con Client Packager en la página 3-16 Instalar con Instalación remota en la página 3-20 Instalar con Vulnerability Scanner en la página 3-24 Instalar mediante notificación por correo electrónico en la página 3-37 Realizar tareas posteriores a la instalación en los Security Agents en la página 3-39 Instalar Messaging Security Agents (Advanced solo) Consulte los siguientes temas: Requisitos de instalación del Messaging Security Agent en la página 3-41 Instalar el Messaging Security Agent (Advanced solo) en la página 3-42 Mover agentes Existen varias formas de mover los agentes. 4-13

136 Manual del administrador de Worry-Free Business Security 9.0 SP3 Agente que se va a mover Security Agent Messaging Security Agent (sólo Advanced) Detalles Mover agentes de seguridad entre grupos. Después de moverlos, los agentes heredan la configuración de su nuevo grupo. Si cuenta con dos Security Servers como mínimo, muévalos entre los servidores. Después de moverlos, los agentes se unirán al grupo Equipos de sobremesa (opción predeterminada) o Servidores (opción predeterminada) en el otro Security Server, en función del sistema operativo del cliente. El agente hereda la configuración del nuevo grupo. Si cuenta con dos Security Servers como mínimo, mueva los Messaging Security Agents entre los servidores. Después de moverlos, cada agente será su propio grupo en el otro Security Server y conservará su configuración. Cómo mover los agentes Use la consola Web para mover uno o varios agentes. Consulte Mover Security Agents entre grupos en la página Use la consola Web para mover uno o varios agentes. Consulte Mover agentes entre Security Servers usando la consola Web en la página Ejecute la herramienta Client Mover en un cliente para mover el agente instalado en dicho cliente. Consulte Mover un Security Agent entre Security Servers usando Client Mover en la página Use la consola Web para mover uno o varios agentes cada vez. Consulte Mover agentes entre Security Servers usando la consola Web en la página Mover Security Agents entre grupos Procedimiento 1. Acceda a Configuración de seguridad. 4-14

137 Gestionar grupos 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Seleccione los agentes que desee mover. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 4. Arrastre los agentes hasta el nuevo grupo. Mover agentes entre Security Servers usando la consola Web Antes de empezar Al mover un agente entre Security Servers: Si un agente que está ejecutando una versión anterior se mueve a un Security Server que tenga la versión actual, el agente se actualizará automáticamente. No mueva un agente que esté ejecutando la versión actual a un Security Server que tenga una versión anterior porque el agente se quedaría sin gestionar (el agente se eliminará del registro del servidor anterior, pero no conseguirá registrarse en el servidor nuevo, en consecuencia, no aparecerá tampoco en la consola Web). El agente conservará su versión actual y no se cambiará a la versión anterior. Los Security Servers deben ser de la misma versión de idioma. Registre el nombre de host y el puerto de escucha del Security Server al que se moverá el agente. El nombre de host y el puerto de escucha se encuentran en la pantalla Configuración de seguridad del Security Server, por encima del panel Tareas. 4-15

138 Manual del administrador de Worry-Free Business Security 9.0 SP3 Procedimiento 1. En la consola Web del Security Server que gestiona actualmente los agentes, acceda a Configuración de seguridad. 2. Para mover los Security Agents, seleccione un grupo y, a continuación, seleccione los agentes. Para mover un Messaging Security Agent, selecciónelo. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 3. Haga clic en Administrar árbol de clientes > Mover cliente. Aparecerá una nueva pantalla. 4. Escriba el nombre de host y el puerto de escucha del Security Server al que se moverán los agentes. 5. Haga clic en Mover. 6. Para comprobar si los agentes envían ahora sus informes al otro Security Server, abra la consola Web del servidor en cuestión y localice los agentes en el árbol Grupos de seguridad. Nota Si los agentes no aparecen en el árbol Grupos de seguridad, reinicie el Servicio maestro del servidor (ofservice.exe). Mover un Security Agent entre Security Servers usando Client Mover Antes de empezar Al mover un agente entre Security Servers: 4-16

139 Gestionar grupos Si un agente que está ejecutando una versión anterior se mueve a un Security Server que tenga la versión actual, el agente se actualizará automáticamente. No mueva un agente que esté ejecutando la versión actual a un Security Server que tenga una versión anterior porque el agente se quedaría sin gestionar (el agente se eliminará del registro del servidor anterior, pero no conseguirá registrarse en el servidor nuevo, en consecuencia, no aparecerá tampoco en la consola Web). El agente conservará su versión actual y no se cambiará a la versión anterior. Los Security Servers deben ser de la misma versión de idioma. Registre el nombre de host y el puerto de escucha del Security Server al que se moverá el agente. El nombre de host y el puerto de escucha se encuentran en la pantalla Configuración de seguridad del Security Server, por encima del panel Tareas. Inicie sesión en el cliente con una cuenta de administrador. Procedimiento 1. En el cliente, abra una ventana de símbolo del sistema. Nota Debe ejecutar el símbolo del sistema como administrador. 2. Escriba cd y la ruta a la carpeta de instalación de Security Agent. Por ejemplo: cd C:\Archivos de programa\trend Micro\Security Agent 3. Ejecute Client Mover con la siguiente sintaxis: <nombre del archivo ejecutable> -s <nombre del servidor> -p <puerto de escucha del servidor> -c <puerto de escucha del cliente> Tabla 4-1. Parámetros de Client Mover Parámetro Explicación <nombre de archivo ejecutable> IpXfer.exe 4-17

140 Manual del administrador de Worry-Free Business Security 9.0 SP3 Parámetro <Nombre del servidor> <puerto de escucha del servidor> <puerto de escucha del cliente> Explicación El nombre del servidor de WFBS de destino (el servidor al que el agente realizará transferencias) El puerto de escucha (o puerto de confianza) del Security Server de destino. El número de puerto que utiliza el Security Agent para comunicarse con el servidor Ejemplo: ipxfer.exe -s Server01 -p c Para comprobar si el Security Agent envía ahora sus informes al otro Security Server, abra la consola Web del servidor en cuestión y localice el agente en el árbol Grupos de seguridad. Nota Si el agente no aparece en el árbol Grupos de seguridad, reinicie el Servicio maestro del servidor (ofservice.exe). Replicar configuración Las configuraciones se pueden replicar entre grupos de Security Agents o entre Messaging Security Agents (Advanced solo). Replicar configuraciones de grupo de Security Agents Use esta función para aplicar la configuración de un grupo concreto de servidores o de equipos de sobremesa a otro grupo del mismo tipo. No es posible replicar la configuración de un grupo de servidores a un grupo de equipos de sobremesa ni viceversa. Si hay solo un grupo para un tipo de grupo particular, esta función se desactivará. 4-18

141 Gestionar grupos Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Más > Replicar configuración. Aparecerá una nueva pantalla. 4. Seleccione los grupos de destino que heredarán la configuración. 5. Haga clic en Aplicar. Replicar configuraciones del Messaging Security Agent (Advanced solo) Solo puede replicar configuraciones entre los Messaging Security Agents si comparten el mismo dominio. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Más > Replicar configuración. Aparecerá una nueva pantalla. 4. Seleccione el Messaging Security Agent que heredará la configuración. 5. Haga clic en Aplicar. 6. Si la replicación no se realizó correctamente: a. Inicie el Editor del registro (regedit). b. Acceda a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecurePipeServers\winreg. 4-19

142 Manual del administrador de Worry-Free Business Security 9.0 SP3 c. Haga clic con el botón derecho del ratón en winreg > Permisos. d. Añada Smex Admin Group del dominio de destino y active Permitir Leer. Importar y exportar la configuración de grupos de Security Agents Exporte la configuración de un grupo de servidores o de equipos de sobremesa a un archivo.dat para hacer una copia de seguridad de la configuración. También puede usar el archivo.dat para importar la configuración a otro grupo. Nota Puede importar o exportar la configuración entre grupos de equipos de sobremesa y servidores. La configuración no depende de un tipo de grupo. También puede usar la función Replicar configuración, aunque esta función depende del tipo de grupo. Para obtener información detallada acerca de la función Replicar configuración, consulte Replicar configuración en la página Configuraciones que se pueden importar y exportar Las configuraciones que se pueden importar y exportar dependen de si se elige el icono del árbol Grupos de seguridad ( ) o un grupo de servidores o equipos de sobremesa concreto. Selección Icono del árbol Grupos de seguridad ( ) Pantalla que contiene la configuración Configuración de seguridad (Configuración de seguridad > Definir la configuración) Configuraciones que se pueden exportar o importar Las siguientes configuraciones para los grupos de Servidores (opción predeterminada) y Equipos de sobremesa (opción predeterminada): Método de exploración Cortafuegos 4-20

143 Gestionar grupos Selección Pantalla que contiene la configuración Actualización manual (Actualizaciones > Manual) Actualización programada (Actualizaciones > Programada) Informes programados (Informes > Informes programados) Mantenimiento de los informes (Informes > Mantenimiento) Notificaciones (Preferencias > Notificaciones) Configuración general (Preferencias > Configuración general) Configuraciones que se pueden exportar o importar Reputación Web Filtrado de URL URL aprobadas/bloqueadas Supervisión del comportamiento Programa de confianza Herramientas del usuario (disponibles solo en grupos de equipos de sobremesa) Derechos de agente Cuarentena Control del dispositivo Componentes seleccionados en la pantalla Actualización manual Componentes seleccionados y programados en la pantalla Actualización programada Todas las configuraciones Todas las configuraciones Todas las configuraciones Todas las configuraciones de las siguientes pestañas: Proxy SMTP 4-21

144 Manual del administrador de Worry-Free Business Security 9.0 SP3 Selección Grupo de equipos de sobremesa ( ) o grupo de servidores ( ) Pantalla que contiene la configuración Configuración de seguridad (Configuración de seguridad > Definir la configuración) Pantalla Exploración manual (Exploraciones > Exploración manual) Pantalla Exploración programada (Exploraciones > Exploración programada) Configuraciones que se pueden exportar o importar Equipo de sobremesa o servidor Sistema Exploración antivirus/ antispyware en tiempo real Cortafuegos Reputación Web Filtrado de URL Supervisión del comportamiento Programa de confianza Herramientas del usuario (disponibles solo en grupos de equipos de sobremesa) Derechos de agente Cuarentena Control del dispositivo Todas las configuraciones Todas las configuraciones 4-22

145 Gestionar grupos Exportar configuración Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione el árbol Grupos de seguridad o un grupo de equipos de sobremesa/ servidores. 3. Haga clic en Más > Exportar. Aparecerá una nueva pantalla. 4. Si ha seleccionado el árbol Grupos de seguridad, seleccione la configuración que desea exportar. 5. Haga clic en Más > Exportar. Aparecerá un cuadro de diálogo. 6. Haga clic en Guardar, acceda a la ubicación que desee y haga clic en Guardar. Importar configuración Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione el árbol Grupos de seguridad o un grupo de equipos de sobremesa/ servidores. 3. Haga clic en Más > Importar. Aparecerá una nueva pantalla. 4. Haga clic en Examinar, busque el archivo y, a continuación, haga clic en Importar. 4-23

146

147 Capítulo 5 Gestionar la configuración de seguridad básica para los Security Agents En este capítulo se explica cómo definir la configuración de seguridad básica para los Security Agents. 5-1

148 Manual del administrador de Worry-Free Business Security 9.0 SP3 Resumen de la configuración de seguridad básica para los Security Agents Tabla 5-1. Resumen de la configuración de seguridad básica para los Security Agents Opción Descripción Predeterminadas Método de exploración Antivirus/Antispyware Cortafuegos Reputación Web Filtrado de URL URL aprobadas/bloqueadas Supervisión del comportamiento Programa de confianza Configure si Smart Scan está activado o desactivado. Configure las opciones de exploración en tiempo real, antivirus y antispyware. Configure las opciones del cortafuegos. Configure las opciones de reputación Web para la oficina o fuera de la oficina. El filtrado de URL bloquea los sitios Web que infringen las políticas configuradas. Configure las listas de elementos permitidos/ bloqueados globales Configure las opciones de supervisión de comportamiento. Especificar los programas cuyo comportamiento no es preciso supervisar en busca de conductas sospechosas La opción de activado o desactivado se selecciona durante la instalación. Activada (exploración en tiempo real) Desactivada En la oficina: activada (nivel bajo) Fuera de la oficina: activada (nivel medio) activada (nivel bajo) Desactivada Habilitado para grupos de equipos de sobremesa Desactivado para grupos de servidores N/D 5-2

149 Gestionar la configuración de seguridad básica para los Security Agents Opción Descripción Predeterminadas Control del dispositivo Herramientas del usuario Derechos de agente Cuarentena Configure la ejecución automática, USB y el acceso a redes Configuración del asesor de Wi-Fi y la barra de herramientas antispam de Trend Micro Configure el acceso a los parámetros de configuración desde la consola del agente. Desactivar el uso de actualizaciones y correcciones del agente de seguridad Especifique el directorio de cuarentena. Desactivada Desactivado: Asesor de Wi- Fi Desactivado: barra de herramientas anti-spam en los clientes de correo compatibles N/D del servidor de seguridad o dirección IP> Métodos de exploración Security Agents pueden utilizar uno de los dos métodos de exploración al realizar una exploración en busca de amenazas de seguridad. Smart Scan: Security Agents que utilizan smart scan se denominan agentes de smart scan en este documento. Los agentes de smart scan se benefician de las exploraciones locales y de las consultas por Internet proporcionadas por los Servicios de File Reputation. Exploración convencional: Security Agents que no utilizan smart scan se denominan agentes de exploración convencional. Un agente de exploración convencional almacena todos los componentes cliente y explora todos los archivos de manera local. 5-3

150 Manual del administrador de Worry-Free Business Security 9.0 SP3 La siguiente tabla ofrece una comparación entre los dos métodos de exploración. Tabla 5-2. Comparación entre la exploración convencional y smart scan Referencias de la comparación Comportamiento de la exploración Exploración convencional El Security Agent de exploración convencional realiza exploraciones en el cliente. Smart Scan El agente de smart scan realiza exploraciones en el cliente. Si el Security Agent no puede determinar el riesgo del archivo durante la exploración, el Security Agent verifica dicho riesgo enviando una consulta de exploración al servidor de exploración (en el caso de Security Agents conectados a Smart Scan Server) o a Trend Micro Smart Protection Network (para Security Agents desconectados de Smart Scan Server). Componentes en uso y actualizados Todos los componentes de Security Agent disponibles en la fuente de actualización, excepto Smart Scan Agent Pattern Nota El servidor de exploración es un servicio que se ejecuta en el servidor de Smart Scan. El Security Agent "almacena en caché" el resultado de dicha consulta para mejorar el rendimiento de la exploración. Todos los componentes disponibles en la fuente de actualización, excepto el patrón de virus 5-4

151 Gestionar la configuración de seguridad básica para los Security Agents Referencias de la comparación Fuente de actualización tradicional Exploración convencional Servidor ActiveUpdate Smart Scan Servidor ActiveUpdate Configurar los métodos de exploración Antes de empezar Al instalar el Security Server, se ofrece la posibilidad de activar el smart scan. Si activó esta opción, el método de exploración predeterminado será smart scan, lo que significa que todos los Security Agents utilizarán el método smart scan. De lo contrario, la exploración convencional es el valor predeterminado. Puede hacer que los agentes alternen entre estos métodos de exploración en función de las necesidades de cada momento. Por ejemplo: Si los agentes utilizan actualmente la exploración convencional y observan que la exploración requiere una cantidad de tiempo considerable para realizarse, pueden cambiar al método smart scan, que se ha diseñado para ser más rápido y eficiente. Otra situación en la que se puede cambiar al método smart scan es cuando el agente tiene poco espacio en disco, ya que los agentes que usan smart scan descargan unos tamaños de patrón inferiores y, en consecuencia, requieren menos espacio en disco. Antes de cambiar al método smart scan, acceda a Preferencias > Configuración general > pestaña Equipos de sobremesa/servidores y diríjase a la sección Configuración de la exploración general. La opción Desactivar Smart Scan Service debe estar desactivada. Cambie los agentes al método de exploración convencional si observa una reducción del rendimiento del Security Server, lo que podría significar que este no es capaz de gestionar todas las peticiones de exploración de los agentes en el momento apropiado. En la siguiente tabla se enumeran algunas consideraciones relacionadas con los cambios de método de exploración: 5-5

152 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 5-3. Consideraciones al alternar entre los métodos de exploración Consideración Conexión con el Security Server Número de Security Agents que se van a cambiar Detalles Asegúrese de que los Security Agents puedan conectarse al Security Server. Únicamente los agentes que estén conectados recibirán información sobre el cambio a un método de exploración diferente. Los agentes que estén desconectados recibirán la notificación en el momento en que se conecten. Debe comprobar también que el Security Server tenga los últimos componentes porque los agentes deben descargar componentes nuevos del Security Server, por ejemplo, el Smart Scan Agent Pattern para los agentes que cambien al modo smart scan y el Patrón de virus para los agentes que cambien al método de exploración convencional. Si se cambia un número relativamente bajo de Security Agents al mismo tiempo, se permite un uso más eficaz de los recursos del Security Server. El Security Server puede llevar a cabo otras tareas importantes mientras los agentes cambian los métodos de exploración. 5-6

153 Gestionar la configuración de seguridad básica para los Security Agents Consideración Tiempo Detalles Al cambiar Security Agents por primera vez, los agentes deben descargar la versión completa del Smart Scan Agent Pattern (para los agentes que cambien al modo smart scan) o el Patrón de virus (para los agentes que cambien a la exploración convencional). Considere la opción de realizar el cambio durante las horas de menor actividad para garantizar que el proceso de descarga se realiza en un corto periodo de tiempo. Además, desactive de forma temporal la opción "Actualizar ahora" de los agentes para evitar que se produzcan actualizaciones iniciadas por los usuarios. Vuelva a activar esta opción una vez que los usuarios hayan cambiado el método de exploración. Nota Posteriormente, los agentes descargarán versiones más pequeñas e incrementales del Smart Scan Agent Pattern o del Patrón de virus, siempre que realicen actualizaciones con frecuencia. Compatibilidad con IPv6 Un agente que solo utilice IPv6, que emplee el método smart scan y que esté desconectado no podrá enviar consultas directamente a Trend Micro Smart Protection Network. Es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para que los agentes de smart scan puedan enviar consultas. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Seleccione el método de exploración que desee. 5-7

154 Manual del administrador de Worry-Free Business Security 9.0 SP3 5. Haga clic en Guardar. Exploración en tiempo real para los Security Agents La exploración en tiempo real es una exploración continua y constante. Cada vez que se abre, descarga, copia o modifica un archivo, la exploración en tiempo real del Security Agent explora el archivo en busca de amenazas. Configurar la exploración en tiempo real para los Security Agents Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Antivirus/Antispyware. Aparecerá una nueva pantalla. 5. Seleccione Activar antivirus o antispyware en tiempo real. 6. Configurar los parámetros de exploración. Para obtener información detallada, consulte Explorar destinos y acciones para los Security Agents en la página 7-11: Nota Si concede a los usuarios el derecho de definir sus propias configuraciones de exploración, las configuraciones definidas por el usuario serán las que se usen durante la exploración. 5-8

155 Gestionar la configuración de seguridad básica para los Security Agents 7. Haga clic en Guardar. Cortafuegos El cortafuegos puede bloquear o permitir determinados tipos de tráfico de red creando una barrera entre el cliente y la red. Asimismo, el cortafuegos identifica patrones de los paquetes de red que pueden indicar un ataque a los clientes. WFBS tiene dos opciones para elegir a la hora de configurar el cortafuegos: el modo simple y el modo avanzado. El modo simple activa el cortafuegos con la configuración predeterminada recomendada por Trend Micro. Utilice el modo avanzado para personalizar la configuración del cortafuegos. Consejo Trend Micro recomienda desinstalar otros cortafuegos basados en software antes de implementar y activar el cortafuegos de Trend Micro. Configuración predeterminada del cortafuegos en modo simple El cortafuegos proporciona una configuración predeterminada como base para iniciar la estrategia de protección del cortafuegos del cliente. Esta configuración predeterminada incluye las condiciones más habituales que pueden existir en los clientes, como la necesidad de acceder a Internet y descargar o cargar archivos con FTP. Nota De forma predeterminada, WFBS desactiva el cortafuegos en todos los grupos y los agentes de Security Agent nuevos. 5-9

156 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 5-4. Configuración predeterminada del cortafuegos Configuración Nivel de seguridad Sistema de detección de intrusiones Mensaje de alerta (enviar) Baja Estado Se permite el tráfico entrante y saliente; solo se bloquean los virus de red. Desactivada Desactivada Tabla 5-5. Excepciones predeterminadas del cortafuegos Nombre de excepción Acción Dirección Protocolo Puerto DNS Permitir Entrante y saliente NetBIOS Permitir Entrante y saliente HTTPS Permitir Entrante y saliente HTTP Permitir Entrante y saliente Telnet Permitir Entrante y saliente SMTP Permitir Entrante y saliente FTP Permitir Entrante y saliente POP3 Permitir Entrante y saliente MSA Permitir Entrante y saliente TCP/UDP 53 TCP/UDP 137, 138, 139, 445 TCP 443 TCP 80 TCP 23 TCP 25 TCP 21 TCP 110 TCP 16372,

157 Gestionar la configuración de seguridad básica para los Security Agents Nombre de excepción Acción Dirección Protocolo Puerto LDAP Permitir Entrante y saliente TCP/UDP 389 Tabla 5-6. Configuración predeterminada del cortafuegos según la ubicación Ubicación Configuración del cortafuegos En la oficina Fuera de la oficina Desactivado Desactivado Filtrado de tráfico El cortafuegos filtra todo el tráfico de entrada y de salida, lo que permite bloquear determinados tipos de tráfico según los criterios que se indican a continuación: Dirección (entrada/salida) Protocolo (TCP/UDP/ICMP/ICMPv6) Puertos de destino Equipo de destino Buscar virus de red El cortafuegos también examina cada paquete en busca de virus de red. Inspección de estado El cortafuegos ofrece funciones de inspección de estado que supervisa todas las conexiones con el cliente y recuerda todos los estados de conexión. Puede identificar condiciones específicas en cualquier conexión, predice las acciones que pueden suceder a continuación y detecta las interrupciones en una conexión normal. Por tanto, un uso eficaz del cortafuegos no sólo implica crear perfiles y políticas, sino también analizar paquetes de conexiones y filtros que pasen a través del cortafuegos. 5-11

158 Manual del administrador de Worry-Free Business Security 9.0 SP3 Controlador del cortafuegos habitual El controlador del cortafuegos habitual, junto con la configuración del cortafuegos definida por el usuario, bloquea los puertos durante una epidemia. Además, utiliza el archivo de patrones de virus de red para detectar virus de red. Configurar el cortafuegos Configure el cortafuegos para la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las conexiones Fuera de la oficina. Para obtener información acerca del Conocimiento de ubicación, consulte Definir la configuración de los equipos de sobremesa/servidores en la página Trend Micro desactiva el cortafuegos de forma predeterminada. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. 4. Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina. 5. Seleccione Activar cortafuegos. 6. Seleccione una de las siguientes opciones: Modo simple: activa el cortafuegos con la configuración predeterminada. Para obtener más información, consulte Cortafuegos en la página 5-9. Modo avanzado: activa el cortafuegos con una configuración personalizada. 7. Si seleccionó Modo avanzado, actualice las siguientes opciones según sea necesario: Nivel de seguridad: El nivel de seguridad controla las reglas de tráfico que se aplicarán en puertos que no estén en la lista de excepciones. 5-12

159 Gestionar la configuración de seguridad básica para los Security Agents Alto: bloquea todo el tráfico entrante y saliente, excepto el tráfico permitido en la lista de excepciones. Medio: bloquea todo el tráfico entrante y saliente excepto el tráfico permitido y bloqueado por la lista de excepciones. Bajo: permite todo el tráfico entrante y saliente, excepto el tráfico bloqueado en la lista de excepciones. Esta es la configuración predeterminada del Modo sencillo. Configuración Activar el sistema de detección de intrusiones: El sistema de detección de intrusiones identifica patrones en paquetes de red que pueden indicar un ataque. Consulte Sistema de detección de intrusiones en la página D-4. Activar mensajes de alerta: cuando WFBS detecta una infracción, el cliente recibe una notificación al respecto. Excepciones: los puertos de la lista de excepciones no se bloquearán. Para ver información detallada, consulte Trabajar con las excepciones del cortafuegos en la página Haga clic en Guardar. Trabajar con las excepciones del cortafuegos La lista de excepciones del cortafuegos contiene entradas que pueden configurarse para permitir o bloquear diferentes tipos de tráfico de red según los números de puerto y las direcciones IP de los clientes. Durante una epidemia, el Security Server aplica las excepciones a las políticas de Trend Micro que se implementan automáticamente para proteger la red. Por ejemplo, durante una epidemia puede optar por bloquear todo el tráfico del cliente, incluido el del puerto HTTP (puerto 80). No obstante, si desea conceder a los clientes bloqueados el acceso a Internet, puede añadir el servidor proxy de Internet a la lista de excepciones. 5-13

160 Manual del administrador de Worry-Free Business Security 9.0 SP3 Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Seleccione Activar cortafuegos. 6. Seleccione Modo avanzado. 7. Para agregar una excepción: a. Haga clic en Agregar. Aparecerá una nueva pantalla. b. Escriba el nombre de la excepción. c. Junto a Acción, haga clic en una de las siguientes opciones: Permitir el tráfico de red Denegar el tráfico de red d. Junto a Dirección, haga clic en Entrante o Saliente para seleccionar el tipo de tráfico al que desea aplicar la configuración de excepción. e. Seleccione el tipo de protocolo de red de la lista Protocolo: Todos TCP/UDP (predeterminada) TCP UDP 5-14

161 Gestionar la configuración de seguridad básica para los Security Agents ICMP ICMPv6 f. Haga clic en una de las siguientes opciones para especificar los puertos de cliente: Todos los puertos (predeterminada) Intervalo: indique el rango de puertos. Puertos especificados: especifique puertos individuales. Utilice una coma (,) para separar cada uno de los números de puerto. g. En Equipos, seleccione las direcciones IP de los clientes que desee incluir en la excepción. Por ejemplo, si selecciona Denegar todo el tráfico de red (entrante y saliente) y escribe la dirección IP de un cliente de la red, todos los clientes que tengan esta excepción en su política no podrán enviar ni recibir datos a través de dicha dirección IP. Haga clic en una de las siguientes opciones: Todas las direcciones IP (predeterminada) IP única: escriba una dirección IPv4 o IPv6, o un nombre de host. Para resolver el nombre del host cliente con una dirección IP, haga clic en Resolver. Intervalo IP (para IPv4 o IPv6): escriba dos direcciones IPv4 o dos IPv6 en los campos De y Para. No se puede escribir una dirección IPv6 en un campo y una dirección IPv4 en el otro. Intervalo IP (para IPv6): escriba un prefijo y longitud de dirección IPv6. h. Haga clic en Guardar. 8. Para editar una excepción, haga clic en Editar y, a continuación, modifique la configuración en la pantalla que se muestra. 9. Para mover hacia arriba o hacia abajo una excepción en la lista, seleccione la excepción y haga clic en Subir o Bajar hasta que esté en la ubicación que desee. 5-15

162 Manual del administrador de Worry-Free Business Security 9.0 SP3 10. Para eliminar una excepción, selecciónela y haga clic en Eliminar. Desactivar el cortafuegos en un grupo de agentes Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Seleccione Desactivar el cortafuegos. 6. Haga clic en Guardar. Desactivar el cortafuegos en todos los agentes Procedimiento 1. Acceda a Preferencias > Configuración general > pestaña Equipo de sobremesa o servidor. 2. En Configuración del cortafuegos, seleccione Desactivar el cortafuegos y desinstalar los controladores. 3. Haga clic en Guardar. 5-16

163 Gestionar la configuración de seguridad básica para los Security Agents Reputación Web Reputación Web impide el acceso a las URL que están en la Web o incrustadas en mensajes de correo electrónico que plantean riesgos de seguridad. La función de reputación Web comprueba la reputación de las URL con respecto a los servidores de reputación Web de Trend Micro y establece una correlación de la reputación y la política de la reputación Web específica aplicada en el cliente. En función de la política en uso: El Security Agent bloqueará o permitirá el acceso al sitio Web. El Messaging Security Agent (Advanced solo) pondrá en cuarentena, eliminará o etiquetará los mensajes de correo electrónico que contengan URL maliciosas o permitirá que el mensaje se envíe si la URL es segura. La reputación Web envía una notificación por correo electrónico al administrador y una notificación en línea al usuario si se producen detecciones. Para los Security Agents, configure un nivel de seguridad distinto basado en la ubicación (en la oficina o fuera de la oficina) del cliente. Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura, agréguela a la lista de URL permitidas. Consejo Para ahorrar ancho de banda de la red, Trend Micro recomienda agregar los sitios web internos de la empresa a la lista de URL admitidas por reputación Web. Puntuación de reputación La "puntuación de reputación" de una URL determina si una URL es una amenaza Web. Trend Micro calcula la puntuación mediante métricas de propiedad. Trend Micro considera que una URL es una amenaza Web si su puntuación encaja en un umbral definido y considera que es segura si excede dicho umbral. Un Security Agent tiene tres niveles de seguridad que determinan si se permitirá o se bloqueará el acceso a una URL. Alto: Bloquea las páginas en los casos siguientes: 5-17

164 Manual del administrador de Worry-Free Business Security 9.0 SP3 Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas Sospechosa: Relacionada con spam o probablemente comprometida Sin probar: Mientras que Trend Micro comprueba de forma activa la seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se bloquea el acceso a las páginas sin comprobar se aumenta la seguridad, pero también se puede impedir el acceso a páginas seguras. Medio: Bloquea las páginas en los casos siguientes: Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas Bajo: Bloquea las páginas en los casos siguientes: Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Configurar la reputación Web para los Security Agents Reputación Web evalúa el posible riesgo de seguridad de todas las URL solicitadas mediante una consulta a la base de datos de Trend Micro Security en el momento de realizar cada solicitud HTTP/HTTPS. 5-18

165 Gestionar la configuración de seguridad básica para los Security Agents Nota (Solo Standard) Configure la reputación Web para el uso en la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las conexiones Fuera de la oficina. Para obtener información acerca del Conocimiento de ubicación, consulte Definir la configuración de los equipos de sobremesa/servidores en la página Si están activadas la función de prevención de explotación del navegador y de reputación Web, la primera analizará las URL que no consiga bloquear la segunda. La prevención de explotación del navegador explora los objetos insertados (por ejemplo:.jar,.class,.pdf,.swf,.html,.js) en las páginas web de las URL. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Reputación Web > En la oficina o Reputación Web > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Activar Reputación Web Nivel de seguridad: Alto, Medio o Bajo. Prevención de explotación del explorador: Bloquear páginas que contienen secuencias de comandos maliciosas 6. Haga clic en Guardar. 5-19

166 Manual del administrador de Worry-Free Business Security 9.0 SP3 Filtrado de URL El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un entorno de Internet más seguro. Puede elegir un nivel de protección de filtrado de URL o personalizar los tipos de sitios Web que desea filtrar. Nota Para proteger a los clientes, Trend Micro bloquea automáticamente todas las URL que contienen contenido que se considera ilegal en la mayor parte del mundo. Configuración del filtrado de URL Puede seleccionar tipos específicos de sitios Web para bloquearlos durante distintas horas del día si selecciona Personalizar. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Filtrado de URL. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Activar el filtrado de URL Intensidad del filtro Alto: Bloquea amenazas de seguridad conocidas o potenciales, contenido inapropiado u ofensivo, contenido que puede afectar a la productividad o al ancho de banda y páginas sin clasificar 5-20

167 Gestionar la configuración de seguridad básica para los Security Agents Medio: Bloquea amenazas de seguridad conocidas y contenido inapropiado Bajo: Bloquea las amenazas de seguridad conocidas Personalizada: Seleccione sus categorías e indique si desea bloquearlas durante el horario laboral o el tiempo libre. Reglas de filtrado: seleccione categorías enteras o categorías secundarias para bloquearlas. Horario laboral: cualquier día u horas que no se definan en Horario laboral se considera tiempo libre. 6. Haga clic en Guardar. URL aprobadas/bloqueadas La aprobación y el bloqueo automáticos de URL lo ayudan a controlar el acceso a los sitios Web y a crear un entorno de Internet más seguro. Identifique las URL permitidas o bloqueadas en Configuración general. También es posible crear listas personalizadas de URL permitidas/bloqueadas para grupos específicos. Cuando se selecciona la opción Personalizar URL aprobadas/ bloqueadas para este grupo, Security Agent utiliza la lista personalizada de URL permitidas o bloqueadas del grupo para controlar el acceso a los sitios Web. Configurar las URL permitidas/bloqueadas Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 5-21

168 Manual del administrador de Worry-Free Business Security 9.0 SP3 4. Haga clic en URL aprobadas/bloqueadas. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario. Personalizar URL permitidas/bloqueadas para este grupo: Las URL especificadas en esta lista sobrescribirán el resto de configuraciones. En el cuadro de texto URL para permitir, escriba las URL de los sitios Web que desea excluir de las verificaciones de reputación Web y filtrado de URL. Separe las URL mediante puntos y coma (;). Haga clic en Agregar. Consejo Haga clic en Importar desde configuración general para insertar todas las entradas. A continuación, puede personalizar las URL de este grupo. En el cuadro de texto URL para bloquear, escriba las URL de los sitios Web que desea bloquear durante el filtrado de URL. Separe las URL mediante puntos y coma (;). Haga clic en Agregar. Consejo 6. Haga clic en Guardar. Haga clic en Importar desde configuración general para insertar todas las entradas. A continuación, puede personalizar las URL de este grupo. Supervisión del comportamiento Los Security Agents supervisan constantemente los clientes para detectar modificaciones inusuales del sistema operativo o del software instalado. Los administradores (o los usuarios) pueden crear listas de excepciones que permitan que algunos programas se inicien mientras infringen un cambio supervisado, o que bloqueen completamente algunos programas. Asimismo, los programas con firma digital válida pueden ejecutarse en todo momento. 5-22

169 Gestionar la configuración de seguridad básica para los Security Agents Otra función de la supervisión de comportamiento consiste en impedir que se eliminen o modifiquen los archivos EXE y DLL. Cuando está habilitada la Supervisión de comportamiento, los usuarios crean excepciones para aceptar o bloquear programas específicos. Además, pueden optar por proteger de forma colectiva todos los programas QuickBooks. Configurar la supervisión del comportamiento Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. 4. Haga clic en Supervisión de comportamiento. 5. Actualice los siguientes datos según sea necesario: Activar Supervisión de comportamiento Nota Para permitir que los usuarios personalicen su configuración de Supervisión del comportamiento, vaya a Configuración de seguridad > {grupo} > Configurar > Derechos de agente > Supervisión del comportamiento y seleccione Permitir a los usuarios modificar la configuración de la Supervisión del comportamiento. Activar Bloqueo de comportamiento de malware para las amenazas conocidas y potenciales:: El bloqueo de comportamiento de malware se realiza con un conjunto de reglas internas que se define en los archivos de patrones. Estas reglas identifican el comportamiento sospechoso de ser una amenaza frecuente entre el malware y el que se sabe que lo es. Entre los ejemplos de este tipo de comportamiento se incluyen nuevos servicios que se ejecutan de forma repentina e inexplicable, los cambios en el cortafuegos o las modificaciones en los archivos del sistema. 5-23

170 Manual del administrador de Worry-Free Business Security 9.0 SP3 Amenazas conocidas: bloquea el comportamiento asociado a las amenazas conocidas. Amenazas conocidas y potenciales: bloquea el comportamiento asociado a las amenazas conocidas y realiza acciones contra el comportamiento potencialmente malicioso. Preguntar a los usuarios antes de ejecutar programas recién encontrados que se han descargado a través de HTTP (excluidas las plataformas de servidores): la supervisión del comportamiento complementa a la reputación Web a la hora de comprobar la prevalencia de los archivos que se han descargado a través de aplicaciones de correo electrónico o canales HTTP. Cuando se detecta un archivo "recién encontrado", los administradores pueden pedir el consentimiento a los usuarios antes de ejecutarlo si así lo desean. Trend Micro clasifica un programa como recién encontrado en función del número de detecciones de archivos o de la edad histórica del archivo que determina Smart Protection Network. Nota En los canales HTTP, se exploran los archivos ejecutables (.exe). En las aplicaciones de correo electrónico (solo Outlook y Windows Live Mail), se exploran los archivos ejecutables (.exe) de archivos archivados no protegidos con contraseña (zip/rar). Activar Protección de Intuit QuickBooks: protege todos los archivos y carpetas de Intuit QuickBooks de los cambios no autorizados realizados por otros programas. La activación de esta función no afecta a los cambios realizados desde los programas de Intuit QuickBooks, solo evitará que se realicen cambios en los archivos desde otras aplicaciones no autorizadas. Se admiten los siguientes productos: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online 5-24

171 Gestionar la configuración de seguridad básica para los Security Agents Nota Todos los archivos ejecutables Intuit tienen una firma digital y las actualizaciones de dichos archivos no estarán bloqueadas. Si otros programas intentan modificar el archivo binario Intuit, el agente mostrará un mensaje con el nombre del programa que está intentando actualizar los archivos binarios. Se puede autorizar a otros programas para que actualicen archivos Intuit. Para ello, añada el programa necesario a la lista de excepciones de supervisión de comportamiento en el agente. Después de la actualización, no se olvide de quitar el programa de la lista de excepciones. En Protección de ransomware, actualice lo siguiente si es necesario: Nota Protección de ransomware impide la modificación o el cifrado no autorizados de los archivos en los equipos por parte de amenazas «ransomware». Ransomware es un tipo de malware que limita el acceso a los archivos y exige un pago para restaurar los archivos afectados. Habilitar protección de documentos contra modificación o cifrado no autorizados: Protege los documentos frente a cambios no autorizados. Realizar copias de seguridad de archivos modificados por programas sospechosos: si la proteccón del documento está activada, se realiza copias de seguridad de forma automática de los archivos modificados por programas sospechosos. Habilitar inspección del programa para detectar y bloquear archivos ejecutables comprometidos: aumenta la detección mediante la supervisión de procesos para buscar comportamiento que se asemeje al ransomware. Activar bloqueo de procesos asociados comúnmente con ransomware: Protege los endpoints frente a ataques de ransomware bloqueando los procesos que suelen estar asociados a intentos de secuestro. 5-25

172 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota Para reducir la posibilidad de que WFBS detecte un proceso seguro como malicioso, asegúrese de que el equipo tenga acceso a Internet a fin de llevar a cabo procesos de verificación adicionales mediante servidores Trend Micro. Excepciones: las excepciones pueden ser una Lista de programas permitidos y una Lista de programas bloqueados. Los programas de la Lista de programas permitidos se pueden iniciar incluso si con ello se infringe un cambio supervisado, mientras que los programas de la Lista de programas bloqueados no se pueden iniciar jamás. Escribir la ruta completa del programa: Escriba la ruta completa de Windows o UNC del programa. Separe las distintas entradas mediante punto y coma. Haga clic en Agregar a lista de permitidos o Agregar a lista de bloqueados. Si es necesario, utilice variables de entorno para especificar rutas. Variable de entorno $windir$ $rootdir$ $tempdir$ $programdir$ Señala a... Carpeta Windows Carpeta raíz Carpeta temporal de Windows Carpeta Archivos de programa Lista de programas permitidos: Los programas de esta lista (un máximo de 100) pueden iniciarse. Haga clic en el icono correspondiente para eliminar una entrada. Lista de programas bloqueados: Los programas de esta lista (un máximo de 100) nunca pueden iniciarse. Haga clic en el icono correspondiente para eliminar una entrada. 6. Haga clic en Guardar. 5-26

173 Gestionar la configuración de seguridad básica para los Security Agents Programa de confianza No se supervisará si los programas incluidos en la Lista de programas de confianza presentan actividades de acceso a archivos sospechosos. Configurar programas de confianza Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Programa de confianza. Aparecerá una nueva pantalla. 5. Para excluir un programa de la supervisión de actividades de acceso a archivos sospechosos, escriba la ruta completa, usando una ruta de archivo específica, y haga clic en Agregar a la lista de programas de confianza. <nombre_unidad>:/<ruta>/<nombre_archivo> Ejemplo 1: C:\Windows\system32\regedit.exe Ejemplo 2: D:\backup\tool.exe Esto impide que los hackers usen nombres de programas de la lista de exclusión pero puestos en una ruta distinta para ejecutarse. 6. Haga clic en Guardar. 5-27

174 Manual del administrador de Worry-Free Business Security 9.0 SP3 Control del dispositivo El control de dispositivos regula el acceso a los dispositivos de almacenamiento externo y a los recursos de red conectados a los clientes. En concreto, el control de dispositivos restringe el acceso a cualquier tipo de dispositivo de almacenamiento que se conecte a través de una interfaz USB, excepto smartphones y cámaras digitales. Configurar el control de los dispositivos Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar política. Aparecerá una nueva pantalla. 4. Haga clic en Control de dispositivos. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Activar Control de dispositivo Activar la prevención de ejecución automática de USB Permisos: establezca los permisos para los dispositivos USB y los recursos de red. 5-28

175 Gestionar la configuración de seguridad básica para los Security Agents Tabla 5-7. Permisos de control del dispositivo Permisos Acceso total Modificar Leer y ejecutar Leída Sin acceso Archivos del dispositivo Operaciones permitidas: Copiar, Mover, Abrir, Guardar, Eliminar, Ejecutar Operaciones permitidas: Copiar, Mover, Abrir, Guardar, Eliminar Operaciones prohibidas: Ejecutar Operaciones permitidas: Copiar, Abrir, Ejecutar Operaciones prohibidas: Guardar, Mover, Eliminar Operaciones permitidas: Copiar, Abrir Operaciones prohibidas: Guardar, Mover, Eliminar, Ejecutar Operaciones prohibidas: todas las operaciones El dispositivo y los archivos que este contiene están visibles para el usuario (por ejemplo, desde el Explorador de Windows). Archivos entrantes Operaciones permitidas: guardar, mover y copiar Esto significa que un archivo se puede guardar, mover y copiar en el dispositivo. Operaciones permitidas: guardar, mover y copiar Operaciones prohibidas: guardar, mover y copiar Operaciones prohibidas: guardar, mover y copiar Operaciones prohibidas: guardar, mover y copiar Excepciones: aunque un usuario no tenga permiso de lectura para un dispositivo concreto, podrá ejecutar o abrir cualquier archivo o programa que aparezca en la lista de permitidos. 5-29

176 Manual del administrador de Worry-Free Business Security 9.0 SP3 Sin embargo, si está activada la prevención de ejecución automática, incluso si un archivo está incluido en la lista de permitidos, no se permitirá ejecutarlo. Para agregar una excepción a la lista de permitidos, escriba el nombre del archivo incluida la ruta o la firma digital y haga clic en Agregar a lista de permitidos. 6. Haga clic en Guardar. Herramientas del usuario Barra de herramientas antispam: filtra el spam en Microsoft Outlook, proporciona estadísticas y permite cambiar determinados parámetros de configuración. HouseCall: Determina la seguridad de una conexión inalámbrica comprobando la autenticidad de los puntos de acceso en función de la validez de sus identificadores de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Se mostrará un mensaje de advertencia emergente si la conexión no es segura. Case Diagnostic Tool: Trend Micro Case Diagnostic Tool (CDT) recopila la información de depuración necesaria de un producto de cliente siempre que se originan problemas. Activa y desactiva automáticamente el estado de depuración del producto y recopila los archivos necesarios de acuerdo con las categorías de problemas. Trend Micro utiliza esta información para solucionar problemas relacionados con el producto. Esta herramienta solo está disponible en la consola de Security Agent. Client Mover: utilice esta herramienta para transferir clientes entre servidores. Los servidores deben ser de la misma versión y el mismo tipo de idioma. Herramienta de comunicación cliente/servidor: use esta herramienta para solucionar problemas de comunicación cliente-servidor. 5-30

177 Gestionar la configuración de seguridad básica para los Security Agents Configurar las herramientas de usuario Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Herramientas del usuario. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Asesor de Wi-Fi: comprueba la seguridad de las redes inalámbricas en función de la validez de su identificador de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Barra de herramientas antispam: Filtra los mensajes spam en Microsoft Outlook. 6. Haga clic en Guardar. Derechos de agente Otorgue derechos de agente para que los usuarios puedan modificar la configuración de Security Agent en el cliente. Consejo si desea aplicar una política antivirus uniforme en toda la empresa, Trend Micro recomienda conceder derechos limitados a los usuarios. Esto garantiza que los usuarios no modifiquen la configuración de exploración ni descarguen el agente de seguridad. 5-31

178 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración de los privilegios del agente Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. 4. Haga clic en Derechos del agente. 5. Actualice los siguientes datos según sea necesario: Sección Antivirus/ Antispyware Privilegios Configuración de la exploración manual Configuración de la exploración programada Configuración de la exploración en tiempo real Omitir la exploración programada Cortafuegos Reputación Web: Continuar explorando Filtrado de URL: Continuar explorando Supervisión del comportamiento Programa de confianza Configuración del cortafuegos Mostrará un enlace que permite a los usuarios continuar explorando una URL maliciosa determinada hasta que el equipo se reinicie. Aun así, se mostrarán advertencias sobre otras URL maliciosas. Mostrará un enlace que permite a los usuarios continuar explorando una URL restringida determinada hasta que el equipo se reinicie. Aun así, se mostrarán advertencias sobre otras URL restringidas. Permite a los usuarios modificar la configuración de Supervisión de comportamiento. Permite a los usuarios modificar la lista Programa de confianza. 5-32

179 Gestionar la configuración de seguridad básica para los Security Agents Sección Configuración del proxy Privilegios Permite a los usuarios modificar la configuración del proxy. Nota Desactivar esta función restablecerá la configuración del proxy a sus opciones predeterminadas. Derechos de actualización Permite a los usuarios realizar actualizaciones manuales Usar Trend Micro ActiveUpdate como recurso secundario de actualizaciones Desactivar la implementación de parches Nota La implementación de correcciones, parches, parches de seguridad/revisiones críticas y service packs a un gran número de agentes simultáneamente puede aumentar de manera significativa el tráfico de red. Considere la posibilidad de activar esta opción en varios grupos de forma que pueda escalonar la implementación. Activar esta opción también desactiva las actualizaciones de compilaciones automáticas en agentes (por ejemplo, de la compilación beta a la compilación de lanzamiento de la versión actual del producto), pero no las actualizaciones de versiones automáticas (por ejemplo, de la versión 7.x a la versión actual). Para desactivar las actualizaciones de versiones automáticas, ejecute el paquete de instalación de Security Server y seleccione la opción para retrasar las actualizaciones. Seguridad del cliente Evitar que usuarios u otros procesos modifiquen los archivos de programa, registros y procesos de Trend Micro. 6. Haga clic en Guardar. 5-33

180 Manual del administrador de Worry-Free Business Security 9.0 SP3 Directorio de cuarentena Si la acción para un archivo infectado es "Poner en cuarentena", el Security Agent cifrará el archivo y lo moverá temporalmente a una carpeta de cuarentena ubicada en: <Carpeta de instalación de Security Agent>\quarantine para agentes actualizados a partir de la versión 6.x o las anteriores <Carpeta de instalación de Security Agent>\SUSPECT\Backup para agentes recién instalados y aquellos que se hayan actualizado a partir de la versión 7.x o las posteriores. El Security Agent envía el archivo infectado a un directorio de cuarentena central, que se puede configurar desde la consola Web, mediante Configuración de seguridad > {Grupo} > Configurar > Poner en cuarentena. Directorio de cuarentena central predeterminado El directorio de cuarentena central predeterminado se encuentra en el Security Server. Posee un formato de URL y contiene la dirección IP o el nombre de host del Security Server, por ejemplo, La ruta absoluta equivalente es <Carpeta de instalación de Security Server>\PCCSRV\Virus. Si el servidor administra agentes tanto IPv4 como IPv6, utilice el nombre de host para que todos los agentes puedan enviar archivos en cuarentena al servidor. Si el servidor solo tiene dirección IPv4 o solo se identifica mediante ella, únicamente los agentes que utilicen solo IPv4 y los de doble pila pueden enviar archivos en cuarentena al servidor. Si el servidor solo tiene dirección IPv6 o solo se identifica mediante ella, únicamente los agentes que utilicen solo IPv6 y los de doble pila pueden enviar archivos en cuarentena al servidor. Directorio de cuarentena central alternativo Puede especificar un directorio de cuarentena central alternativo; para ello, escriba la ubicación en formato de URL, ruta UNC o ruta de archivo absoluta. Los Security Agents deberían poder conectarse a este directorio. Por ejemplo, el directorio debe tener una dirección IPv6 si va a recibir archivos en cuarentena de agentes de doble pila y de agentes que solo utilicen IPv6. Trend Micro recomienda designar un directorio de doble 5-34

181 Gestionar la configuración de seguridad básica para los Security Agents pila, identificar el directorio por su nombre de host y utilizar la ruta UNC al escribir el directorio. Directrices para especificar el directorio de cuarentena central Consulte la siguiente tabla para ver información sobre cuándo utilizar la URL, la ruta UNC o la ruta de archivos absoluta: Tabla 5-8. Directorio de cuarentena Directorio de cuarentena Format o aceptad o Ejemplo Notas Directorio predeterminado en el Security Server URL Ruta UNC <nombre de host o dirección IP del servidor> \\<nombre de host o dirección IP del servidor> \ ofcscan\virus Si decide mantener el directorio predeterminado, defina la configuración de mantenimiento para él (por ejemplo, el tamaño de la carpeta de cuarentena) en Preferencias > Configuración general > pestaña Sistema > sección Mantenimiento de la cuarentena. Otro directorio en el Security Server Ruta UNC \\<nombre de host o dirección IP del servidor> \ D$\Quarantined Files Si no desea usar el directorio predeterminado (por ejemplo, si no tiene suficiente espacio en disco), escriba la ruta UNC a otro directorio. En tal caso, escriba la ruta absoluta equivalente en Preferencias > Configuración general > pestaña Sistema > sección Mantenimiento de la cuarentena para que la configuración de mantenimiento surta efecto. 5-35

182 Manual del administrador de Worry-Free Business Security 9.0 SP3 Directorio de cuarentena Format o aceptad o Ejemplo Notas Directorio de otro equipo del Security Server (en caso de disponer de otros Security Servers en la red) Otro equipo en la red URL Ruta UNC <nombre de host o dirección IP del servidor2> \\<nombre de host o dirección IP del servidor2>\ ofcscan\virus Ruta UNC \ \<nombre_equipo> \temp Asegúrese de que los agentes se puedan conectar a este directorio. Si especifica un directorio incorrecto, el agente guardará los archivos en cuarentena hasta que se especifique un directorio de cuarentena correcto. En los registros de virus/malware del servidor, el resultado de la exploración es "No se puede enviar el archivo en cuarentena a la carpeta de cuarentena indicada". Si utiliza una ruta UNC, asegúrese de que la carpeta del directorio de cuarentena está compartida con el grupo "Todos" y que este grupo tiene asignados derechos de escritura y lectura. Otro directorio en el cliente Ruta absoluta C:\temp Especifique una ruta absoluta en los siguientes casos: Desea que los archivos en cuarentena residan únicamente en el cliente. No desea que los agentes almacenen los archivos en el directorio predeterminado en el cliente. Si no existe la ruta, el Security Agent la crea automáticamente. 5-36

183 Gestionar la configuración de seguridad básica para los Security Agents Configurar el directorio de cuarentena Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Poner en cuarentena. Aparecerá una nueva pantalla. 5. Configure el directorio de cuarentena. Para obtener más información, consulte Directorio de cuarentena en la página Haga clic en Guardar. 5-37

184

185 Capítulo 6 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) En este capítulo se describen las características del Messaging Security Agent y se explica cómo configurar las opciones de exploración en tiempo real, antispam, filtrado de contenidos, bloqueo de archivos adjuntos y mantenimiento de la cuarentena para el agente. 6-1

186 Manual del administrador de Worry-Free Business Security 9.0 SP3 Messaging Security Agents Los Messaging Security Agents protegen los servidores Microsoft Exchange. El agente ayuda a evitar las amenazas de correo electrónico mediante la exploración del correo que entra al almacén de correo de Microsoft Exchange y el que sale de él, además del correo que se envía entre el servidor Microsoft Exchange y destinos externos. Además, Messaging Security Agent puede: Reducir el spam Bloquear mensajes de correo electrónico según su contenido Bloquear o restringir mensajes de correo electrónico con archivos adjuntos Detectar URL maliciosas en el correo electrónico Impedir la pérdida de datos confidenciales Información importante acerca de los Messaging Security Agents Messaging Security Agent solo se puede instalar en servidores Microsoft Exchange. Messaging Security Agent no es compatible con algunas características de Microsoft Exchange Server Enterprise, como el grupo de disponibilidad de datos (DAG). El árbol Grupos de seguridad en la consola Web muestra todos los Messaging Security Agents. No se pueden combinar varios Messaging Security Agent en un grupo; cada Messaging Security Agent debe administrarse de manera individual. WFBS utiliza el Messaging Security Agent para recopilar información de seguridad de los servidores Microsoft Exchange. Por ejemplo, el Messaging Security Agent notifica las detecciones de spam o la finalización de la actualización de componentes al Security Server. Esta información se muestra en la consola Web. El Security Server también usa esta información para generar registros e informes sobre el estado de seguridad de los servidores Microsoft Exchange. cada amenaza detectada genera una entrada/notificación de registro. Esto significa que, si Messaging Security Agent detecta múltiples amenazas en un solo mensaje de correo electrónico, se generarán varias entradas y notificaciones de registro. Asimismo puede ocurrir que se detecte la misma amenaza varias veces, 6-2

187 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) especialmente si se utiliza el modo de caché en Outlook Cuando el modo de caché está activado, podría detectarse la misma amenaza en la carpeta de cola para la transferencia y en la carpeta Elementos enviados o en la carpeta Bandeja de salida. En los equipos que ejecuten Microsoft Exchange Server 2007, el Messaging Security Agent utiliza una base de datos de SQL Server. A fin de evitar problemas, los servicios del Messaging Security Agent están diseñados para depender de la instancia del servicio SQL Server MSSQL$SCANMAIL. Siempre que esta instancia se detenga o reinicie, se detendrán igualmente los siguientes servicios del Messaging Security Agent: ScanMail_Master ScanMail_RemoteConfig Reinicie manualmente estos servicios si MSSQL$SCANMAIL se ha detenido o reiniciado. Hay distintos sucesos que pueden causar el reinicio o la detención de MSSQL$SCANMAIL (incluida la actualización de SQL Server). Cómo explora Messaging Security Agent los mensajes de correo electrónico El Messaging Security Agent usa la siguiente secuencia para explorar los mensajes de correo electrónico: 1. Explora en busca de spam (antispam). a. Compara el mensaje de correo electrónico con la lista de remitentes permitidos/bloqueados del administrador. b. Busca casos de phishing. c. Compara el mensaje de correo electrónico con la lista de excepciones suministrada por Trend Micro. d. Compara el mensaje de correo electrónico con la base de datos de firmas de spam. e. Aplica reglas de exploración heurísticas. 6-3

188 Manual del administrador de Worry-Free Business Security 9.0 SP3 2. Busca infracciones de las reglas del filtrado de contenido. 3. Busca archivos adjuntos que excedan los parámetros definidos por el usuario. 4. Explora en busca de virus/malware (antivirus). 5. Explora en busca de URL maliciosas Configuración predeterminada de Messaging Security Agent Tenga en cuenta las opciones de la tabla para optimizar la configuración del Messaging Security Agent. Tabla 6-1. Acciones predeterminadas de Trend Micro para Messaging Security Agent Opción de exploración Antispam Spam Exploración en tiempo real Poner el mensaje en cuarentena en la carpeta de spam del usuario (opción predeterminada, si se ha instalado la característica de correo electrónico no deseado de Outlook o End User Quarantine) Exploraciones manual y programada No aplicable Phish Eliminar todo el mensaje No aplicable Filtrado de contenido Filtrar mensajes que coincidan con cualquier condición definida Filtrar mensajes que coincidan con todas las condiciones definidas Poner en cuarentena todo el mensaje Poner en cuarentena todo el mensaje Sustituir No aplicable 6-4

189 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Opción de exploración Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares Crear una excepción para cuentas de correo electrónico particulares Exploración en tiempo real Poner en cuarentena todo el mensaje Omitir Exploraciones manual y programada Sustituir Omitir Bloqueo de archivos adjuntos Acción Otros Archivos cifrados y protegidos mediante contraseña Archivos excluidos (archivos con más restricciones de exploración) Sustituir archivo adjunto por texto o archivo Omitir (al establecer la acción en Omitir, se omiten los archivos cifrados y los protegidos mediante contraseña y no se registra el suceso) Omitir (al establecer la acción en Omitir, se omiten los archivos o el cuerpo del mensaje que superan las restricciones de exploración especificadas y no se registra el suceso) Sustituir archivo adjunto por texto o archivo Omitir (al establecer la acción en Omitir, se omiten los archivos cifrados y los protegidos mediante contraseña y no se registra el suceso) Omitir (al establecer la acción en Omitir, se omiten los archivos o el cuerpo del mensaje que superan las restricciones de exploración especificadas y no se registra el suceso) Exploración en tiempo real para los Messaging Security Agents La exploración en tiempo real es una exploración continua y constante. La exploración en tiempo real en el Messaging Security Agent (Advanced solo) protege todos los puntos de entrada de virus conocidos mediante la exploración de todos los mensajes 6-5

190 Manual del administrador de Worry-Free Business Security 9.0 SP3 entrantes, los mensajes SMTP, los documentos publicados en carpetas públicas y los archivos replicados desde otros servidores Microsoft Exchange. Configurar la exploración en tiempo real para Messaging Security Agent Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Antivirus. Aparecerá una nueva pantalla. 5. Seleccione Activar antivirus en tiempo real. 6. Configurar los parámetros de exploración. Para obtener más información, consulte Explorar destinos y acciones para los Messaging Security Agents en la página Haga clic en Guardar. Puede configurar las personas que reciben notificaciones cuando tiene lugar un suceso. Consulte Configurar sucesos de notificaciones en la página 9-3. Antispam WFBS ofrece dos formas de combatir el spam: la reputación del correo electrónico y la exploración del contenido. Messaging Security Agent utiliza los siguientes componentes para filtrar los mensajes de correo electrónico en busca de spam e incidentes de phishing: 6-6

191 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Motor antispam de Trend Micro Archivos de patrones de spam de Trend Micro Trend Micro actualiza frecuentemente el motor y el archivo de patrones y permite descargarlos. Security Server puede descargar estos componentes mediante una actualización manual o programada. El motor antispam usa firmas de spam y reglas heurísticas para filtrar los mensajes de correo electrónico. Explora los mensajes de correo electrónico y asigna una puntuación de spam a cada uno según el grado de coincidencia con las reglas y los patrones del archivo de patrones. Messaging Security Agent compara la puntuación de spam con el nivel de detección de spam definido por el usuario. Cuando la puntuación de spam supera el nivel de detección, el agente realiza una acción contra el spam. Por ejemplo: los creadores de spam suelen utilizar numerosos signos de admiración o más de un signo seguido (!!!!) en sus mensajes. Cuando Messaging Security Agent detecta un mensaje que usa signos de exclamación de este modo, aumenta la puntuación de spam de ese mensaje de correo electrónico. Consejo además de utilizar la función antispam para filtrar el spam, puede configurar un filtrado de contenidos para filtrar el encabezado del mensaje, el asunto, el cuerpo y los archivos adjuntos en busca de spam y contenido no deseado. Los usuarios no pueden modificar el método que usa el motor antispam para asignar las puntuaciones de spam, pero pueden ajustar los niveles de detección que usa Messaging Security Agent para decidir si un mensaje es spam o no. Nota De forma automática, Microsoft Outlook puede filtrar los mensajes que el Messaging Security Agent detectó como spam y enviarlos a la carpeta de correo no deseado. Reputation La tecnología Reputation determina si un correo es spam en función de la reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera parte del 6-7

192 Manual del administrador de Worry-Free Business Security 9.0 SP3 trabajo que es responsabilidad del Security Server. Cuando Reputation está activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP entrante para discernir si la dirección IP de origen está limpia o si, por el contrario, está incluida en alguna lista como un vector de spam conocido. Reputation consta de dos niveles de servicio. Estos niveles son: Estándar: El servicio Estándar utiliza una base de datos que rastrea la reputación de unos dos billones de direcciones IP. Las direcciones IP que constantemente están asociadas a la entrega de mensajes de spam se agregan a la base de datos y casi siempre permanecen en ella. Avanzado: El nivel de servicio Avanzado es un servicio DNS basado en consultas igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos de reputaciones estándar junto con la base de datos de reputaciones en tiempo real dinámica que bloquea los mensajes procedentes de orígenes sospechosos o conocidos de spam. Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP bloqueada o sospechosa, Reputation la detiene antes de que alcance la infraestructura de mensajería del destinatario. Configurar Reputation Puede configurar Reputation para bloquear mensajes procedentes de fuentes de spam conocidas o sospechosas de serlo. Además, puede crear exclusiones para permitir o bloquear mensajes de otros remitentes. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Antispam > Reputation. Aparecerá una nueva pantalla. 6-8

193 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) 5. En la pestaña Destino, actualice la siguiente información según sea necesario: Activar el antispam en tiempo real ( Reputation) Nivel de servicio: Estándar Avanzado Direcciones IP permitidas: Los mensajes de correo electrónico procedentes de estas direcciones IP no se bloquearán nunca. Escriba la dirección IP que desee permitir y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones IP desde un archivo de texto. Para eliminar una dirección IP, selecciónela y haga clic en Eliminar. Direcciones IP bloqueadas: Los mensajes de correo electrónico procedentes de estas direcciones IP se bloquearán siempre. Escriba la dirección IP que desee bloquear y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones IP desde un archivo de texto. Para eliminar una dirección IP, selecciónela y haga clic en Eliminar. 6. Haga clic en Guardar. 7. Vaya a: para ver informes. Nota Reputation es un servicio basado en Web. Los administradores solo pueden configurar el nivel de servicio desde la consola Web. Exploración del contenido Exploración del contenido determina qué es spam en función del contenido del mensaje, en lugar de usar la IP que lo originó. Messaging Security Agent utiliza el motor antispam y el archivo de patrones de spam de Trend Micro para filtrar el spam de cada mensaje de correo electrónico antes de entregarlo al almacén de información. El servidor Microsoft Exchange no procesará el correo spam rechazado y los mensajes no llegan a los buzones de correo del usuario. 6-9

194 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota No confunda la exploración de contenido (antispam basada en firmas y heurística) con filtrado de contenido (exploración y bloqueo de correos electrónicos basado en palabras clave categorizadas). Consulte Filtrado de contenido en la página Configurar la exploración del contenido El Messaging Security Agent puede detectar los mensajes de spam en tiempo real y realizar acciones para proteger los servidores Microsoft Exchange. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Antispam > Exploración del contenido. Aparecerá una nueva pantalla. 5. Seleccione Activar el antispam en tiempo real. 6. seleccione la pestaña Destino para seleccionar el método y la tasa de detección de spam que Messaging Security Agent utilizará para buscar spam: a. Seleccione el nivel de detección, bajo, medio o alto, desde la lista de tasa de detección de spam. Messaging Security Agent utiliza este valor para filtrar todos los mensajes. Alto: Este es el nivel más estricto de detección de spam. Messaging Security Agent supervisa todos los mensajes de correo electrónico en busca de archivos o texto sospechosos pero aumenta la tasa de falsos positivos. Los falsos positivos son mensajes de correo electrónico que Messaging Security Agent filtra como spam cuando se trata en realidad de mensajes legítimos. 6-10

195 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Medio: esta es la configuración predeterminada y recomendada. En un nivel elevado de detección de spam, Messaging Security Agent supervisa con una tasa moderada de filtrado de falsos positivos. Bajo: Es el nivel más flexible de detección de spam. Messaging Security Agent solo filtra los mensajes de spam más obvios y comunes pero la tasa de filtrado de falsos positivos es muy baja. Filtrado según la puntuación de spam. b. Haga clic en Detectar incidentes de phishing para que el Messaging Security Agent filtre incidentes de phishing. Para obtener más información, consulte Incidentes de phishing en la página c. Añada las direcciones a las listas de Remitentes permitidos y Remitentes bloqueados. Para obtener más información, consulte Listas de remitentes permitidos y bloqueados en la página Remitentes permitidos: los mensajes de correo electrónico procedentes de estas direcciones o nombres de dominio no se bloquearán nunca. Escriba las direcciones o nombres de dominio que desee aprobar y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones o nombres de dominio desde un archivo de texto. Para eliminar direcciones o nombres de dominio, seleccione la dirección y haga clic en Eliminar. Remitentes bloqueados: los mensajes de correo electrónico procedentes de estas direcciones o nombres de dominio se bloquearán siempre. Escriba las direcciones o nombres de dominio que desee bloquear y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones o nombres de dominio desde un archivo de texto. Para eliminar direcciones o nombres de dominio, seleccione la dirección y haga clic en Eliminar. Nota el administrador de Microsoft Exchange mantiene una lista independiente de remitentes permitidos y bloqueados para el servidor Microsoft Exchange. Si un usuario final crea un remitente permitido, pero ese remitente se encuentra en la lista de remitentes bloqueados del administrador, entonces Messaging Security Agent detectará los mensajes de ese remitente bloqueado como spam y les aplicará la acción correspondiente. 6-11

196 Manual del administrador de Worry-Free Business Security 9.0 SP3 7. Haga clic en la pestaña Acción para configurar las acciones que realizará el Messaging Security Agent cuando detecte un mensaje de spam o un incidente de phishing. Nota Para obtener información detallada acerca de las acciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página Messaging Security Agent realizará una de las siguientes acciones en función de la configuración definida: Poner en cuarentena el mensaje en la carpeta para spam del servidor Poner el mensaje en cuarentena en la carpeta para spam del usuario Nota Si elige esta acción, configure la herramienta End User Quarantine. Para obtener más información, consulte Configurar el mantenimiento del spam en la página Eliminar todo el mensaje Etiquetar y entregar 8. Haga clic en Guardar. Listas de remitentes permitidos y bloqueados Una lista de remitentes permitidos es una lista de direcciones de correo electrónico de confianza. El Messaging Security Agent no filtra en busca de spam los mensajes provenientes de estas direcciones, excepto cuando la opción Detectar incidentes de phishing está activada. Cuando está activada la opción Detectar incidentes de phishing y el agente detecta un incidente de phishing en un mensaje de correo electrónico, entonces no se entregará ese mensaje aunque pertenezca a la lista de remitentes permitidos. Una lista de remitentes bloqueados es una lista de direcciones de correo electrónico sospechosas. El agente siempre clasifica los mensajes de remitentes bloqueados como spam y les aplica la acción correspondiente. 6-12

197 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Existen dos listas de remitentes permitidos: una para el administrador de Microsoft Exchange y otra para el usuario final. Las listas de remitentes permitidos y bloqueados del administrador de Microsoft Exchange (en la pantalla Antispam) controlan el modo en que Messaging Security Agent trata los mensajes de correo electrónico vinculados al servidor Microsoft Exchange. El usuario final puede gestionar la carpeta de correo spam que se crea durante la instalación. Las listas de los usuarios finales se aplican solo a los mensajes vinculados al almacén de correo del servidor de cada usuario final. Directrices generales Las listas de remitentes permitidos y bloqueados de un servidor Microsoft Exchange tienen preferencia sobre las de un cliente. Por ejemplo, el remitente "usuario@ejemplo.com" se encuentra en la lista de remitentes bloqueados del administrador, pero el usuario final ha incluido esta dirección en su lista de remitentes permitidos. Los mensajes de ese remitente llegan al almacén de Microsoft Exchange y Messaging Security Agent los detecta como spam y realiza la acción correspondiente. Si el agente realiza la acción "Poner en cuarentena el mensaje en la carpeta para spam del usuario", intentará entregar el mensaje en la carpeta para spam del usuario final, pero, en vez de ello, el mensaje se redireccionará a la bandeja de entrada del usuario final porque el usuario ha autorizado a ese remitente. Cuando se utiliza Outlook, hay un límite de tamaño de las reglas para la cantidad y el tamaño de las direcciones de la lista. Con el fin de evitar un error del sistema, Messaging Security Agent limita la cantidad de direcciones que un usuario final puede incluir en su lista de remitentes permitidos (este límite se calcula según la longitud y el número de direcciones de correo electrónico). Coincidencia de caracteres comodín Messaging Security Agent admite la coincidencia de caracteres comodín para las listas de remitentes permitidos y bloqueados. Utiliza un asterisco (*) como el carácter comodín. Messaging Security Agent no es compatible con la coincidencia de caracteres comodín en la parte del nombre de usuario. Sin embargo, si escribe un patrón como *@trend.com, el agente lo tratará Solo puede usar un comodín si cumple las siguientes condiciones: 6-13

198 Manual del administrador de Worry-Free Business Security 9.0 SP3 Está situado junto a un solo punto y es el primer carácter o el último de una cadena. Está situado a la izquierda de un y es el primer carácter de la cadena. Toda parte que falte al principio o al final de la cadena cumple la misma función que un comodín. Tabla 6-2. Coincidencia de caracteres comodín en direcciones de correo electrónico Patrón Ejemplos de coincidencia Ejemplos de no coincidencia juan@ejemplo.com juan@ejemplo.com Cualquier dirección distinta al *@ejemplo.com ejemplo.com *.ejemplo.com ejemplo.com.* juan@ejemplo.com maria@ejemplo.com juan@ejemplo.com juan@ms1.ejemplo.com maria@ms1.rd.ejemplo.co m maria@ejemplo.com juan@ms1.ejemplo.com maria@ms1.rd.ejemplo.co m jose@ms1.ejemplo.com juan@ejemplo.com.us juan@ms1.ejemplo.com.us juan@ms1.rd.ejemplo.com. us maria@ejemplo.com.us juan@ms1.ejemplo.com juan@ejemplo.com.us maria@ejemplo.com.us juan@ejemplo.com.us maria@miejemplo.com.us jose@ejemplo.comon juan@ejemplo.com juan@miejemplo.com.us maria@ms1.ejemplo.comon juan@ejemplo.com maria@ms1.ejemplo.com juan@miejemplo.com.us 6-14

199 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Patrón *.ejemplo.com.* Ejemplos de coincidencia us s Ejemplos de no coincidencia juan@ms1.ejemplo.com *.*.*.ejemplo.com *****.ejemplo.com *ejemplo.com ejemplo.com* Lo mismo ocurre con "*.ejemplo.com" Patrones no válidos Filtrado de contenido El filtrado de contenido evalúa los mensajes de correo electrónico entrantes y salientes según las reglas que ha definido el usuario. Cada regla contiene una lista de palabras clave y frases. El filtrado de contenido evalúa el encabezado y/o el contenido de los mensajes comparando éstos con la lista de palabras clave. Cuando el filtrado de contenido encuentra una palabra que coincide con una palabra clave, puede realizar una acción para evitar que el contenido no deseado se entregue a los clientes de Microsoft Exchange. Messaging Security Agent puede enviar notificaciones siempre que realiza una acción frente a contenido no deseado. Nota No confunda la exploración de contenido (antispam basada en firmas y heurística) con filtrado de contenido (exploración y bloqueo de correos electrónicos basado en palabras clave categorizadas). Consulte Exploración del contenido en la página 6-9. El filtrado de contenido permite a los administradores evaluar y controlar la entrega de correo electrónico según el propio texto del mensaje. Esta característica se puede utilizar 6-15

200 Manual del administrador de Worry-Free Business Security 9.0 SP3 para supervisar los mensajes entrantes y salientes y, asimismo, para comprobar la existencia de contenido molesto, ofensivo o censurable en algún aspecto. El filtrado de contenidos también dispone de una función de comprobación de sinónimos para ampliar el alcance de las políticas. Por ejemplo, se pueden crear reglas para buscar los siguientes elementos: Lenguaje sexual molesto Lenguaje racista Spam incrustado en el cuerpo de un mensaje de correo electrónico Nota el filtrado de contenido no está activado de forma predeterminada. Gestionar las reglas del filtrado de contenidos El Messaging Security Agent muestra todas las reglas de filtrado de contenido en la pantalla Filtrado de contenido. Para acceder a esta pantalla: Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Configurar > Filtrado de contenido Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido Procedimiento 1. Podrá ver información resumida sobre las reglas, por ejemplo: 6-16

201 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Regla: WFBS incluye reglas predeterminadas que filtran contenido en función de las siguientes categorías: Blasfemias, Discriminación racial, Discriminación sexual, Bulos y Correo en cadena. Estas reglas están desactivadas de forma predeterminada. Puede modificarlas en función de sus necesidades o bien eliminarlas. Si ninguna de esas reglas cumple sus requisitos, añada sus propias reglas. Acción: El Messaging Security Agent realiza esta acción cuando detecta contenido no deseado. Prioridad: El Messaging Security Agent aplica los filtros en la secuencia que determina el orden indicado en esta página. Activado: Un icono verde indica que la regla está activada. Si el icono es rojo, significa que la regla está desactivada. 2. Realice las siguientes tareas: Tarea Activar/desactivar el filtrado de contenido Agregar una regla Pasos Marque o desmarque la opción Activar el filtrado de contenido en tiempo real en la parte superior de la pantalla. Haga clic en Agregar. Se abre una nueva pantalla en la que podrá elegir el tipo de regla que desea agregar. Para conocer los detalles, consulte Tipos de reglas para filtrar contenidos en la página

202 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Pasos Modificar una regla a. Haga clic en el nombre de la regla. Se abrirá una nueva pantalla. b. Las opciones disponibles en la pantalla dependen del tipo de regla. Para determinar el tipo de regla, consulte la "pista" situada en la parte superior de la pantalla y tome nota del segundo elemento de la pista. Por ejemplo: Filtrado de contenido > Coincidir con cualquier regla de condición > Editar regla Para obtener detalles sobre las configuraciones de regla que puede modificar, consulte los siguientes temas: Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición en la página 6-24 Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones en la página 6-21 Nota Este tipo de regla no está disponible para las exploraciones manuales y programadas de filtrado de contenidos. Agregar reglas de supervisión para el filtrado de contenido en la página 6-27 Crear excepciones para las reglas de filtrado de contenidos en la página

203 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Tarea Reordenar reglas Pasos El Messaging Security Agent aplica las reglas de filtrado de contenidos a los mensajes de correo electrónico según el orden de aparición en la pantalla Filtrado de contenidos. Puede configurar el orden de aplicación de las reglas. El agente filtra todos los mensajes de correo según cada regla hasta que una infracción de contenido activa una acción que detiene la exploración (como eliminar o poner en cuarentena). Es posible modificar el orden de estas reglas para optimizar el filtrado de contenido. a. Seleccione una casilla de verificación que se corresponda con la regla a la que desea cambiar el orden. b. Haga clic en Reordenar. Aparecerá un cuadro alrededor del número de orden de la regla. c. En el cuadro de la columna Prioridad, elimine el número de orden existente y escriba uno nuevo. Nota Asegúrese de introducir un número que no sea superior al número total de reglas de la lista. Si introduce un número superior al número total de reglas, WFBS omite la entrada y no cambia el orden de la regla. d. Haga clic en Guardar reordenación. La regla se desplaza al nivel de prioridad especificado y los números de orden de todas las demás reglas cambian convenientemente. Por ejemplo, si selecciona el número de regla 5 y lo cambia por el número 3, entonces los números de regla 1 y 2 seguirán siendo los mismos, pero las reglas con el número 3 en adelante aumentarán en uno. Activar/Desactivar reglas Haga clic en el icono que hay en la columna Activado. 6-19

204 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Eliminar las reglas Pasos Cuando se elimina una regla, Messaging Security Agent actualiza el orden del resto de las reglas para reflejar el cambio. Nota la eliminación de una regla es una operación irreversible, por lo que es conveniente plantearse deshabilitarlas en lugar de eliminarlas. 3. Haga clic en Guardar. a. Seleccione una norma. b. Haga clic en Eliminar. Tipos de reglas para filtrar contenidos Se pueden crear reglas que filtren los mensajes de correo según las condiciones que especifique o según las direcciones de correo del remitente o del destinatario. Las condiciones que se pueden especificar en la regla son: qué campos del encabezado explorar, si se buscará o no en el cuerpo de un mensaje y qué palabras clave se deben buscar. Puede crear reglas que permitan hacer lo siguiente: Filtrar mensajes que coincidan con cualquier condición definida: Con este tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una exploración. Para obtener más información, consulte Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición en la página Filtrar mensajes que coincidan con todas las condiciones definidas: Con este tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una exploración. Para obtener más información, consulte Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones en la página

205 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota Este tipo de regla no está disponible para las exploraciones manuales y programadas de filtrado de contenidos. Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares: Este tipo de regla supervisa el contenido de los mensajes de cuentas de correo electrónico particulares. Las reglas de supervisión son similares a las reglas de filtrado de contenido generales, excepto por el hecho de que solo filtran el contenido de cuentas de correo electrónico específicas. Para obtener más información, consulte Agregar reglas de supervisión para el filtrado de contenido en la página Crear excepciones para cuentas de correo electrónico particulares: Este tipo de regla crea una excepción para una cuenta de correo electrónico determinada. Cuando se excluye una cuenta de correo electrónico en concreto, esta cuenta no se filtrará en busca de infracciones de las reglas de contenido. Para obtener más información, consulte Crear excepciones para las reglas de filtrado de contenidos en la página Tras haber creado una regla, el Messaging Security Agent comienza a filtrar todos los mensajes entrantes y salientes según dicha regla. Cuando se produce una infracción de contenido, Messaging Security Agent realiza una acción contra el mensaje. La acción que realiza Security Server también depende de las acciones definidas en la regla. Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones Este tipo de regla no está disponible para las exploraciones manuales y programadas de filtrado de contenidos. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. 6-21

206 Manual del administrador de Worry-Free Business Security 9.0 SP3 Aparecerá una nueva pantalla. 4. Haga clic en Filtrado de contenidos. Aparecerá una nueva pantalla. 5. Haga clic en Agregar. Aparecerá una nueva pantalla. 6. Seleccione Filtrar mensajes que coincidan con todas las condiciones definidas. 7. Haga clic en Siguiente. 8. Escriba el nombre de la regla en el campo Nombre de la regla. 9. Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: Encabezado (De, Para y Cc) Asunto Tamaño del cuerpo del mensaje o del adjunto Nombre del archivo adjunto Nota Messaging Security Agent solo puede filtrar el contenido del encabezado y el asunto durante una exploración en tiempo real. 10. Haga clic en Siguiente. 11. Seleccione la acción que Messaging Security Agent realizará cuando detecte contenido no deseado. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Sustituir por texto o archivo 6-22

207 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. Poner en cuarentena todo el mensaje Poner en cuarentena parte del mensaje Eliminar todo el mensaje Archivar Omitir todo el mensaje 12. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 13. Seleccione Notificar a remitentes para configurar Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 14. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico en cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico archivado, o 6-23

208 Manual del administrador de Worry-Free Business Security 9.0 SP3 bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage\backup for content filter 15. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de filtrado de contenido sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de filtrado de contenido cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 16. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenido. Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Definir la configuración > Filtrado de contenidos Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido 6-24

209 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Procedimiento 1. Haga clic en Agregar. Aparecerá una nueva pantalla. 2. Seleccione Filtrar mensajes que coincidan con cualquier condición definida. 3. Haga clic en Siguiente. 4. Escriba el nombre de la regla en el campo Nombre de la regla. 5. Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: Encabezado (De, Para y Cc) Asunto Cuerpo Adjunto Nota Messaging Security Agent solo puede filtrar el contenido del encabezado y el asunto durante una exploración en tiempo real. 6. Haga clic en Siguiente. 7. Agregue las palabras clave de la parte del mensaje que desea filtrar en busca de contenido no deseado. Para obtener más información sobre cómo funcionan las palabras clave, consulte Palabras clave en la página D-6 a. Si fuera necesario, seleccione si desea que el filtrado distinga entre mayúsculas y minúsculas. b. Importe nuevos archivos de palabras clave desde un archivo.txt en caso de que sea necesario. c. Defina una lista de sinónimos. 8. Haga clic en Siguiente. 6-25

210 Manual del administrador de Worry-Free Business Security 9.0 SP3 9. Seleccione la acción que Messaging Security Agent realizará cuando detecte contenido no deseado. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. Poner en cuarentena todo el mensaje Poner en cuarentena parte del mensaje Eliminar todo el mensaje Archivar 10. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 11. Seleccione Notificar a remitentes para configurar Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 12. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico en 6-26

211 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico archivado, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage\backup for content filter 13. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de filtrado de contenido sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de filtrado de contenido cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 14. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenido. Agregar reglas de supervisión para el filtrado de contenido Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Definir la configuración > Filtrado de contenidos Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido 6-27

212 Manual del administrador de Worry-Free Business Security 9.0 SP3 Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido Procedimiento 1. Haga clic en Agregar. Aparecerá una nueva pantalla. 2. Seleccione Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares. 3. Haga clic en Siguiente. 4. Escriba el nombre de la regla en el campo Nombre de la regla. 5. Defina las cuentas de correo electrónico que desee supervisar. 6. Haga clic en Siguiente. 7. Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: Asunto Cuerpo Adjunto Nota Messaging Security Agent solo es compatible con el filtrado de estas partes del mensaje durante la exploración en tiempo real. No admite el filtrado del contenido del encabezado ni del asunto durante las exploraciones manuales y programadas. 8. Agregue las palabras clave de la parte del mensaje que desea filtrar en busca de contenido no deseado. Para obtener más información sobre cómo funcionan las palabras clave, consulte Palabras clave en la página D-6 a. Si fuera necesario, seleccione si desea que el filtrado distinga entre mayúsculas y minúsculas. 6-28

213 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) b. Importe nuevos archivos de palabras clave desde un archivo.txt en caso de que sea necesario. c. Defina una lista de sinónimos. 9. Haga clic en Siguiente. 10. Seleccione la acción que Messaging Security Agent realizará cuando detecte contenido no deseado. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. Poner en cuarentena todo el mensaje Poner en cuarentena parte del mensaje Eliminar todo el mensaje Archivar 11. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 12. Seleccione Notificar a remitentes para configurar Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 6-29

214 Manual del administrador de Worry-Free Business Security 9.0 SP3 13. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico en cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico archivado, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage\backup for content filter 14. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de filtrado de contenido sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de filtrado de contenido cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 15. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenido. Crear excepciones para las reglas de filtrado de contenidos Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Definir la configuración > Filtrado de contenidos 6-30

215 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido Procedimiento 1. Haga clic en Agregar. Aparecerá una nueva pantalla. 2. Seleccione Crear excepciones para cuentas de correo electrónico particulares. 3. Haga clic en Siguiente. 4. Escriba un nombre para la regla. 5. Escriba las cuentas de correo electrónico que desea excluir del filtrado de contenidos y haga clic en Agregar. La cuenta se añade a la lista de excepciones de cuentas de correo electrónico. Messaging Security Agent no aplica reglas de contenido con una prioridad inferior a esta regla para las cuentas de correo de la lista. 6. Cuando la lista de cuentas de correo contenga las direcciones pertinentes, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenidos. Prevención de pérdida de datos Use la función de prevención de pérdida de datos para protegerse frente a la pérdida de datos a través del correo electrónico saliente. Esta función puede proteger determinados datos como, por ejemplo, números de la seguridad social, números de teléfono, números 6-31

216 Manual del administrador de Worry-Free Business Security 9.0 SP3 de cuentas bancarias y otra información empresarial confidencial que coincida con el patrón definido. Las siguientes versiones de Microsoft Exchange se admiten en esta versión: Tabla 6-3. Versiones admitidas de Microsoft Exchange Compatible No compatible 2007 x x86/x x x x86 Tareas de preparación Antes de supervisar los datos confidenciales en busca de posibles pérdidas, debe determinar los siguientes aspectos: Los datos que necesitan protección frente a usuarios no autorizados La ubicación en la que residen los datos La ubicación a la que se transmitirán los datos y el modo en que se realizará esta acción Los usuarios a los que se les concederá autorización para acceder o transmitir esta información Para realizar esta importante comprobación, normalmente es necesario recabar información de varios departamentos y del personal familiarizado con los datos confidenciales de la organización. En el procedimiento siguiente, se supone que ha identificado la información confidencial y ha establecido las políticas de seguridad en relación con la administración de los datos empresariales confidenciales. La función de prevención de pérdida de datos está compuesta por tres partes básicas: Reglas (los patrones que se buscarán) Dominios que se excluirán del filtrado 6-32

217 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Remitentes permitidos (cuentas de correo electrónico que se excluirán del filtrado) Para obtener más información, consulte Gestionar reglas de prevención de pérdida de datos en la página Gestionar reglas de prevención de pérdida de datos Messaging Security Agent muestra todas las reglas de prevención de pérdida de datos en la pantalla Prevención de pérdida de datos (Configuración de seguridad > {Messaging Security Agent} > Definir la configuración > Prevención de pérdida de datos). Procedimiento 1. Podrá ver información resumida sobre las reglas, por ejemplo: Regla: WFBS incluye reglas predeterminadas (consulte Reglas de prevención de pérdida de datos predeterminadas en la página 6-40). Estas reglas están desactivadas de forma predeterminada. Puede modificarlas en función de sus necesidades o bien eliminarlas. Si ninguna de esas reglas cumple sus requisitos, añada sus propias reglas. Consejo Pase el puntero del ratón sobre el nombre de la regla para verla. Las reglas que utilizan una expresión regular aparecen marcadas con un icono de lupa ( ). Acción: El Messaging Security Agent realiza esta acción cuando se activa una regla. Prioridad: El Messaging Security Agent aplica las reglas en la secuencia que determina el orden indicado en esta página. Activado: Un icono verde indica que la regla está activada. Si el icono es rojo, significa que la regla está desactivada. 2. Realice las siguientes tareas: 6-33

218 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Activar/desactivar la prevención de pérdida de datos Agregar una regla Modificar una regla Importar y exportar reglas Pasos Marque o desmarque la opción Habilitar la prevención de pérdida de datos en tiempo real en la parte superior de la pantalla. Haga clic en Agregar. Se abre una nueva pantalla en la que podrá elegir el tipo de regla que desea agregar. Para conocer los detalles, consulte Agregar reglas de prevención de pérdida de datos en la página Haga clic en el nombre de la regla. Se abrirá una nueva pantalla. Para obtener información sobre las configuraciones de las reglas que puede modificar, consulte Agregar reglas de prevención de pérdida de datos en la página Importe una o varias reglas desde un archivo de texto sin formato (o expórtelas a un archivo de este tipo), tal y como se muestra a continuación. Si lo prefiere, puede editar a continuación las reglas directamente en este archivo. [SMEX_SUB_CFG_CF_RULE43ca5aea-6e75-44c5-94c9- d0b35d2be599] RuleName=Bubbly UserExample= Value=Bubbly [SMEX_SUB_CFG_CF_RULE8b752cf2-aca a4dd-8e174f9147b6] RuleName=Master Card No. UserExample=Value=.REG. \b5[1-5]\d{2}\-?\x20? \d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b 6-34

219 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Tarea Pasos Para exportar reglas a un archivo de texto sin formato, seleccione una o varias reglas en la lista y haga clic en Exportar. Consejo Puede seleccionar las reglas que aparecen solo en una pantalla. Para seleccionar reglas que aparecen actualmente en diferentes pantallas, aumente el valor de "Filas por página" en la parte superior de la lista de reglas para que la vista abarque todas las reglas que desea exportar. Para importar reglas: a. Cree un archivo de texto en el formato indicado anteriormente. También puede hacer clic en Descargue más reglas predeterminadas debajo de la tabla y, a continuación, guardar las reglas. b. Haga clic en Importar. Se abrirá una ventana nueva. c. Haga clic en Examinar para buscar el archivo que desea importar y, a continuación, haga clic en Importar. La función de prevención de pérdida de datos importará las reglas del archivo y las añadirá al final de la lista de reglas actual. Consejo Si ya tiene más de 10 reglas, las reglas importadas no estarán visibles en la primera página. Use los iconos de navegación de la página ubicados en la parte superior o inferior de la lista de reglas para mostrar la última página de la lista. Encontrará en esa ubicación las reglas importadas recientemente. 6-35

220 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Reordenar reglas Pasos El Messaging Security Agent aplica las reglas de prevención de pérdida de datos a los mensajes de correo electrónico según el orden de aparición en la pantalla Prevención de pérdida de datos. Puede configurar el orden de aplicación de las reglas. El agente filtra todos los mensajes de correo según cada regla hasta que una infracción de contenido activa una acción que detiene la exploración (como eliminar o poner en cuarentena). Cambie el orden de estas reglas para optimizar la prevención de pérdida de datos. a. Seleccione una casilla de verificación que se corresponda con la regla a la que desea cambiar el orden. b. Haga clic en Reordenar. Aparecerá un cuadro alrededor del número de orden de la regla. c. En el cuadro de la columna Prioridad, elimine el número de orden existente y escriba uno nuevo. Nota Asegúrese de introducir un número que no sea superior al número total de reglas de la lista. Si introduce un número superior al número total de reglas, WFBS omite la entrada y no cambia el orden de la regla. d. Haga clic en Guardar reordenación. La regla se desplaza al nivel de prioridad especificado y los números de orden de todas las demás reglas cambian convenientemente. Por ejemplo, si selecciona el número de regla 5 y lo cambia por el número 3, entonces los números de regla 1 y 2 seguirán siendo los mismos, pero las reglas con el número 3 en adelante aumentarán en uno. Activar/Desactivar reglas Haga clic en el icono que hay en la columna Activado. 6-36

221 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Tarea Eliminar las reglas Pasos Cuando se elimina una regla, Messaging Security Agent actualiza el orden del resto de las reglas para reflejar el cambio. Nota la eliminación de una regla es una operación irreversible, por lo que es conveniente plantearse deshabilitarlas en lugar de eliminarlas. a. Seleccione una norma. b. Haga clic en Eliminar. 6-37

222 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Excluir cuentas de dominio específicas Pasos Dentro de una empresa, el intercambio de información confidencial acerca del negocio es una situación necesaria del día a día. La carga de procesamiento de los Security Servers sería demasiada si Prevención de pérdida de datos tuviera que filtrar todos los mensajes internos. Por estos motivos, necesita establecer uno o más dominios predeterminados, que representen el tráfico de correo interno del negocio, para que Prevención de la pérdida de datos no filtre los mensajes enviados desde una cuenta de correo electrónico a otra dentro del mismo dominio de la empresa. Esta lista permite que todos los mensajes de correo electrónico internos (dentro del dominio de la empresa) omitan las reglas de prevención de pérdida de datos. Se debe especificar, al menos, un dominio de este tipo. Agregue los dominios a la lista si utiliza más de uno. Por ejemplo: *@ejemplo.com a. Haga clic en el icono de signo más (+) para expandir la sección Cuenta(s) de dominio específicas que están excluidas de la prevención de pérdida de datos. b. Coloque el cursor en el campo Agregar y escriba el dominio mediante el siguiente patrón: *@ejemplo.com c. Haga clic en Agregar. El dominio aparecerá en la lista mostrada debajo del campo Agregar. d. Haga clic en Guardar para completar el proceso. ADVERTENCIA! La función de prevención de pérdida de datos no agregará el dominio hasta que haga clic en Guardar. Si hace clic en Agregar, pero no en Guardar, no se agregará el dominio. 6-38

223 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Tarea Agregar cuentas de correo electrónico a la lista de remitentes seguros Pasos El correo de los remitentes permitidos se transmite fuera de su red sin que la función de pérdida de datos lo filtre. La función de prevención de pérdida de datos omitirá el contenido de cualquier mensaje enviado desde las cuentas de correo electrónico incluidas en la lista de remitentes permitidos. a. Haga clic en el icono de signo más (+) para expandir la sección Remitentes permitidos. b. Coloque el cursor en el campo Agregar y escriba la dirección de correo electrónico completa mediante el siguiente patrón: example@example.com c. Haga clic en Agregar. La dirección aparecerá en la lista mostrada debajo del campo Agregar. d. Haga clic en Guardar para completar el proceso. Nota La función de prevención de pérdida de datos no agregará la dirección hasta que haga clic en Guardar. Si hace clic en Agregar, pero no en Guardar, no se agregará la dirección. 6-39

224 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Importar cuentas de correo electrónico a la lista de remitentes seguros Pasos Puede importar una lista de direcciones de correo electrónico desde un archivo de texto sin formato que incluya una cuenta de correo electrónico por línea, como se muestra a continuación: admin@example.com 3. Haga clic en Guardar. ceo@example.com president@example.com a. Haga clic en el icono de signo más (+) para expandir la sección Remitentes permitidos. b. Haga clic en Importar. Se abrirá una ventana nueva. c. Haga clic en Examinar para buscar el archivo de texto sin formato que desea importar y, a continuación, haga clic en Importar. Prevención de pérdida de datos importa las reglas del archivo y las añade al final de la lista actual. Reglas de prevención de pérdida de datos predeterminadas La Prevención de pérdida de datos viene con varias reglas predeterminadas, tal y como se muestra en la siguiente tabla. Tabla 6-4. Reglas de prevención de pérdida de datos predeterminadas Nombre de la regla Ejemplo Expresión regular Número de cuenta de tarjeta Visa REG. \b4\d{3}\-?\x20?\d{4}\-? \x20?\d{4}\-?\x20?\d{4}\b 6-40

225 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nombre de la regla Ejemplo Expresión regular Número de cuenta de tarjeta MasterCard Número de cuenta de tarjeta American Express Número de cuenta de tarjeta Diners Club/ Carte Blanche REG. \b5[1-5]\d{2}\-?\x20? \d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b REG. \b3[4,7]\d{2}\-?\x20? \d{6}\-?\x20?\d{5}\b REG. [^\d-]((36\d{2} 38\d{2} 30[0-5]\d)-?\d{6}-?\d{4})[^\d-] IBAN BE , FR M02 606, DK REG. [^\w](([a-z]{2}\d{2}[- \s]?) ([A-Za-z0-9]{11,27} ([A-Za-z0-9] {4}[- \s]){3,6}[a-za-z0-9]{0,3} ([A- Za-z0-9]{4}[- \s]){2}[a-za-z0-9] {3,4}))[^\w] BIC Swift BANK US 99.REG. [^\w-]([a-z]{6}[a-z0-9]{2} ([A-Z0-9]{3})?)[^\w-] Fecha ISO 2004/01/23, 04/01/23, , REG. [^\d\/-]([1-2]\d{3}[-\/][0-1]? \d[-\/][0-3]?\d \d{2}[-\/][0-1]?\d[-\/] [0-3]?\d)[^\d\/-] Nota Desde la consola Web, se puede descargar un archivo zip que contiene más reglas DLP. Vaya a Configuración de seguridad > {Messaging Security Agent} > Definir la configuración > Prevención de pérdida de datos y haga clic en Descargue más reglas predeterminadas. 6-41

226 Manual del administrador de Worry-Free Business Security 9.0 SP3 Agregar reglas de prevención de pérdida de datos Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Prevención de pérdida de datos. Aparecerá una nueva pantalla. 5. Haga clic en Agregar. Aparecerá una nueva pantalla. 6. Seleccione la parte del mensaje que desee evaluar. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: Encabezado (De, Para y Cc) Asunto Cuerpo Adjunto 7. Agregue una regla. Para agregar una regla basada en una palabra clave: a. Seleccione Palabra clave. b. Escriba la palabra clave en el campo que se muestra. Esta palabra clave debe tener entre 1 y 64 caracteres alfanuméricos. c. Haga clic en Siguiente. Para agregar una regla basada en expresiones generadas automáticamente: 6-42

227 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) a. Consulte Expresiones regulares en la página D-10 para obtener información sobre cómo definir expresiones regulares. b. Seleccione Expresión regular (generada automáticamente). c. En el campo proporcionado, escriba un nombre de regla. Este campo es obligatorio. d. En el campo Ejemplo, escriba o pegue un ejemplo del tipo de cadena (de hasta 40 caracteres) con la que la expresión regular deba coincidir. Los caracteres alfanuméricos aparecen en mayúsculas en el área sombreada con filas de cuadros debajo del campo Ejemplo. e. Si existen constantes en la expresión, selecciónelas haciendo clic en los cuadros en los que se muestran los caracteres. Al hacer clic en un cuadro, el borde se vuelve rojo para indicar que es una constante, y la herramienta de generación automática modifica la expresión regular que se muestra debajo del área sombreada. Nota Los caracteres que no son alfanuméricos (como los espacios, el punto y coma y otros signos de puntuación) se consideran constantes de manera automática y no se pueden cambiar a variables. f. Para comprobar que la expresión regular generada coincide con el patrón previsto, seleccione Proporcione otro ejemplo para verificar la regla (opcional). Aparece un campo de prueba debajo de esta opción. g. Escriba otro ejemplo del patrón que acaba de introducir. Por ejemplo, si esta expresión debe coincidir con una serie de números de cuenta del patrón 01-EX????? 20??, escriba otro ejemplo que coincida, como 01-Extreme 2010 y haga clic en Probar. La herramienta valida el nuevo ejemplo con respecto a la expresión regular existente e incluye un icono de marca de verificación verde junto al campo si el nuevo ejemplo coincide. Si la expresión regular no coincide con el nuevo ejemplo, aparece un icono de equis rojo junto al campo. 6-43

228 Manual del administrador de Worry-Free Business Security 9.0 SP3 ADVERTENCIA! Las expresiones regulares creadas mediante esta herramienta distinguen entre mayúsculas y minúsculas. Estas expresiones solo pueden coincidir con patrones que tengan el número exacto de caracteres del ejemplo; no se puede evaluar un patrón formado por "una o varias instancias" de un determinado carácter. h. Haga clic en Siguiente. Para agregar una regla basada en expresiones definidas por el usuario: ADVERTENCIA! Las expresiones regulares son una potente herramienta de coincidencia de cadenas. Asegúrese de estar familiarizado con la sintaxis de las expresiones regulares antes de utilizar este tipo de expresiones. Las expresiones regulares escritas de forma incorrecta pueden reducir considerablemente el rendimiento. Trend Micro recomienda comenzar con expresiones regulares sencillas. Al crear nuevas reglas, use la acción de archivado y observe cómo la función de prevención de pérdida de datos administra los mensajes mediante la regla. Cuando esté seguro de que la regla no tiene consecuencias inesperadas, podrá cambiar la acción. a. Consulte Expresiones regulares en la página D-10 para obtener información sobre cómo definir expresiones regulares. b. Seleccione Expresión regular (definida por el usuario). Aparecen los campos Nombre de la regla y Expresión regular. c. En el campo proporcionado, escriba un nombre de regla. Este campo es obligatorio. d. En el campo Expresión regular, escriba una expresión regular comenzando con un prefijo ".REG." y con una longitud de 255 caracteres, incluido el prefijo. 6-44

229 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) ADVERTENCIA! Tenga cuidado al pegar elementos en este campo. Si se incluye un carácter externo como, por ejemplo, un avance de línea específico del SO o una etiqueta HTML en el contenido del Portapapeles, la expresión pegada será imprecisa. Por este motivo, Trend Micro recomienda que escriba manualmente la expresión. e. Para comprobar que la expresión regular coincide con el patrón previsto, seleccione Proporcione otro ejemplo para verificar la regla (opcional). Aparece un campo de prueba debajo de esta opción. f. Escriba otro ejemplo del patrón que acaba de introducir (40 caracteres o menos). Por ejemplo, si esta expresión debe coincidir con una serie de números de cuenta del patrón ACC-?????, 20?? escriba otro ejemplo que coincida, como Acc y haga clic en Probar. La herramienta valida el nuevo ejemplo con respecto a la expresión regular existente e incluye un icono de marca de verificación verde junto al campo si el nuevo ejemplo coincide. Si la expresión regular no coincide con el nuevo ejemplo, aparece un icono de equis rojo junto al campo. g. Haga clic en Siguiente. 8. Seleccione una acción para que el Messaging Security Agent la lleve a cabo cuando se active una regla (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. Poner en cuarentena todo el mensaje Poner en cuarentena parte del mensaje Eliminar todo el mensaje 6-45

230 Manual del administrador de Worry-Free Business Security 9.0 SP3 Archivar Omitir todo el mensaje 9. Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe a los destinatarios previstos cuando la función de prevención de pérdida de datos realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los destinatarios de correo externos que se ha bloqueado un mensaje con información confidencial. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 10. Seleccione Notificar a remitentes para que Messaging Security Agent informe a los remitentes previstos cuando la función de prevención de pérdida de datos realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los remitentes de correo externos que se ha bloqueado un mensaje con información confidencial. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 11. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de prevención de pérdida de datos incluirá el correo electrónico en cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de prevención de pérdida de datos colocará el correo electrónico archivado, o bien acepte el valor predeterminado: <Carpeta de instalación de Messaging Security Agent>\storage\backup for content filter 12. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. 6-46

231 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de prevención de pérdida de datos sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de prevención de pérdida de datos cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 13. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Prevención de pérdida de datos. Bloqueo de archivos adjuntos El bloqueo de archivos adjuntos impide que los archivos adjuntos a mensajes de correo electrónico se entreguen en el Almacén de información de Microsoft Exchange. Configure Messaging Security Agent para bloquear los archivos adjuntos según el tipo o nombre de dicho archivo y, a continuación, sustituya, ponga en cuarentena o elimine todos los mensajes que contengan archivos adjuntos que cumplan esos criterios. El bloqueo puede producirse durante la exploración en tiempo real, manual y programada, pero las acciones eliminar y poner en cuarentena no están disponibles en las exploraciones manual y programada. La extensión de un archivo adjunto identifica el tipo de archivo, por ejemplo:.txt,.exe o.dll. Sin embargo, Messaging Security Agent examina el encabezado del archivo en lugar de su nombre para determinar el tipo de archivo real. Numerosos virus/malware están estrechamente vinculados a determinados tipos de archivo. Si configura Messaging Security Agent para realizar el bloqueo según el tipo de archivo, puede reducir el riesgo que esos tipos de archivo representan para la seguridad de los servidores Microsoft Exchange. De forma similar, hay ataques específicos asociados a un nombre de archivo específico. 6-47

232 Manual del administrador de Worry-Free Business Security 9.0 SP3 Consejo La utilización del bloqueo es un modo eficaz de controlar las epidemias de virus. Puede poner en cuarentena temporalmente todos los tipos de archivos de riesgo elevado o aquellos con un nombre específico asociado a un virus/malware conocido. Posteriormente, cuando disponga de más tiempo, puede revisar la carpeta de cuarentena y realizar las acciones que desee en los archivos infectados. Configurar el bloqueo de archivos adjuntos La configuración de opciones de bloqueo de archivos adjuntos en servidores Microsoft Exchange implica configurar las reglas de forma que bloqueen mensajes con determinados archivos adjuntos. Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Definir la configuración > Bloqueo de archivos adjuntos Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Bloqueo de archivos adjuntos Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Bloqueo de archivos adjuntos Procedimiento 1. En la pestaña Destino, actualice la siguiente información según sea necesario: Todos los archivos adjuntos: el agente puede bloquear todos los mensajes de correo electrónico que contengan archivos adjuntos. Sin embargo, este tipo de exploración requiere mucho procesamiento. Vuelva a definir este tipo de exploración seleccionando los tipos o nombres de archivos adjuntos que deben excluirse. Tipos de archivos adjuntos que excluir 6-48

233 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nombres de archivos adjuntos que excluir Archivos adjuntos específicos: cuando se selecciona este tipo de exploración, el agente solo explora los mensajes de correo electrónico que contienen los archivos adjuntos que usted identifique. Este tipo de exploración puede ser muy exclusivo y es ideal para detectar mensajes de correo electrónico con archivos adjuntos sospechosos de contener amenazas. Esta exploración se ejecuta muy rápidamente cuando se especifica una cantidad relativamente pequeña de nombres o tipos de archivos adjuntos. Tipos de archivos adjuntos: el agente examina el encabezado del archivo en lugar del nombre de archivo para determinar el tipo de archivo real. Nombres de archivos adjuntos: de forma predeterminada, el agente examina el encabezado del archivo en lugar del nombre de archivo para determinar el tipo de archivo real. Si se establece el bloqueo de archivos adjuntos para explorar según nombres específicos, el agente detectará los tipos de archivos adjuntos según su nombre. Bloquear tipos o nombres de archivos adjuntos dentro de archivos zip 2. Haga clic en la pestaña Acción para configurar las acciones que realizará el Messaging Security Agent cuando detecte un archivo adjunto. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Sustituir por texto o archivo Poner en cuarentena todo el mensaje Poner en cuarentena parte del mensaje Eliminar todo el mensaje 3. Seleccione Notificar a destinatarios para configurar el Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico que incluyen documentos adjuntos. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en 6-49

234 Manual del administrador de Worry-Free Business Security 9.0 SP3 Operaciones > Configuración de la notificación > Definición de correo interno. 4. Seleccione Notificar a remitentes para configurar el Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico que incluyen documentos adjuntos. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 5. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de bloqueo de archivos adjuntos sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de bloqueo de archivos adjuntos cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 6. Haga clic en Guardar. Reputación Web Reputación Web impide el acceso a las URL que están en la Web o incrustadas en mensajes de correo electrónico que plantean riesgos de seguridad. La función de reputación Web comprueba la reputación de las URL con respecto a los servidores de reputación Web de Trend Micro y establece una correlación de la reputación y la política de la reputación Web específica aplicada en el cliente. En función de la política en uso: El Security Agent bloqueará o permitirá el acceso al sitio Web. 6-50

235 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) El Messaging Security Agent (Advanced solo) pondrá en cuarentena, eliminará o etiquetará los mensajes de correo electrónico que contengan URL maliciosas o permitirá que el mensaje se envíe si la URL es segura. La reputación Web envía una notificación por correo electrónico al administrador y una notificación en línea al usuario si se producen detecciones. Para los Security Agents, configure un nivel de seguridad distinto basado en la ubicación (en la oficina o fuera de la oficina) del cliente. Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura, agréguela a la lista de URL permitidas. Consejo Para ahorrar ancho de banda de la red, Trend Micro recomienda agregar los sitios web internos de la empresa a la lista de URL admitidas por reputación Web. Puntuación de reputación La "puntuación de reputación" de una URL determina si una URL es una amenaza Web. Trend Micro calcula la puntuación mediante métricas de propiedad. Trend Micro considera que una URL es una amenaza Web si su puntuación encaja en un umbral definido y considera que es segura si excede dicho umbral. Un Security Agent tiene tres niveles de seguridad que determinan si se permitirá o se bloqueará el acceso a una URL. Alto: Bloquea las páginas en los casos siguientes: Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas Sospechosa: Relacionada con spam o probablemente comprometida Sin probar: Mientras que Trend Micro comprueba de forma activa la seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se 6-51

236 Manual del administrador de Worry-Free Business Security 9.0 SP3 bloquea el acceso a las páginas sin comprobar se aumenta la seguridad, pero también se puede impedir el acceso a páginas seguras. Medio: Bloquea las páginas en los casos siguientes: Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas Bajo: Bloquea las páginas en los casos siguientes: Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Configurar la reputación Web para los Messaging Security Agents Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Reputación Web. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Activar Reputación Web Nivel de seguridad: Alto, Medio o Bajo. URL aprobadas URL para permitir: separe las distintas URL mediante punto y coma (;). Haga clic en Agregar. 6-52

237 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota la aprobación de una URL implica la aprobación de todos sus subdominios. Use los caracteres comodín con cuidado ya que pueden permitir conjuntos grandes de URL. Lista de URL permitidas: las URL de esta lista no se bloquearán. 6. Haga clic en la pestaña Acción y seleccione la acción que el Messaging Security Agent deba realizar cuando se active una política de reputación Web (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. Poner el mensaje en cuarentena en la carpeta para spam del usuario Eliminar todo el mensaje Etiquetar y entregar 7. Seleccione Realizar una acción en las URL que Trend Micro no ha evaluado para que las URL que no se han clasificado se consideren como sospechosas. Se realizará la misma acción especificada en el paso anterior en los mensajes de correo electrónico que contengan URL sin clasificar. 8. Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe a los destinatarios previstos cuando la función de reputación Web realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los destinatarios de correo externos que se ha bloqueado un mensaje con URL maliciosas. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 6-53

238 Manual del administrador de Worry-Free Business Security 9.0 SP3 9. Seleccione Notificar a remitentes para que Messaging Security Agent informe a los remitentes previstos cuando la función de reputación Web realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los remitentes de correo externos que se ha bloqueado un mensaje con URL maliciosas. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 10. Haga clic en Guardar. Mobile Security La configuración de Mobile Security impide a los dispositivos no autorizados acceder a Microsoft Exchange Server y descargar información desde allí. Los administradores identifican los dispositivos a los que se permite acceder a Microsoft Exchange Server y, a continuación, determinan si los usuarios de estos dispositivos pueden descargar o actualizar desde allí el correo electrónico, el calendario, los contactos o las tareas. Asimismo, los administradores pueden aplicar políticas de seguridad a los dispositivos. Estas políticas controlan la complejidad y la longitud de las contraseñas, si los dispositivos deben bloquearse al transcurrir cierto periodo de inactividad, en qué dispositivos debe usarse el cifrado y si los datos correspondientes deben borrarse después de varios intentos infructuosos de inicio de sesión. 6-54

239 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Compatibilidad de Mobile Security Tabla 6-5. Compatibilidad de dispositivos móviles Sistema operativ o Versión de IIS Políticas de protección de datos del dispositivo Exchang e 2007 (o posterio r) de 64 bits Exchang e 2003 de 32 bits Exchang e 2010 (o posterio r) de 64 bits Control de acceso Exchang e 2007 de 64 bits Exchang e 2003 de 32 bits Wind ows 2008 (64 bits) SBS 2008 (64 bits) Windows 2003 (64 bits) 7 + Sí Incompati ble 6.0 Sí Incompati ble Sí No Incompati ble No No Incompati ble Wind ows 2003 (32 bits) 6.0 Incompati ble No Incompati ble Incompati ble No SBS 2003 (32 bits) 6-55

240 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla 6-6. Compatibilidad de sistemas operativos de dispositivos móviles SO del dispositivo móvil Versión del SO ios ( ) Android WM/WP (Windows) BB (BlackBerry) Configurar el control de acceso a dispositivos Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Mobile Security > Control de acceso a dispositivos. Aparecerá una nueva pantalla. 5. Seleccione Activar el control de acceso a dispositivos. 6. Haga clic en Agregar. 7. Escriba un nombre de política y una descripción significativa para esta. 8. Seleccione los dispositivos para los que desea permitir/bloquear el acceso a Microsoft Exchange Server identificándolos por su o sus propietarios: Cualquiera Especificar propietarios de dispositivos 9. Si se ha seleccionado la opción Especificar propietarios de dispositivos: 6-56

241 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) a. Escriba el nombre de un propietario del dispositivo y haga clic en Buscar para buscarlo en la lista global de direcciones de Microsoft Exchange Server. b. Seleccione el propietario del dispositivo y haga clic en Agregar. 10. Si tiene esta información, seleccione el sistema operativo del dispositivo en la lista desplegable Tipo. 11. Si tiene esta información, seleccione Especificar intervalo de números de versión e identifique las versiones del sistema operativo permitidas. 12. Especifique si Messaging Security Agent debe permitir o bloquear el acceso a las tareas, los contactos, el calendario o el correo del propietario del dispositivo. 13. Haga clic en Guardar. Cancelar un borrado de dispositivo pendiente Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Mobile Security > Borrado del dispositivo. Aparecerá una nueva pantalla. 5. Identifique el dispositivo en la tabla de borrado de dispositivos y haga clic en Cancelar borrado. 6. Haga clic en Aceptar. 6-57

242 Manual del administrador de Worry-Free Business Security 9.0 SP3 Borrar dispositivos manualmente Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Mobile Security > Borrado del dispositivo. Aparecerá una nueva pantalla. 5. Haga clic en Seleccionar dispositivos. Aparecerá una nueva pantalla. 6. Escriba el nombre de un propietario del dispositivo y haga clic en Buscar para buscar dicho dispositivo. 7. Si el dispositivo se muestra disponible para el borrado, selecciónelo y haga clic en Borrar. Nota No se pueden seleccionar los dispositivos cuyo estado tras una búsqueda se establece en Borrado correcto o Borrado pendiente. Configurar políticas de seguridad WFBS usa como política predeterminada la de Microsoft Exchange. La política predeterminada aparece en la lista de políticas de seguridad. WFBS no mantiene políticas no predeterminadas añadidas mediante la consola de administración de Microsoft Exchange o Exchange Cmdlet. Trend Micro recomienda a los administradores administrar las políticas de seguridad desde la consola de administración de WFBS o Microsoft Exchange. 6-58

243 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Mobile Security > Políticas de seguridad. Aparecerá una nueva pantalla. 5. Haga clic en Agregar. 6. Escriba un nombre de política y una descripción significativa para esta. 7. Escriba el nombre de un propietario del dispositivo y haga clic en Buscar para buscarlo en la lista global de direcciones de Microsoft Exchange Server. 8. Seleccione el propietario del dispositivo y haga clic en Agregar. 9. Seleccione el criterio de seguridad que desea aplicar al dispositivo: Longitud mínima de la contraseña: para obtener directrices sobre las contraseñas para dispositivos móviles, consulte Requisitos de complejidad de la contraseña en la página Número mínimo de conjuntos de caracteres necesarios: para obtener directrices sobre las contraseñas para dispositivos móviles, consulte Requisitos de complejidad de la contraseña en la página Bloquear el dispositivo si está inactivo Requerir cifrado en el dispositivo: el dispositivo móvil debe admitir el cifrado. Borrar el dispositivo tras intentar iniciar sesión 10. Haga clic en Guardar. 6-59

244 Manual del administrador de Worry-Free Business Security 9.0 SP3 Requisitos de complejidad de la contraseña Los requisitos de complejidad de la contraseña difieren para los distintos tipos de dispositivos y sistemas operativos. Las siguientes tablas muestran el comportamiento de cada «opción» de complejidad para los dispositivos que se prueban en el momento del lanzamiento de WFBS 9.0 SP3. Nota La funcionalidad de la complejidad de la contraseña depende de la versión del sistema operativo y del tipo de dispositivo. Si la contraseña especificada no cumple los requisitos de complejidad, la mayoría de los dispositivos facilitan a los usuarios un mensaje que indica cuáles son los requisitos específicos para ese dispositivo. Tabla 6-7. Dispositivos con Android Nivel de complejida d Requisitos de complejidad Android 4 Android 2 Opción 1 Opción 2 Una combinación de los siguientes tipos de caracteres: Una letra mayúscula (A-Z) o minúscula (a-z) como mínimo Un número (0-9) o un carácter especial (!@#$ %^&*()_-=+~`[] {}\ ;:'"?/<>,.) como mínimo Una combinación de los siguientes tipos de caracteres: Una letra mayúscula (A-Z) o minúscula (a-z) como mínimo Dos números (0-9) o caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) como mínimo Alfanumérica Una combinación de los siguientes tipos de caracteres: Alfanumérica Dos números (0-9) o caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) como mínimo 6-60

245 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nivel de complejida d Requisitos de complejidad Android 4 Android 2 Opción 3 Opción 4 Una combinación de los siguientes tipos de caracteres: Una letra mayúscula (A-Z) o minúscula (a-z) como mínimo Tres números (0-9) o caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) como mínimo Una combinación de los siguientes tipos de caracteres: Una letra mayúscula (A-Z) o minúscula (a-z) como mínimo Cuatro números (0-9) o caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) como mínimo Una combinación de los siguientes tipos de caracteres: Alfanumérica Tres números (0-9) o caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) como mínimo Una combinación de los siguientes tipos de caracteres: Alfanumérica Cuatro números (0-9) o caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) como mínimo Tabla 6-8. Dispositivos con ios Nivel de complejida d Opción 1 Requisitos de complejidad Una combinación de los siguientes tipos de caracteres: Alfanumérica Un carácter especial como mínimo (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/ <>,.) Opción 2 Una combinación de los siguientes tipos de caracteres: Alfanumérica Dos caracteres especiales como mínimo (!@#$ %^&*()_-=+~`[]{} \ ;:'"?/<>,.) 6-61

246 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nivel de complejida d Opción 3 Requisitos de complejidad Una combinación de los siguientes tipos de caracteres: Alfanumérica Tres caracteres especiales como mínimo (!@#$ %^&*()_-=+~`[]{} \ ;:'"?/<>,.) Opción 4 Una combinación de los siguientes tipos de caracteres: Alfanumérica Cuatro caracteres especiales como mínimo (!@#$ %^&*()_-=+~`[]{} \ ;:'"?/<>,.) Tabla 6-9. Dispositivos con Windows Phone Nivel de complejida d Requisitos de complejidad Windows Phone 8 Windows Phone 7 Opción 1 Al menos uno de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) Una combinación de al menos dos de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) 6-62

247 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nivel de complejida d Requisitos de complejidad Windows Phone 8 Windows Phone 7 Opción 2 Opción 3 Opción 4 Una combinación de al menos dos de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) Una combinación de al menos tres de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) Una combinación de todos los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) Una combinación de al menos dos de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) Una combinación de al menos tres de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) Una combinación de todos los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\ ;:'"?/<>,.) 6-63

248 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tabla Dispositivos BlackBerry Nivel de complejida d Opción 1 Opción 2 Requisitos de complejidad Una letra mayúscula (A-Z) o minúscula (a-z) como mínimo Una combinación de al menos dos de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$%^&*()_-=+~`[]{}\ ;:'"?/<>,.) Opción 3 Una combinación de al menos tres de los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$%^&*()_-=+~`[]{}\ ;:'"?/<>,.) Opción 4 Una combinación de todos los siguientes tipos de caracteres: Caracteres en letra mayúscula (A-Z) Caracteres en letra minúscula (A-Z) Caracteres numéricos (0-9) Caracteres especiales (!@#$%^&*()_-=+~`[]{}\ ;:'"?/<>,.) Cuarentena para los Messaging Security Agents Cuando un Messaging Security Agent detecta una amenaza, spam, archivos adjuntos restringidos o contenido restringido en mensajes de correo electrónico, el agente puede 6-64

249 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) mover el mensaje a una carpeta de cuarentena. Este proceso ofrece una alternativa a la eliminación de mensajes o archivos adjuntos, y evita que los usuarios abran el mensaje infectado y propaguen la amenaza. La carpeta de cuarentena predeterminada de Message Security Agent es: <Carpeta de instalación de Messaging Security Agent>\storage \quarantine Los archivos puestos en cuarentena se cifran para mayor seguridad. Para abrir un archivo cifrado, use la herramienta Restaurar spyware y virus cifrados (VSEncode.exe). Consulte Restaurar archivos cifrados en la página Los administradores pueden consultar la base de datos de cuarentena para obtener información sobre los mensajes puestos en cuarentena. Use la cuarentena para: Eliminar la posibilidad de borrar mensajes importantes de forma irreversible si son detectados por error por filtros estrictos Revisar los mensajes que activan filtros de contenido para determinar la gravedad de la infracción de la política Conservar pruebas de un posible uso incorrecto del sistema de mensajería de la empresa por parte de un empleado Nota No confunda la carpeta de cuarentena con la carpeta para spam del usuario final. La carpeta de cuarentena es una carpeta basada en archivos. Cada vez que el Messaging Security Agent pone en cuarentena un mensaje de correo electrónico, envía el mensaje a la carpeta de cuarentena. La carpeta para spam del usuario final se encuentra en el almacén de información de cada buzón de entrada de los usuarios. La carpeta para spam del usuario final solo recibe los mensajes de correo electrónico puestos por una acción de cuarentena antispam en la carpeta de spam de un usuario, no los de acciones de cuarentena derivadas de políticas de filtrado de contenido, antivirus/antispyware o bloqueo de archivos adjuntos. 6-65

250 Manual del administrador de Worry-Free Business Security 9.0 SP3 Consultar directorios de cuarentena Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Poner en cuarentena > Consulta. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Intervalo de fechas u horas Motivos de la cuarentena Todos los motivos Tipos especificados: elija entre Exploración de virus, AntiSpam, Filtrado de contenidos, Bloqueo de archivos adjuntos o Partes de mensaje que no se pueden explorar. Estado de reenvío No reenviado nunca Reenviado al menos una vez Ambas opciones Criterios avanzados Remitente: Mensajes de remitentes específicos. Utilice comodines si es necesario. Destinatario: Mensajes de destinatarios específicos. Utilice comodines si es necesario. 6-66

251 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Asunto: Mensajes con asuntos específicos. Utilice comodines si es necesario. Ordenar por: configure los criterios de ordenación para la página de resultados. Pantalla: Número de resultados por página. 6. Haga clic en Buscar. Consulte Ver resultados de las consultas y realizar acciones en la página Ver resultados de las consultas y realizar acciones La pantalla Resultados de consulta de cuarentena muestra la siguiente información sobre los mensajes: Hora de exploración Remitente Destinatario Asunto Motivo: La razón por la que el mensaje está puesto en cuarentena. Nombre de archivo: Nombre del archivo bloqueado en el mensaje de correo electrónico. Ruta de cuarentena: La ubicación del mensaje de correo electrónico puesto en cuarentena. Los administradores pueden descifrar el archivo con la herramienta VSEncoder.exe (consulte Restaurar archivos cifrados en la página 14-9) y cambiarle la extensión a.eml para verlo. ADVERTENCIA! la acción de ver archivos infectados podría propagar la infección. Estado de reenvío 6-67

252 Manual del administrador de Worry-Free Business Security 9.0 SP3 Procedimiento 1. Si considera que algún mensaje no es seguro, bórrelo. ADVERTENCIA! la carpeta de cuarentena contiene mensajes de correo electrónico con un riesgo elevado de infección. Actúe con precaución al manipular mensajes de correo electrónico de esta carpeta para evitar la infección accidental del cliente. 2. Si considera que algún mensaje es seguro, selecciónelo y haga clic en el icono de reenvío ( ). Nota si reenvía un mensaje en cuarentena enviado originalmente por Microsoft Outlook, el destinatario podría recibir varias copias del mismo mensaje. Esto puede ocurrir porque el motor de exploración antivirus divide cada mensaje que explora en varias secciones. 3. Si no puede reenviar el mensaje, es posible que no exista la cuenta del administrador del sistema en el servidor Microsoft Exchange. a. Con el Editor del Registro de Windows, abra la siguiente entrada del Registro del servidor: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion b. Modifique la entrada de la manera siguiente: ADVERTENCIA! si modifica incorrectamente el Registro, podrían producirse daños graves en el sistema. Antes de realizar cambios en el Registro debe realizar una copia de seguridad de los datos valiosos del equipo. ResendMailbox {Buzón de correo del administrador} Ejemplo: admin@example.com 6-68

253 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) ResendMailboxDomain {Dominio del administrador} Ejemplo: ejemplo.com ResendMailSender {Cuenta de correo electrónico del administrador} Ejemplo: admin c. Cierre el Editor del Registro. Mantener directorios de cuarentena Use esta función para eliminar manual o automáticamente los mensajes puestos en cuarentena. Esta función puede eliminar todos los mensajes, los mensajes reenviados y los mensajes que no se hayan reenviado. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Poner en cuarentena > Mantenimiento. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Activar el mantenimiento automático: Solo está disponible para el mantenimiento automático. Archivos que se van a borrar Todos los archivos en cuarentena Archivos en cuarentena que nunca se han reenviado 6-69

254 Manual del administrador de Worry-Free Business Security 9.0 SP3 Archivos en cuarentena que se han reenviado como mínimo una vez Acción: El número de días que deben almacenarse los mensajes. Por ejemplo, si la fecha es el 21 de noviembre y ha escrito 10 en Eliminar los archivos seleccionados con más de, el Messaging Security Agent eliminará todos los archivos anteriores al 11 de noviembre cuando se ejecute la eliminación automática. 6. Haga clic en Guardar. Configurar directorios de cuarentena Especifique los directorios de cuarentena en el servidor Microsoft Exchange. El directorio de cuarentena se excluirá de la exploración. Nota los directorios de cuarentena están basados en archivos y no residen en el almacén de información. Messaging Security Agent pone en cuarentena los mensajes de correo según las acciones que se hayan configurado. Los siguientes son los directorios de cuarentena: Antivirus: Pone en cuarentena los mensajes de correo electrónico que contienen virus/malware, spyware/grayware, gusanos, troyanos y otras amenazas maliciosas. Antispam: Pone en cuarentena los mensajes de correo spam y phishing. Bloqueo de archivos adjuntos: Pone en cuarentena los mensajes de correo electrónico que contienen archivos adjuntos restringidos. Filtrado de contenidos: Pone en cuarentena los mensajes de correo electrónico con contenido restringido. De manera predeterminada, todos los directorios tienen las mismas rutas (<Carpeta de instalación de Messaging Security Agent>\storage\quarantine). Puede cambiar las rutas de directorios individuales o de todos ellos. 6-70

255 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Cuarentena > Directorio. Aparecerá una nueva pantalla. 5. Consulte la ruta de los siguientes directorios de cuarentena: Antivirus Antispam Filtrado de contenido Bloqueo de archivos adjuntos 6. Haga clic en Guardar. Configuración de notificaciones para los Messaging Security Agents WFBS puede enviar notificaciones en forma de mensajes de correo electrónico a diversas alertas. Puede configurar notificaciones para aplicarlas solo a los mensajes de correo electrónico internos usando definiciones personalizadas de correo interno. Estas definiciones son útiles cuando la empresa tiene dos (o más) dominios y se desea tratar los mensajes de correo electrónico de ambos dominios como mensajes de correo internos. Por ejemplo: ejemplo.com y ejemplo.net. Los destinatarios de la lista Definición de correo interno recibirán mensajes con notificaciones si activa la casilla de verificación No notificar a remitentes externos en 6-71

256 Manual del administrador de Worry-Free Business Security 9.0 SP3 la Configuración de la notificación de Antivirus, Filtrado de contenidos y Bloqueo de archivos adjuntos. No confunda la lista Definición de correo interno con la lista Remitentes permitidos. Para evitar que todos los mensajes de correo provenientes de direcciones con dominios externos se marquen como spam, agregue las direcciones de correo electrónico externo a las listas de antispam de Remitentes permitidos. Acerca de las definiciones personalizadas de correo interno Messaging Security Agent divide el tráfico de correo electrónico en dos categorías de redes: interna y externa. El agente solicita al servidor Microsoft Exchange información acerca de cómo se definen las direcciones internas y externas. Todas las direcciones internas comparten un dominio común al que no pertenece ninguna de las direcciones externas. Por ejemplo, si la dirección de dominio interna es "@trend_1.com", el Messaging Security Agent clasifica direcciones como "abc@trend_1.com" y "xyz@trend_1.com" como direcciones internas. El agente clasifica el resto de las direcciones, por ejemplo "abc@trend_2.com" y "jondoe@123.com", como externas. Solo puede definir un dominio como dirección interna de Messaging Security Agent. Si utiliza Microsoft Exchange System Manager para cambiar su dirección principal en un servidor, Messaging Security Agent no reconoce la nueva dirección como una dirección interna porque Messaging Security Agent no puede detectar que ha cambiado la política de destinatarios. Por ejemplo, suponga que tiene dos direcciones de dominio para la como dirección principal. Messaging Security Agent considera que los mensajes de correo electrónico con la dirección principal son internos (es decir, abc@ejemplo_1.com o xyz@ejemplo_1.com son internas). Posteriormente utiliza Microsoft Exchange System Manager para cambiar la dirección principal Esto significa que Microsoft Exchange reconoce ahora direcciones como abc@ejemplo_2.com y xyz@ejemplo_2.com como direcciones internas. 6-72

257 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Definir configuraciones de notificación para los Messaging Security Agents Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Operaciones > Configuración de la notificación. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: Dirección de correo electrónico: dirección en nombre de la cual WFBS enviará los mensajes de notificación. Definición de correo interno Predeterminadas: WFBS tratará los mensajes de correo electrónico del mismo dominio como mensajes internos. Personalizada: Especifique direcciones de correo electrónico o dominios determinados que desee tratar como mensajes de correo electrónico internos. 6. Haga clic en Guardar. Configurar el mantenimiento del spam La pantalla Mantenimiento del spam permite configurar la herramienta End User Quarantine (EUQ) o la cuarentena en el servidor. 6-73

258 Manual del administrador de Worry-Free Business Security 9.0 SP3 Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Operaciones > Mantenimiento del spam. Aparecerá una nueva pantalla. 5. Haga clic en Activar la herramienta End User Quarantine. Si activa la herramienta, se creará una carpeta de cuarentena en el servidor del buzón de correo de cada cliente y aparecerá una carpeta para spam en el árbol de carpetas de Outlook del usuario. Después de activar EUQ y de que se hayan creado las carpetas para spam, EUQ podrá filtrar el correo spam a la carpeta para spam del usuario. Para obtener más información, consulte Gestionar End User Quarantine en la página Consejo Si selecciona esta opción, Trend Micro recomienda desactivar la barra de herramientas de Trend Micro Anti-Spam en los agentes para aumentar el rendimiento de los clientes. Desmarque la opción Activar la herramienta End User Quarantine para desactivar la herramienta End User Quarantine en todos los buzones de correo del servidor Microsoft Exchange. Al desactivar la herramienta EUQ, permanecerán las carpetas para correo spam de los usuarios pero los mensajes detectados como spam no se moverán a las carpetas de correo spam. 6. Haga clic en Crear carpeta para spam y eliminar los mensajes de spam para crear (inmediatamente) carpetas para correo spam para los nuevos clientes de correo creados y para los clientes de correo existentes que han eliminado su carpeta de correo spam. Para el resto de clientes de correo existentes, la herramienta eliminará los mensajes con una antigüedad superior a los días especificados en el campo Configuración de la carpeta para spam del cliente. 6-74

259 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) 7. En Eliminar los mensajes de spam con más de {número} días, modifique el tiempo durante el que el Messaging Security Agent conservará los mensajes de spam. El valor predeterminado es 14 días y el límite máximo de tiempo es 30 días. 8. Para desactivar la herramienta End User Quarantine para determinados usuarios: a. En Lista de excepciones de la herramienta End User Quarantine, escriba la dirección de correo electrónico del usuario final para el que desea desactivar EUQ. b. Haga clic en Agregar. La dirección de correo electrónico se agregará a la lista de direcciones para las que EUQ está desactivado. Para eliminar un usuario final de la lista y restaurar el servicio EUQ, seleccione la dirección de correo electrónico del usuario final en la lista y haga clic en Eliminar. 9. Haga clic en Guardar. Gestionar End User Quarantine Durante la instalación, Messaging Security Agent crea una carpeta, Correo Spam, en el buzón de correo del servidor de cada usuario final. Cuando se recibe un mensaje de spam, el sistema lo pone en cuarentena en esta carpeta, según las reglas de filtrado de spam predefinidas por parte de Messaging Security Agent. Los usuarios finales pueden ver esta carpeta para spam para abrir, leer o eliminar los mensajes de correo sospechosos. Consulte Configurar el mantenimiento del spam en la página Los administradores también pueden crear una carpeta para el correo spam en Microsoft Exchange. Cuando un administrador crea una cuenta de buzón de correo, la entidad del buzón de correo no se crea inmediatamente en el servidor Microsoft Exchange, sino que se crea si se dan las siguientes condiciones: Un usuario final inicia una sesión por primera vez en el buzón de correo. Llega el primer mensaje de correo electrónico al buzón de correo. El administrador debe crear en primer lugar la entidad del buzón de correo antes de que EUQ pueda crear la carpeta para spam. 6-75

260 Manual del administrador de Worry-Free Business Security 9.0 SP3 Carpeta para correo spam en el cliente Los usuarios finales pueden abrir los mensajes que están en cuarentena en la carpeta de spam. Cuando abren uno de estos mensajes, aparecen dos botones en el propio mensaje de correo: Remitente permitido y Ver la lista de remitentes permitidos. Cuando un usuario final abre un mensaje de correo de la carpeta Correo spam y hace clic en Remitente permitido, la dirección de ese remitente se añade a la lista Remitentes permitidos del usuario final. Al hacer clic en Ver la lista de remitentes permitidos se abre otra pantalla que permite al usuario final ver y modificar la lista de remitentes permitidos por dirección de correo electrónico o por dominio. Remitentes permitidos Cuando el usuario final recibe un mensaje en la carpeta de correo spam y hace clic en Remitente permitido, Messaging Security Agent desplaza el mensaje a la bandeja de entrada local del usuario y añade la dirección del remitente de ese mensaje a la lista de remitentes permitidos del usuario final. Messaging Security Agent registra el suceso. Cuando el servidor Microsoft Exchange recibe un mensaje de una de las direcciones incluidas en la lista de remitentes permitidos del usuario, lo envía a la bandeja de entrada del usuario final, independientemente del encabezado o del contenido del mensaje. Nota Messaging Security Agent también ofrece a los administradores una lista de remitentes permitidos o bloqueados. El Messaging Security Agent aplica la lista de remitentes permitidos y bloqueados del administrador antes que la del usuario final. Característica de mantenimiento de End User Quarantine La característica de mantenimiento de Messaging Security Agent realiza las tareas programadas cada 24 horas a la hora predeterminada (2:30 a.m.): Elimina automáticamente los mensajes de spam caducados. Crea nuevamente la carpeta de spam cuando se ha eliminado. Crea las carpetas de spam para cuentas de correo electrónico recientemente creadas. 6-76

261 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Mantiene las reglas para los mensajes de correo electrónico. La característica de mantenimiento es una parte integral del Messaging Security Agent y no requiere configuración alguna. Depurador y asistencia de Trend Micro El Depurador y la asistencia le ayudan a depurar o simplemente a informar sobre el estado de los procesos del Messaging Security Agent. Si se produce algún problema inesperado, puede utilizar el depurador para crear informes y enviarlos al equipo de asistencia técnica de Trend Micro para que lo analice. Cada módulo del Messaging Security Agent inserta mensajes en el programa y, a continuación, registra la acción en los archivos de registro al ejecutarse. Puede reenviar los registros al equipo cualificado de asistencia técnica de Trend Micro para que depure el flujo real del programa en su entorno. Utilice el depurador para generar registros en los siguientes módulos: Servicio maestro de Messaging Security Agent Servidor de configuración remota de Messaging Security Agent Supervisión del sistema de Messaging Security Agent API de exploración antivirus (VSAPI) Protocolo SMTP (Protocolo simple de transferencia de correo) Interfaz CGI De manera predeterminada, MSA mantiene los registros en el siguiente directorio: <Carpeta de instalación de Messaging Security Agent>\Debug Para visualizar la salida utilice cualquier editor de texto. 6-77

262 Manual del administrador de Worry-Free Business Security 9.0 SP3 Generar informes del depurador del sistema Puede generar informes del depurador para ayudar al servicio de asistencia de Trend a solucionar posibles problemas. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. 4. Haga clic en Operaciones > Asistencia/depurador. Aparecerá una nueva pantalla. 5. Seleccione los módulos que desee supervisar: Servicio maestro de Messaging Security Agent Servidor de configuración remota de Messaging Security Agent Supervisión del sistema de Messaging Security Agent API de exploración antivirus (VSAPI) en Exchange Server 2003, 2007 o 2010 Exploración a nivel de almacén en Exchange Server 2013 Protocolo SMTP (Protocolo simple de transferencia de correo) en Exchange Server 2003 Servicio de transporte en Exchange Server 2007, 2010 o 2013 Interfaz CGI 6. Haga clic en Aplicar. El depurador empezará a recopilar datos sobre los módulos seleccionados. 6-78

263 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Supervisor en tiempo real El supervisor en tiempo real facilita la información actualizada sobre el servidor Microsoft Exchange seleccionado y su Messaging Security Agent. Muestra información sobre los mensajes explorados y las estadísticas de protección, incluido el número de virus y mensajes de spam detectados, archivos bloqueados e infracciones de contenido. También comprueba si el agente funciona de forma correcta. Usar un supervisor en tiempo real Procedimiento 1. Para acceder al supervisor en tiempo real desde la consola Web: a. Acceda a Configuración de seguridad. b. Seleccione un agente. c. Haga clic en Definir la configuración. Aparecerá una nueva pantalla. d. Haga clic en el enlace Supervisor en tiempo real situado en la parte superior derecha de la pantalla. 2. Para acceder al supervisor en tiempo real desde el menú Inicio de Windows, haga clic en Todos los programas > Trend Micro Messaging Security Agent > Supervisor en tiempo real. 3. Haga clic en Restablecer para restablecer las estadísticas de protección a cero. 4. Haga clic en Borrar contenido para borrar la información antigua sobre los mensajes explorados. 6-79

264 Manual del administrador de Worry-Free Business Security 9.0 SP3 Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes Puede agregar un mensaje de renuncia de responsabilidad, pero solo a los mensajes salientes. Procedimiento 1. Cree un archivo de texto y añada la renuncia de responsabilidad a este archivo. 2. Modifique las siguientes claves en el registro: Primera clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: EnableDisclaimer Tipo: REG_DWORD Valor de datos: 0: desactivar, 1: activar Segunda clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: DisclaimerSource Tipo: REG_SZ Valor: la ruta completa del archivo de contenido de la renuncia de responsabilidad. Por ejemplo, C:\Data\Disclaimer.txt 6-80

265 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota Tercera clave: De forma predeterminada, WFBS detecta si un mensaje saliente se envía a los dominios internos o externos, y agrega una renuncia de responsabilidad a cada mensaje enviado a los dominios externos. El usuario puede sobrescribir la configuración predeterminada y agregar una renuncia de responsabilidad a cada mensaje de correo saliente, excepto a los dominios incluidos en la siguiente clave de registro: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: InternalDomains Tipo: REG_SZ Valor: escriba los nombres de dominios que deben excluirse. Utilice un punto y coma (;) para separar varios elementos. Por ejemplo: dominio1.org;dominio2.org Nota aquí, los nombres de dominio son los nombres DNS de los servidores de Microsoft Exchange. 6-81

266

267 Capítulo 7 Gestionar las exploraciones En este capítulo se explica cómo realizar exploraciones en los Security Agents y los Messaging Security Agents (Advanced solo) para proteger la red y los clientes frente a las amenazas. 7-1

268 Manual del administrador de Worry-Free Business Security 9.0 SP3 Acerca de las exploraciones Durante una exploración, el motor de exploración de Trend Micro trabaja junto con el archivo de patrones para realizar el primer nivel de detección mediante un proceso denominado "coincidencia de patrones". Puesto que cada amenaza contiene una firma única o cadena de caracteres delatores que lo diferencian de cualquier otro código, los fragmentos inertes de este código se capturan en el archivo de patrones. El motor compara a continuación determinadas partes de cada archivo explorado con el archivo de patrones en busca de coincidencias. Cuando el motor de exploración detecta un archivo que contiene una amenaza, ejecuta una acción como limpiar, poner en cuarentena, eliminar o sustituir con texto u otro archivo (Advanced solo). Estas acciones se pueden personalizar cuando se definen las tareas de exploración. Worry-Free Business Security ofrece tres tipos de exploración. Cada exploración tiene un objetivo y un uso distinto pero todas se configuran aproximadamente del mismo modo. Exploración en tiempo real: Consulte Exploración en tiempo real en la página 7-2 para obtener más información. Exploración manual: Consulte Exploración manual en la página 7-3 para obtener más información. Exploración programada: Consulte Exploración programada en la página 7-7 para obtener más información. Los Security Agents usan uno de estos dos métodos al realizar exploraciones: Smart scan Exploración convencional Consulte Métodos de exploración en la página 5-3 para obtener más información. Exploración en tiempo real La exploración en tiempo real es una exploración continua y constante. 7-2

269 Gestionar las exploraciones Cada vez que se abre, descarga, copia o modifica un archivo, la exploración en tiempo real del Security Agent explora el archivo en busca de amenazas. Para obtener información sobre cómo configurar las exploraciones en tiempo real, consulte Configurar la exploración en tiempo real para los Security Agents en la página 5-8. En el caso de los mensajes de correo electrónico, la exploración en tiempo real en Messaging Security Agent (Advanced solo) protege todos los puntos de entrada de virus conocidos mediante la exploración en tiempo real de todos los mensajes entrantes, los mensajes SMTP, los documentos publicados en carpetas públicas y los archivos replicados desde otros servidores Microsoft Exchange. Para obtener información sobre cómo configurar las exploraciones en tiempo real, consulte Configurar la exploración en tiempo real para Messaging Security Agent en la página 6-6. Exploración manual La exploración manual funciona a petición. La exploración manual en los Security Agents elimina las amenazas de los archivos y erradica infecciones antiguas, en caso de que las haya, para reducir al máximo la posibilidad de que se vuelva a infectar. La exploración manual en el Messaging Security Agent (Advanced solo) explora todos los archivos del almacén de información del servidor Microsoft Exchange. El tiempo que tarde la exploración dependerá de los recursos de hardware del cliente y del número de archivos que deban explorarse. Una exploración manual en curso la puede interrumpir el administrador del Security Server si la exploración se ejecutó remotamente desde la consola Web, o la puede interrumpir el usuario si se ejecutó directamente en el cliente. Consejo Trend Micro recomienda ejecutar una exploración manual después de una epidemia de amenazas. 7-3

270 Manual del administrador de Worry-Free Business Security 9.0 SP3 Ejecutar exploraciones manuales Este procedimiento describe la forma en que los administradores del Security Server pueden ejecutar exploraciones manuales en los Security Agents y los Messaging Security Agents (solo versión Advanced) desde la consola Web. Nota La exploración manual también se puede ejecutar directamente desde los clientes; para ello, haga clic con el botón derecho del ratón en el icono del Security Agent de la barra de tareas de Windows y elija Explorar ahora. No es posible ejecutar una exploración manual directamente en los servidores Microsoft Exchange. Procedimiento 1. Acceda a Exploraciones > Exploración manual. 2. (Opcional) Personalice la configuración de la exploración antes de ejecutar una exploración manual. 7-4

271 Gestionar las exploraciones Instrucciones y notas Para personalizar la configuración de exploración para el Security Agent, haga clic en un grupo de servidores o de equipos de sobremesa. Consulte Explorar destinos y acciones para los Security Agents en la página Nota La configuración de exploración de los Security Agents también se usa cuando los usuarios ejecutan exploraciones manuales directamente desde los clientes. Sin embargo, si concede a los usuarios el derecho de definir sus propias configuraciones de exploración, serán estas últimas las que se emplearán durante la exploración. Configuración de exploración recomendada Destino Todos los archivos explorables: Incluye todos los archivos que se pueden explorar. Los archivos que no se pueden explorar son los protegidos mediante contraseña, los archivos cifrados o los que superan las restricciones de exploración definidas por el usuario. Explorar archivos comprimidos hasta la capa 1: con esta opción se exploran los archivos comprimidos con una capa de compresión. El valor predeterminado es "off" (desactivado) para el grupo predeterminado de servidores y "on" (activado) para el grupo predeterminado de equipos de sobremesa. Exclusiones No explorar los directorios de instalación de los productos de Trend Micro Configuración avanzada Modificar lista de spyware/ grayware permitido (solo para antispyware). 7-5

272 Manual del administrador de Worry-Free Business Security 9.0 SP3 Instrucciones y notas Para personalizar las configuraciones de exploración de un Messaging Security Agent, expanda un agente y haga clic en las siguientes opciones, según corresponda: Antivirus: haga clic en esta opción para que el agente busque virus y otros tipos de malware. Consulte Explorar destinos y acciones para los Messaging Security Agents en la página Filtrado de contenido: haga clic en esta opción para que el agente explore el correo electrónico en busca de contenido prohibido. Consulte Gestionar las reglas del filtrado de contenidos en la página Bloqueo de archivos adjuntos: haga clic en esta opción para que el agente explore el correo electrónico en busca de infracciones de las reglas de los archivos adjuntos. Consulte Configurar el bloqueo de archivos adjuntos en la página Configuración de exploración recomendada El agente explora todos los archivos que pueden someterse a este proceso. En la exploración incluye el cuerpo de los mensajes de correo electrónico. Cuando el agente detecta un archivo con un virus u otro tipo de malware, lo limpia. Si no puede limpiarlo, lo sustituye por texto/ archivo. Cuando el agente detecta un archivo con un troyano o un gusano, sustituye el troyano o gusano por un texto o un archivo. Cuando el agente detecta un archivo con un packer, sustituye el packer por un texto o un archivo. El agente no limpia los archivos comprimidos infectados. Así reduce el tiempo necesario para completar la exploración en tiempo real. 3. Seleccione los grupos o los Messaging Security Agents que desee explorar. 4. Haga clic en Explorar ahora. El Security Server envía una notificación a los agentes para que ejecuten una exploración manual. La pantalla Resultados de la notificación de la exploración que se abre muestra cuántos agentes han recibido la notificación y cuántos no la han recibido. 5. Para detener exploraciones en curso, haga clic en Detener exploración. El Security Server envía otra notificación a los agentes para que detengan la exploración manual. La pantalla Resultados de la notificación de Detener la 7-6

273 Gestionar las exploraciones exploración que se abre muestra cuántos agentes han recibido la notificación y cuántos no la han recibido. Es posible que los Security Agents no reciban la notificación si han estado desconectados desde que se ejecutó la exploración o si hay interrupciones en la red. Exploración programada La exploración programada es similar a la exploración manual, pero explora todos los archivos y mensajes de correo electrónico (Advanced solo), según la hora y frecuencia configuradas. Utilice las exploraciones programadas para automatizar las exploraciones rutinarias en los clientes y mejorar la eficacia de la administración de las amenazas. Consejo Ejecute exploraciones programadas durante horas de escasa actividad para minimizar las posibles interrupciones de los usuarios y la red. Configurar exploraciones programadas Trend Micro recomienda que no programe una exploración al mismo tiempo que una actualización programada. Esto podría provocar que la exploración programada se detuviera de forma prematura. De igual forma, si se inicia una exploración manual cuando se está ejecutando una exploración programada, esta última se interrumpe y se ejecutará de nuevo según la programación. Procedimiento 1. Acceda a Actualizaciones > Exploración programada. 2. Haga clic en la pestaña Programa. a. Configure la frecuencia de la exploración (diaria, semanal o mensual) y la hora de inicio. Cada grupo o cada Messaging Security Agent pueden tener su propio programa. 7-7

274 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota Para las exploraciones programadas mensuales, si selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, la exploración no se realizará ese mes. b. (Opcional) Seleccione Apagar cliente tras completar la exploración programada. c. Haga clic en Guardar. 3. (Opcional) Haga clic en la pestaña Configuración para personalizar la configuración de la exploración programada. 7-8

275 Gestionar las exploraciones Instrucciones y notas Para personalizar la configuración de exploración para el Security Agent, haga clic en un grupo de servidores o de equipos de sobremesa. Consulte Explorar destinos y acciones para los Security Agents en la página Nota Si concede a los usuarios el derecho de definir sus propias configuraciones de exploración, las configuraciones definidas por el usuario serán las que se usen durante la exploración. Configuración de exploración recomendada Destino Todos los archivos explorables: Incluye todos los archivos que se pueden explorar. Los archivos que no se pueden explorar son los protegidos mediante contraseña, los archivos cifrados o los que superan las restricciones de exploración definidas por el usuario. Explorar archivos comprimidos hasta la capa 2: con esta opción se exploran los archivos comprimidos con dos capas de compresión. Exclusiones No explorar los directorios de instalación de los productos de Trend Micro Configuración avanzada Modificar lista de spyware/ grayware permitido (solo para antispyware). 7-9

276 Manual del administrador de Worry-Free Business Security 9.0 SP3 Instrucciones y notas Para personalizar las configuraciones de exploración de un Messaging Security Agent, expanda un agente y haga clic en las siguientes opciones, según corresponda: Antivirus: haga clic en esta opción para que el agente busque virus y otros tipos de malware. Consulte Explorar destinos y acciones para los Messaging Security Agents en la página Filtrado de contenido: haga clic en esta opción para que el agente explore el correo electrónico en busca de contenido prohibido. Consulte Gestionar las reglas del filtrado de contenidos en la página Bloqueo de archivos adjuntos: haga clic en esta opción para que el agente explore el correo electrónico en busca de infracciones de las reglas de los archivos adjuntos. Consulte Configurar el bloqueo de archivos adjuntos en la página Configuración de exploración recomendada El agente realiza una exploración cada domingo a las 5:00 a.m. Personalice este programa para que se ejecute a una hora de poca actividad en los clientes. El agente explora todos los archivos que pueden someterse a este proceso. En la exploración incluye el cuerpo de los mensajes de correo electrónico. Cuando el agente detecta un archivo con un virus u otro tipo de malware, lo limpia. Si no puede limpiarlo, lo sustituye por texto/ archivo. Cuando el agente detecta un archivo con un troyano o un gusano, sustituye el troyano o gusano por un texto o un archivo. Cuando el agente detecta un archivo con un packer, lo sustituye por un texto o un archivo. El agente no limpia los archivos comprimidos infectados. 4. Seleccione los grupos o los Messaging Security Agents que aplicarán la configuración de exploración programada. Nota Para desactivar la exploración programada, quite la marca de la casilla correspondiente al grupo o al Messaging Security Agent. 5. Haga clic en Guardar. 7-10

277 Gestionar las exploraciones Explorar destinos y acciones para los Security Agents Defina las siguientes configuraciones para cada tipo de exploración (Exploración manual, Exploración programada y Exploración en tiempo real): Pestaña Destino Seleccione un método: Todos los archivos explorables: incluye todos los archivos explorables. Los archivos que no se pueden explorar son los protegidos mediante contraseña, los archivos cifrados o los que superan las restricciones de exploración definidas por el usuario. Nota Esta opción ofrece la máxima seguridad posible. Sin embargo, explorar todos los archivos requiere un gran consumo de tiempo y recursos y puede ser innecesario en algunas circunstancias. Por lo tanto, es posible que desee limitar la cantidad de archivos que el agente incluirá en la exploración. IntelliScan utiliza la identificación de "tipo de archivo verdadero": explora los archivos en función del tipo de archivo verdadero. Consulte IntelliScan en la página D-2. Explorar archivos con las siguientes extensiones: especifique manualmente los archivos para explorar en función de sus extensiones. Separe las distintas entradas mediante comas. Seleccione un activador de la exploración: Leer: explora los archivos cuyo contenido se lee. Los archivos se leen cuando se abren, se ejecutan, se copian o se mueven. Escribir: explora los archivos cuyo contenido se está escribiendo. El contenido de un archivo se escribe cuando este se modifica, se guarda, se descarga o se copia de una ubicación a otra. Leer o escribir 7-11

278 Manual del administrador de Worry-Free Business Security 9.0 SP3 Exclusiones de la exploración Se pueden configurar los siguientes valores: Activar o desactivar exclusiones Excluir los directorios de productos de Trend Micro de las exploraciones Excluir otros directorios de las exploraciones También se excluirán todos los subdirectorios de la ruta del directorio especificada. Excluir de las exploraciones nombres de archivos o nombres de archivos con rutas completas Excluir extensiones de archivos Los caracteres comodín (como "*") no se aceptan como extensiones de archivo. Nota (Advanced solo) Si el servidor Microsoft Exchange se está ejecutando en el cliente, Trend Micro recomienda excluir todas las carpetas del servidor Microsoft Exchange de la exploración. Para excluir la exploración de las carpetas de Microsoft Exchange Server de forma general, vaya a Preferencias > Configuración general > Equipo de sobremesa/ servidor {pestaña} > Configuración de la exploración general y, a continuación, seleccione Excluir las carpetas del servidor Microsoft Exchange cuando se instala en un servidor Microsoft Exchange. 7-12

279 Gestionar las exploraciones Configuración avanzada Tipo de exploración Exploración en tiempo real Opción Explorar mensajes de correo POP3: de manera predeterminada, la exploración de correo solo puede explorar mensajes nuevos enviados mediante el puerto 110 a las carpetas de la bandeja de entrada y del correo no deseado. No admite POP3 seguro (SSL-POP3). Outlook Express 6.0 con Service Pack 2 (solo en Windows XP) Windows Mail (solo en Microsoft Vista) Microsoft Outlook 2000, 2002 (XP), 2003, 2007, 2010 o 2013 Mozilla Thunderbird 1.5 o superior Mail Scan no puede detectar riesgos de seguridad ni spam en mensajes IMAP. Use el Messaging Security Agent (Advanced solo) para detectar riesgos de seguridad y spam en mensajes IMAP. Exploración en tiempo real, Exploración manual Exploración en tiempo real Exploración en tiempo real Exploración en tiempo real Explorar unidades asignadas y carpetas compartidas de la red: con esta opción se pueden seleccionar directorios para explorar que estén ubicados físicamente en otros equipos, pero asignados al equipo local. Explorar disquetes durante el apagado del sistema Activar IntelliTrap: IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte IntelliTrap en la página D-3. Poner en cuarentena las variantes de malware detectadas en memoria: si se activa junto con las opciones Exploración en tiempo real y Supervisión de comportamiento, se explorará la memoria de procesamiento activa en busca de malware empaquetado. Cualquier tipo de malware empaquetado que la supervisión de comportamiento detecte se pone en cuarentena. 7-13

280 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tipo de exploración Exploración en tiempo real, programada y manual Exploración en tiempo real, programada y manual Exploración manual, Exploración programada Opción Explorar archivos comprimidos hasta la capa : un archivo comprimido incorpora una capa cada vez que se comprime. Si un archivo infectado se ha comprimido en varias capas, se debe explorar el número especificado de capas para detectar la infección. No obstante, la exploración de varias capas requiere más tiempo y recursos. Modificar la lista de spyware y grayware permitido: esta configuración no se pueden usar desde la consola del agente. Uso de la CPU/Velocidad de exploración: Security Agent puede realizar una pausa entre la exploración de dos archivos. Seleccione una de las siguientes opciones: Alta: no se realizan pausas entre las exploraciones Media: se realizan pausas en la exploración si el consumo de la CPU es superior al 50%, y ninguna pausa si es del 50% o inferior Baja: se realizan pausas en la exploración si el consumo de la CPU es superior al 20%, y ninguna pausa si es del 20% o inferior Exploración manual, Exploración programada Ejecutar limpieza avanzada: Security Agent impide el funcionamiento de programas de software deshonestos que se hacen pasar por herramientas de seguridad, conocidos como "falsos antivirus" o "FakeAV". Además, el agente cuenta con reglas de limpieza avanzadas que permiten detectar y detener de forma proactiva las aplicaciones que presentan comportamientos propios de FakeAV. Nota La limpieza avanzada proporciona una protección proactiva, pero al mismo tiempo devuelve un número elevado de falsos positivos. 7-14

281 Gestionar las exploraciones Lista de spyware o grayware permitido Trend Micro clasifica algunas aplicaciones como spyware/grayware no porque puedan causar daños en el sistema en el que están instaladas, sino porque, en potencia, pueden exponer al cliente o la red a malware o a ataques de hackers. Worry-Free Business Security incluye una lista de aplicaciones potencialmente peligrosas y, de forma predeterminada, evita que se ejecuten estas aplicaciones en los clientes. Si los clientes necesitan ejecutar una aplicación que Trend Micro ha clasificado como spyware/grayware, deberá añadir el nombre de la aplicación a la lista de spyware/ grayware permitido. Pestaña Acción A continuación, figuran algunas acciones que los Security Agents pueden realizar para luchar con los virus o el malware: Tabla 7-1. Acciones de exploración de virus y malware Acción Descripción Eliminar Cuarentena Elimina un archivo infectado. Cambia el nombre del archivo infectado y lo mueve a un directorio de cuarentena temporal en el cliente. Los Security Agents envían los archivos en cuarentena al directorio de cuarentena especificado, que está en el Security Server de manera predeterminada. El Security Agent cifra los archivos en cuarentena que se envían a este directorio. Si necesita restaurar alguno de los archivos en cuarentena, utilice la herramienta VSEncrypt. 7-15

282 Manual del administrador de Worry-Free Business Security 9.0 SP3 Acción Limpiar Descripción Limpia el archivo infectado antes de permitir el acceso total al archivo. Si el archivo no se puede limpiar, Security Agent realiza una segunda acción, que puede ser una de las siguientes: poner en cuarentena, eliminar, cambiar nombre y omitir Esta acción se puede realizar con todos los tipos de malware con excepción de virus/malware probables. Nota Algunos archivos no se pueden limpiar. Para obtener más información, consulte Archivos que no se pueden limpiar en la página D-28. Cambiar nombre Omitir Denegar acceso Cambia la extensión de un archivo infectado por "vir". Los usuarios no pueden abrir el archivo inicialmente infectado pero sí pueden hacerlo si lo asocian a una determinada aplicación. un virus/malware podría ejecutarse al abrir el archivo infectado con el nombre cambiado. Solo se puede realizar durante una exploración manual o programada. El Security Agent no puede utilizar esta acción durante la Exploración en tiempo real porque el hecho de no realizar ninguna acción cuando se detecta un intento de abrir o ejecutar un archivo infectado permitirá la ejecución de virus/malware. Todas las otras acciones de exploración se pueden utilizar durante la exploración en tiempo real. Se puede realizar solo durante una exploración en tiempo real. Cuando el Security Agent detecta un intento de abrir o ejecutar un archivo infectado, inmediatamente bloquea la operación. Los usuarios pueden eliminar el archivo infectado manualmente. La acción de exploración que realiza el Security Agent depende del tipo de exploración que ha detectado el spyware/grayware. Aunque se pueden configurar acciones específicas para cada tipo de virus o malware, solo se puede configurar una acción para todos los tipos de spyware o grayware. Por ejemplo, cuando el Security Agent detecta cualquier tipo de spyware/grayware durante la Exploración manual (tipo de exploración), limpia (acción) los recursos del sistema afectados. 7-16

283 Gestionar las exploraciones A continuación, se describen las acciones que el Security Agent puede llevar a cabo para hacer frente al spyware y grayware: Tabla 7-2. Acciones de exploración de spyware y grayware Acción Limpiar Omitir Denegar acceso Descripción Finaliza los procesos o elimina registros, archivos, cookies y accesos directos. No realiza ninguna acción sobre los componentes de spyware/grayware detectados pero registra la detección de spyware/grayware en los registros. Esta acción solo se puede realizar durante una exploración manual o programada. Durante el Escaneo en tiempo real, la acción es "Denegar acceso". El Security Agent no llevará a cabo ninguna acción si el spyware o grayware detectado está incluido en la lista de permitidos. Deniega el acceso (copiar o abrir) a los componentes de spyware/ grayware detectados. Esta acción sólo se puede llevar a cabo durante la Exploración en tiempo real. Para las exploraciones manuales o programadas, la acción es "Omitir". ActiveAction Existen distintos tipos de virus/malware, cada uno de los cuales requiere acciones de exploración diferentes. La personalización de las acciones de exploración requiere una serie de conocimientos acerca de los virus y el malware, y puede resultar una tarea tediosa. Worry-Free Business Security utiliza ActiveAction para encontrar estos problemas. ActiveAction es un conjunto de acciones de exploración preconfiguradas para la defensa frente a los virus y el malware. Si no está familiarizado con las acciones de exploración o si no está seguro de cuál es la acción más adecuada para un determinado tipo de virus/ malware, Trend Micro le recomienda utilizar ActiveAction. Utilizar ActiveAction ofrece las siguientes ventajas: ActiveAction utiliza acciones de exploración que recomienda Trend Micro. De este modo, no tendrá que perder tiempo configurando las acciones de exploración. Los programadores de virus modifican sin cesar el modo en que los virus y el malware atacan a los ordenadores. La configuración de ActiveAction se actualiza 7-17

284 Manual del administrador de Worry-Free Business Security 9.0 SP3 para proporcionar protección ante las últimas amenazas y métodos de ataque de los virus y el malware. En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/ malware: Tabla 7-3. Acciones de exploración recomendadas por Trend Micro frente a virus y malware Tipo de virus/ malware Exploración en tiempo real Primera acción Segunda acción Exploración manual/ Exploración programada Primera acción Segunda acción Programa de broma Gusanos/ programa de caballo de Troya Cuarentena Eliminar Cuarentena Eliminar Cuarentena Eliminar Cuarentena Eliminar Packer Cuarentena N/D Cuarentena N/D Virus/Malware probable Cuarentena N/D Omitir o realizar una acción configurada por el usuario N/D Virus Limpiar Cuarentena Limpiar Cuarentena Virus de prueba Denegar acceso N/D N/D N/D Otros tipos de malware Limpiar Cuarentena Limpiar Cuarentena Notas y recordatorios: Para el malware y los virus probables, las acciones predeterminadas son "Cuarentena" (durante la exploración en tiempo real) y "Omitir" (durante las exploraciones manual y programada). Si prefiere utilizar otras acciones, puede cambiar a Eliminar o Cambiar nombre. 7-18

285 Gestionar las exploraciones Algunos archivos no se pueden limpiar. Para obtener más información, consulte Archivos que no se pueden limpiar en la página D-28. ActiveAction no está disponible para buscar spyware/grayware. Los valores predeterminados de esta configuración pueden cambiar cuando haya disponibles nuevos archivos de patrones. Configuración avanzada Tipo de exploración Exploración en tiempo real, Exploración programada Exploración en tiempo real, Exploración programada Exploración manual, en tiempo real o programada Opción Mostrar mensaje de alerta en el equipo de sobremesa o en el servidor al detectar un virus/spyware Mostrar mensaje de alerta en el equipo de sobremesa o en el servidor al detectar un posible virus/spyware Ejecutar limpieza al detectar virus o malware probable: solo está disponible si elige ActiveAction y una acción personalizada para el posible virus o malware. Explorar destinos y acciones para los Messaging Security Agents Defina las siguientes configuraciones para cada tipo de exploración (Exploración manual, Exploración programada y Exploración en tiempo real): Pestaña Destino Objetivos de la exploración Configuración de exploración de amenazas adicionales Exclusiones de la exploración 7-19

286 Manual del administrador de Worry-Free Business Security 9.0 SP3 Pestaña Acción Acciones de exploración/activeaction Notificaciones Configuración avanzada Objetivos de la exploración Seleccione los objetivos de la exploración: Todos los archivos adjuntos: solo quedan excluidos los archivos cifrados o protegidos por contraseña. Nota Esta opción ofrece la máxima seguridad posible. Sin embargo, explorar todos los archivos requiere un gran consumo de tiempo y recursos y puede ser innecesario en algunas circunstancias. Por lo tanto, es posible que desee limitar la cantidad de archivos que el agente incluirá en la exploración. IntelliScan: explora los archivos basándose en el tipo de archivo verdadero. Consulte IntelliScan en la página D-2. Tipos de archivo específicos: WFBS explorará solo los archivos de los tipos seleccionados y con las extensiones seleccionadas. Separe las distintas entradas mediante punto y coma (;). Seleccione otras opciones: Activar IntelliTrap: IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte IntelliTrap en la página D-3. Explorar el cuerpo del mensaje: Explora el cuerpo de un mensaje de correo electrónico que puede contener amenazas incrustadas. Configuración de exploración de amenazas adicionales Seleccione otras amenazas que el agente deba explorar. Si desea obtener información detallada acerca de las amenazas, consulte Descripción de las amenazas en la página Seleccione opciones adicionales: 7-20

287 Gestionar las exploraciones Crear copia de seguridad del archivo infectado antes de limpiar: WFBS realiza una copia de seguridad de la amenaza antes de limpiar. El archivo copiado se cifra y almacena en el siguiente directorio del cliente: <Carpeta de instalación de Messaging Security Agent> \storage\backup Puede cambiar el directorio en la sección Opciones avanzadas, subsección Configuración de la copia de seguridad. Para descifrar el archivo, consulte Restaurar archivos cifrados en la página No limpiar los archivos comprimidos infectados para optimizar el rendimiento. Exclusiones de la exploración En la pestaña Destino, acceda a la sección Exclusiones y elija entre los siguientes criterios que usará el agente para excluir los mensajes de correo electrónico de las exploraciones: El tamaño del cuerpo del mensaje es mayor que: Messaging Security Agent solo explora los mensajes de correo electrónico cuando el tamaño del cuerpo del mensaje es menor o igual que la cantidad especificada. El tamaño del archivo adjunto es mayor que: Messaging Security Agent solo explora los mensajes de correo electrónico cuando el tamaño del archivo adjunto es menor o igual que la cantidad especificada. Consejo Trend Micro recomienda fijar un límite de 30 MB. El total de archivos descomprimidos es mayor que: Cuando la cantidad de archivos descomprimidos del archivo comprimido supera esta cantidad, Messaging Security Agent explorará solo los archivos hasta el límite definido en esta opción. El tamaño del archivo descomprimido es mayor que: Messaging Security Agent solo explorará los archivos comprimidos que sean menores o iguales que este tamaño después de la descompresión. 7-21

288 Manual del administrador de Worry-Free Business Security 9.0 SP3 El número de capas de compresión es mayor que: El Messaging Security Agent solo explora archivos comprimidos que tengan una cantidad inferior o igual a las capas de compresión especificadas. Por ejemplo, si define el límite en 5 capas de compresión, entonces Messaging Security Agent explorará las 5 primeras capas de archivos comprimidos, pero no explorará los archivos comprimidos en la capa 6 y en adelante. El tamaño del archivo descomprimido es x veces el tamaño del archivo comprimido: Messaging Security Agent solo explorará los archivos comprimidos cuando la relación del tamaño del archivo descomprimido en comparación con el tamaño del archivo comprimido sea menor que este número. Esta función evita que Messaging Security Agent explore un archivo comprimido que pueda causar un ataque de denegación de servicio (DoS). Los ataques DoS se producen cuando se sobrecargan los recursos del servidor de correo a causa de tareas innecesarias. Si impide que Messaging Security Agent explore los archivos que descomprime en archivos de gran tamaño evitará este problema. Ejemplo: en la tabla siguiente, el valor introducido para "x" es 100. Tamaño del archivo (sin comprimir) Tamaño del archivo (sin comprimir) Resultado 500 KB 10 KB (relación 50:1) Explorado KB 10 KB (relación 100:1) Explorado KB 10 KB (relación superior a 100:1) No explorado* 2000 KB 10 KB (relación 200:1) No explorado* * Messaging Security Agent realizará la acción que se haya especificado para los archivos excluidos. Acciones de exploración Los administradores pueden configurar Messaging Security Agent para realizar acciones según el tipo de amenaza presentada por los virus/malware, troyanos y gusanos. Si utiliza acciones personalizadas, puede definir una acción para cada tipo de amenaza. 7-22

289 Gestionar las exploraciones Tabla 7-4. Acciones personalizadas de Messaging Security Agent Limpiar Acción Sustituir por texto o archivo Poner en cuarentena todo el mensaje Poner en cuarentena parte del mensaje Eliminar todo el mensaje Descripción Elimina el código malicioso de los cuerpos de los mensajes infectados y los archivos adjuntos. El resto del texto del mensaje, los archivos no infectados y los archivos limpiados se entregan entonces a los destinatarios originales. Trend Micro recomienda utilizar la acción de exploración predeterminada Limpiar para los virus/malware. En algunas circunstancias, Messaging Security Agent no puede limpiar un archivo. Durante una exploración manual o programada, el Messaging Security Agent actualiza el almacén de información y sustituye el archivo por el limpio. Elimina el contenido filtrado o infectado y lo sustituye por texto o por un archivo. El mensaje de correo electrónico se envía al destinatario original, pero el texto insertado le informa de que el contenido original estaba infectado y ha sido sustituido. Para el Filtrado de contenido y la Prevención de pérdida de datos, solo puede sustituir texto en los campos de cuerpo o archivos adjuntos (y no en los campos De, Para, CC o Asunto). (Exploración en tiempo real solo) Coloca en el directorio de cuarentena solo el contenido infectado y el destinatario recibe el mensaje sin contenido. Para el Filtrado de contenido, la Prevención de pérdida de datos y el Bloqueo de archivos adjuntos, se mueve el mensaje entero al directorio de cuarentena. (Exploración en tiempo real solo) Coloca en el directorio de cuarentena solo el contenido infectado o filtrado y el destinatario recibe el mensaje sin contenido. (Exploración en tiempo real) Elimina todo el mensaje de correo electrónico. El destinatario original no recibirá el mensaje. 7-23

290 Manual del administrador de Worry-Free Business Security 9.0 SP3 Omitir Archivar Acción Poner en cuarentena el mensaje en la carpeta para spam del servidor Poner el mensaje en cuarentena en la carpeta para spam del usuario Etiquetar y entregar Descripción Registra la infección de virus de archivos maliciosos en los registros de virus, pero no realiza ninguna acción. Los archivos excluidos, cifrados o protegidos con contraseña se entregan al destinatario sin actualizar los registros. Para el filtrado de contenido, se envía el mensaje tal cual. Mueve el mensaje al directorio de archivado y entrega el mensaje al destinatario original. Envía todo el mensaje al Security Server para ponerlo en cuarentena. Envía todo el mensaje a la carpeta de spam del usuario para ponerlo en cuarentena. La carpeta se encuentra en el lado del servidor del almacén de información. Añade una etiqueta a la información del encabezado del mensaje de correo electrónico que lo identifica como spam y entonces lo entrega al destinatario original. Además de estas acciones, se pueden configurar estas otras: Activar acción para el comportamiento de correo masivo: elija entre limpiar, sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje con el tipo de amenaza de comportamiento de correo masivo. Ejecutar esta acción cuando no se pueda llevar a cabo la limpieza: Permite definir la acción secundaria que se llevará a cabo cuando los intentos de limpiar sean infructuosos. Elija entre sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. ActiveAction En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/ malware: 7-24

291 Gestionar las exploraciones Tabla 7-5. Acciones de exploración recomendadas por Trend Micro frente a virus y malware Tipo de virus/ malware Exploración en tiempo real Primera acción Segunda acción Exploración manual/ Exploración programada Primera acción Segunda acción Virus Limpiar Eliminar todo el mensaje Limpiar Sustituir por texto o archivo Gusanos/ programa de caballo de Troya Sustituir por texto o archivo N/D Sustituir por texto o archivo N/D Packer Poner en cuarentena parte del mensaje N/D Poner en cuarentena parte del mensaje N/D Otro código malicioso Limpiar Eliminar todo el mensaje Limpiar Sustituir por texto o archivo Amenazas adicionales Poner en cuarentena parte del mensaje N/D Sustituir por texto o archivo N/D Comportamiento de correo masivo Eliminar todo el mensaje N/D Sustituir por texto o archivo N/D Notificaciones sobre la acción de exploración Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe a los destinatarios previstos cuando se realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los destinatarios de correo externos que se ha bloqueado un mensaje con información confidencial. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 7-25

292 Manual del administrador de Worry-Free Business Security 9.0 SP3 También se puede desactivar el envío de notificaciones a remitentes y destinatarios externos engañosos. 7-26

293 Gestionar las exploraciones Configuración avanzada (acciones de exploración) Configuració n Macros Detalles los virus de macro son virus específicos de una aplicación que infectan las utilidades de macro que acompañan a las aplicaciones. La exploración avanzada de macros utiliza la exploración heurística para detectar virus de macro o quitar todos los códigos de macro detectados. La exploración heurística es un método de evaluación que sirve para detectar virus y que utiliza las tecnologías de reconocimiento de patrones y reglas para buscar código de macro malicioso. Este método es especialmente eficaz para detectar virus y amenazas desconocidos que carecen de una firma de virus conocida. El Messaging Security Agent realiza acciones contra el código de macro malicioso en función de la acción que se configure. Nivel heurístico El nivel 1 utiliza los criterios más específicos, pero es el que detecta menos códigos de macro. El nivel 4 es el que detecta más códigos de macro, pero utiliza los criterios menos específicos y puede notificar por error que un código de macro seguro alberga código de macro malicioso. Consejo Trend Micro recomienda el nivel 2 de exploración heurística, el cual proporciona un nivel de detección elevado para virus de macro desconocidos y alta velocidad de exploración. Asimismo utiliza solo las reglas necesarias para buscar cadenas de virus de macro. El nivel 2 también tiene un bajo nivel de identificación incorrecta de código malicioso en el código de macro seguro. Eliminar todas las macros detectadas por la exploración de macros avanzada: quita todos los códigos de macro detectados en los archivos explorados. 7-27

294 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuració n Partes de mensajes no explorables Partes del mensaje excluidas Configuración de la copia de seguridad Configuración de la sustitución Detalles Defina la condición de acción y notificación para los archivos cifrados o protegidos con contraseña. Para la acción, elija entre sustituir con texto/archivo, poner en cuarentena todo el mensaje, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. Defina la condición de acción o notificación para las partes de mensajes que se hayan excluido. Para la acción, elija entre sustituir con texto/archivo, poner en cuarentena todo el mensaje, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. La ubicación para guardar la copia de seguridad de los archivos infectados antes de que el agente los limpie. configure el texto y el archivo del texto de sustitución. Si la acción consiste en sustituir por texto/archivo, WFBS sustituirá la amenaza por este archivo y esta cadena de texto. 7-28

295 Capítulo 8 Administrar las actualizaciones En este capítulo se describen los componentes de Worry-Free Business Security y los procedimientos de actualización. 8-1

296 Manual del administrador de Worry-Free Business Security 9.0 SP3 Información general sobre actualizaciones Todas las actualizaciones de componentes se originan en el servidor ActiveUpdate de Trend Micro. Cuando hay actualizaciones disponibles, el Security Server descarga los componentes actualizados y, a continuación, los distribuye a los Security Agents y a los Messaging Security Agents (Advanced solo). Si un Security Server administra un número grande de Security Agents, es posible que la actualización utilice una cantidad considerable de recursos informáticos de servidor, lo que afectaría a la estabilidad y al rendimiento del servidor. Para solucionar este problema, Worry-Free Business Security tiene una función de agente de actualización que permite a determinados Security Agents compartir la tarea de distribuir las actualizaciones a los demás Security Agents. En la siguiente tabla, se describen opciones de actualización de componentes para los Security Servers y los agentes, además de recomendaciones acerca de su uso: Tabla 8-1. Opciones de actualización Secuencia de actualización 1. Fuente de actualización personalizada o servidor ActiveUpdate 2. Security Server 3. Agentes Descripción Trend Micro Security Server recibe componentes actualizados desde el servidor ActiveUpdate o desde una fuente de actualizaciones personalizada y, a continuación, los implementa directamente en los agentes (Security Agents y Messaging Security Agents). Recomendación Utilice este método si no hay secciones con ancho de banda reducido entre el Security Server y los agentes. 8-2

297 Administrar las actualizaciones Secuencia de actualización Descripción Recomendación 1. Fuente de actualización personalizada o servidor ActiveUpdate 2. Security Server 3. Actualizar los agentes, los Messaging Security Agents y los Security Agents sin agentes de actualización 4. Todos los demás Security Agents 1. Servidor ActiveUpdate 2. Security Agents Trend Micro Security Server recibe componentes actualizados del servidor ActiveUpdate (u otra fuente de actualización personalizada) y los implementa directamente en: Agentes de actualización Messaging Security Agents Security Agents sin agentes de actualización Los agentes de actualización pueden entonces implementar los componentes en sus Security Agents correspondientes. Si esos Security Agents no se pueden actualizar, se actualizan directamente desde el Security Server. Los Security Agents que no se pueden actualizar desde ninguna fuente, se actualizan directamente desde el servidor ActiveUpdate. Si no hay secciones de ancho de banda reducido entre el Security Server y los Security Agents, utilice este método para equilibrar la carga de tráfico en la red. Este mecanismo se debe usar solo como último recurso. Nota Los Messaging Security Agents nunca se actualizan directamente desde el servidor ActiveUpdate. Si ninguna fuente está disponible, el Messaging Security Agent sale del proceso de actualización. 8-3

298 Manual del administrador de Worry-Free Business Security 9.0 SP3 Componentes que se pueden actualizar Worry-Free Business Security usa componentes para proteger a los agentes frente a las últimas amenazas. Mantenga actualizados los componentes realizando actualizaciones programadas o manuales. La pantalla de estado de actividad permite ver el estado de los componentes Defensa frente a epidemias, Antivirus, Antispyware y Virus de red. Si Worry-Free Business Security está protegiendo los servidores Microsoft Exchange (solo versión Advanced), también podrá ver el estado de los componentes antispam. Worry-Free Business Security puede enviar una notificación a los administradores cuando las actualizaciones de componentes resultan necesarias. En las siguientes tablas figuran los componentes que Security Server descarga de ActiveUpdate Server: Tabla 8-2. Componentes de mensajería (solo versión Advanced) Componente Patrón antispam del Messaging Security Agent Motor antispam del Messaging Security Agent de 32 y 64 bits Motor de exploración del Messaging Security Agent de 32 y 64 bits Destino de la distribución Messaging Security Agents Messaging Security Agents Messaging Security Agents Descripción El patrón antispam identifica el spam más reciente en los mensajes de correo electrónico y los documentos adjuntos a dichos mensajes. El motor antispam detecta spam en mensajes de correo electrónico y en documentos adjuntos a estos. El motor de exploración detecta gusanos de Internet, virus de envío de correo masivo, troyanos, sitios de phishing, spyware y explotaciones de la red, además de virus en mensajes de correo electrónico y en sus documentos adjuntos. 8-4

299 Administrar las actualizaciones Componente Motor de filtrado de URL de Messaging Security Agent de 32 y 64 bits Destino de la distribución Messaging Security Agents Descripción Motor de filtrado de URL facilita la comunicación entre Worry-Free Business Security y el servicio de filtrado de URL de Trend Micro. El servicio de filtrado de URL es un sistema que clasifica las URL y proporciona la información correspondiente a Worry-Free Business Security. Tabla 8-3. Antivirus y smart scan Componente Motor de exploración antivirus de 32 y 64 bits Destino de la distribución Security Agents Descripción El motor de exploración es el pilar en el que se fundamentan todos los productos de Trend Micro y se desarrolló como respuesta a los virus basados en archivos. El motor de exploración es en la actualidad muy sofisticado y es capaz de detectar varios tipos de virus y malware. El motor de exploración también detecta virus controlados que se crean y utilizan para investigar. Más que explorar cada uno de los bytes de cada archivo, lo que hacen el motor y el archivo de patrón es trabajar juntos para identificar lo siguiente: Características delatoras del código de virus La ubicación concreta en la que reside el virus dentro de un archivo 8-5

300 Manual del administrador de Worry-Free Business Security 9.0 SP3 Componente Smart Scan Pattern Smart Scan Agent Pattern Patrón de virus Destino de la distribución No se distribuye para Security Agents. Este patrón permanece en Security Server y se usa al responder a consultas de exploración recibidas desde los Security Agents. Security Agents que usan smart scan Security Agents que usan la exploración convencional Descripción En el modo smart scan, los Security Agents usan dos patrones ligeros que funcionan juntos para proporcionar la misma protección que ofrecen los patrones antimalware y antispyware convencionales. El Smart Scan Pattern contiene la mayoría de las definiciones de patrones. El Smart Scan Agent Pattern contiene todas las demás definiciones de patrones no halladas en el Smart Scan Pattern. El Security Agent explora en busca de amenazas de seguridad usando el Smart Scan Agent Pattern. Los Security Agents que no pueden determinar el riesgo del archivo durante la exploración comprueban el riesgo enviando una consulta de exploración al Scan Server, un servicio alojado en Security Server. El servidor de exploración verifica el riesgo usando el Smart Scan Pattern. El Security Agent almacena en caché el resultado de la consulta de exploración proporcionado por el Scan Server para mejorar el rendimiento de la exploración. El patrón de virus contiene información que ayuda a los Security Agents a identificar los virus, malware y ataques de amenaza mixta más recientes. Trend Micro crea y publica nuevas versiones del patrón de virus varias veces por semana y siempre que se detecta un virus o malware especialmente dañino. 8-6

301 Administrar las actualizaciones Componente Destino de la distribución Descripción Patrón de IntelliTrap Security Agents El Patrón de IntelliTrap detecta los archivos de compresión en tiempo real empaquetados como archivos ejecutables. Para obtener más información, consulte IntelliTrap en la página D-3. Patrón de excepciones de IntelliTrap Motor de Damage Cleanup de 32 y 64 bits Plantilla de Damage Cleanup Patrón de inspección de la memoria Security Agents Security Agents Security Agents Security Agents El Patrón de Excepciones de Intellitrap contiene una lista de archivos comprimidos "permitidos". El motor de Damage Cleanup busca y elimina los troyanos y los procesos troyanos. El motor de Damage Cleanup utiliza la plantilla de Damage Cleanup para identificar los archivos y procesos troyanos, y poder eliminarlos. Esta tecnología ofrece exploración antivirus mejorada para virus polimórficos y mutantes, y emula la ejecución de archivos para ampliar las exploraciones basadas en patrones de virus. A continuación, se analizan los resultados en un entorno controlado para detectar intentos maliciosos sin que el rendimiento del sistema resulte afectado significativamente. Tabla 8-4. Antispyware Componente Destino de la distribución Descripción Motor de exploración de spyware y grayware v.6 de 32 y 64 bits Security Agents El Motor de Escaneo de Spyware busca y lleva a cabo la acción de exploración apropiada sobre los spyware/grayware. 8-7

302 Manual del administrador de Worry-Free Business Security 9.0 SP3 Componente Patrón de antispyware y grayware v.6 Patrón de spyware y grayware Destino de la distribución Security Agents Security Agents Descripción El Motor Anti-Spyware identifica los spyware/grayware contenidos en archivos y programas, los módulos de la memoria, el registro de Windows y los accesos directos a URL. Tabla 8-5. Virus de red Componente Destino de la distribución Descripción Patrón del cortafuegos Security Agents Al igual que el patrón de virus, el patrón de cortafuegos ayuda a los agentes a identificar firmas de virus, patrones exclusivos de bits y bytes que indican la presencia de virus de red. Tabla 8-6. Supervisión de comportamiento y control del dispositivo Componente Patrón de detección de la supervisión de comportamiento (32/64 bits) Controlador básico de la supervisión del comportamiento de 32 y 64 bits Destino de la distribución Security Agents Security Agents Descripción Este patrón contiene las reglas de detección del comportamiento sospechoso de ser una amenaza. Este controlador en modo kernel supervisa los sucesos del sistema y los transmite al Servicio básico de la supervisión de comportamiento para la aplicación de las políticas. 8-8

303 Administrar las actualizaciones Componente Servicio básico de la supervisión de comportamiento de 32 y 64 bits Patrón de configuración de la supervisión de comportamiento Motor de recuperación de datos Patrón de recuperación de datos Patrón de firmas digitales Patrón de aplicación de políticas Destino de la distribución Security Agents Security Agents Security Agents Security Agents Security Agents Security Agents Descripción Este servicio en modo de usuario cuenta con las siguientes funciones: Ofrece detección de rootkits Regula el acceso a los dispositivos externos Protege archivos, claves de Registro y servicios. El controlador de la supervisión de comportamiento utiliza este patrón para identificar los sucesos normales del sistema y los excluye de la aplicación de las políticas. El motor de recuperación de datos recibe sucesos del sistema y archivos de copia de seguridad antes de que las amenazas sospechosas puedan modificarlos y llevar a cabo otro comportamiento malicioso. Este motor también restaura los archivos afectados tras recibir una solicitud de recuperación de archivos. El patrón de recuperación de datos contiene políticas que se utilizan para supervisar el comportamiento de amenazas sospechosas. Este patrón contiene una lista de firmas digitales válidas que el Servicio básico de supervisión de comportamiento utiliza para determinar si el programa responsable del suceso de un sistema es o no seguro. El servicio básico de la supervisión de comportamiento contrasta los sucesos del sistema con las políticas de este patrón. 8-9

304 Manual del administrador de Worry-Free Business Security 9.0 SP3 Componente Patrón del activador de exploración de memoria (32/64 bits) Destino de la distribución Security Agents Descripción El servicio del activador de exploración de memoria ejecuta otros motores de exploración cuando detecta un proceso no empaquetado en la memoria. Tabla 8-7. Defensa frente a epidemias Componente Patrón de valoración de vulnerabilidades de 32 y 64 bits Destino de la distribución Security Agents Descripción Un archivo que incluye la base de datos para todas las vulnerabilidades. El patrón de valoración de vulnerabilidades contiene las instrucciones para que el motor de exploración busque vulnerabilidades conocidas. Tabla 8-8. Explotaciones del explorador Componente Patrón de prevención de explotación del explorador Patrón de analizador de secuencias de comandos Destino de la distribución Security Agents Security Agents Descripción Este patrón identifica las explotaciones más recientes del explorador Web e impide que se utilicen de forma que el explorador resulte comprometido. Este patrón analiza las secuencias de comandos de las páginas Web e identifica las que son maliciosas. Archivos Hotfix, parches y Service Packs Tras la publicación oficial de un producto, Trend Micro suele desarrollar los siguientes elementos para solucionar algunos problemas, mejorar el rendimiento del producto o incluir nuevas características: Revisión crítica en la página D

305 Administrar las actualizaciones Revisión en la página D-2 Parche en la página D-10 Service Pack en la página D-26 El distribuidor o proveedor de asistencia puede ponerse en contacto con el usuario cuando estos elementos están disponibles. Visite el sitio Web de Trend Micro para obtener más información sobre las nuevas publicaciones de archivos Hotfix, revisiones y service packs: Todas las publicaciones incluyen un archivo Léame que contiene información sobre la instalación, implementación y configuración. Lea detenidamente el archivo Léame antes de efectuar la instalación. Actualizaciones del Security Server Actualizaciones automáticas El Security Server ejecuta automáticamente las siguientes actualizaciones: Inmediatamente después de instalar el Security Server, este se actualiza desde el servidor ActiveUpdate de Trend Micro. Cada vez que se inicia el Security Server, este actualiza los componentes y la política de defensa frente a epidemias. De forma predeterminada, las actualizaciones programadas se ejecutan cada hora (la frecuencia de actualización se puede cambiar desde la consola Web). Actualizaciones manuales Se pueden ejecutar actualizaciones manuales desde la consola Web en caso de que haya que realizar una actualización urgente. Sugerencias y recordatorios sobre la actualización de servidores Después de una actualización, el Security Server distribuye automáticamente las actualizaciones de los componentes a los agentes. Para obtener más información 8-11

306 Manual del administrador de Worry-Free Business Security 9.0 SP3 sobre los componentes distribuidos a los agentes, consulte Componentes que se pueden actualizar en la página 8-4. Un Security Server que use solo IPv6 no puede realizar las siguientes tareas: Obtener las actualizaciones directamente desde el servidor ActiveUpdate de Trend Micro o desde una fuente de actualizaciones personalizadas que solo use IPv4. Distribuir las actualizaciones directamente a agentes que solo usen IPv4. Del mismo modo, un Security Server que solo use IPv4 no podrá obtener actualizaciones directamente desde una fuente de actualizaciones personalizada que solo use IPv6 ni distribuir actualizaciones a agentes que solo usen IPv6. En estas situaciones, es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para que el Security Server pueda obtener y distribuir actualizaciones. Si utiliza un servidor proxy para conectarse a Internet, use la configuración del proxy adecuada en Preferencias > Configuración general > pestaña Proxy para descargar las actualizaciones correctamente. Duplicación de componentes Trend Micro publica archivos de patrones regularmente para mantener actualizada la protección de los clientes. Dada la frecuencia con la que se publican actualizaciones de archivos de patrones, el Security Server utiliza un mecanismo denominado duplicación de componentes que permite descargar archivos de patrones con mayor rapidez. Cuando la última versión de un archivo de patrones completo está disponible para su descarga desde el servidor ActiveUpdate de Trend Micro, también lo están los patrones incrementales. Los patrones incrementales con versiones reducidas del archivo de patrones completo que representan la diferencia entre la última versión del archivo de patrones completo y la versión anterior. Por ejemplo, si la última versión es la 175, el patrón incremental v_ contiene firmas en la versión 175 que no se hallan en la versión 173 (la versión 173 es el patrón completo anterior, ya que los números de patrones se utilizan en incrementos de 2). El patrón incremental v_ contiene firmas en la versión 175 que no se encuentran en la versión 171. Para reducir el tráfico de red generado al descargar el último patrón, el Security Server ejecuta una duplicación de componentes, que es un método de actualización de 8-12

307 Administrar las actualizaciones componentes mediante el que el servidor solo descarga patrones incrementales. Para beneficiarse de la duplicación de componentes, asegúrese de que el Security Server se actualice periódicamente. De lo contrario, el servidor se verá obligado a descargar el archivo del patrón completo. La duplicación de componentes se aplica a los componentes siguientes: Patrón de virus Smart Scan Agent Pattern Plantilla de Damage Cleanup Patrón de excepciones de IntelliTrap Patrón de spyware Configurar la fuente de actualización del Security Server Antes de empezar De forma predeterminada, el Security Server obtiene las actualizaciones del servidor ActiveUpdate de Trend Micro. Puede especificar una fuente de actualización personalizada si el Security Server no consigue acceder directamente al servidor ActiveUpdate. Si la fuente es el servidor ActiveUpdate de Trend Micro, asegúrese de que el Security Server tenga conexión a Internet y, en el caso de utilizar un servidor proxy, compruebe si la conexión a Internet se puede establecer utilizando la configuración del proxy. Para obtener más información, consulte Configurar el proxy de Internet en la página Si la fuente de actualización es personalizada (Ubicación de la intranet que contiene una copia del archivo actual o Fuente de actualización alternativa), configure el entorno adecuado y actualice los recursos para esta fuente de actualización. Además, asegúrese de que exista una conexión funcional entre el Security Server y esta fuente de actualización. Si necesita ayuda a la hora de configurar una fuente de actualización, póngase en contacto con el proveedor de asistencia. 8-13

308 Manual del administrador de Worry-Free Business Security 9.0 SP3 Un Security Server que solo use IPv6 no se puede actualizar directamente desde el servidor ActiveUpdate de Trend Micro ni desde ninguna fuente de actualización personalizada que solo use IPv4. Del mismo modo, un Security Server que solo utilice IPv4 no puede actualizarse directamente desde fuentes de actualización personalizadas que utilicen solo IPv6. Es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para permitir al Security Server que se conecte a las fuentes de actualización. Procedimiento 1. Acceda a Actualizaciones > Fuente. 2. En la pestaña Servidor, seleccione una fuente de actualización. Servidor ActiveUpdate de Trend Micro Ubicación de la intranet que contiene una copia del archivo actual: escriba la ruta de la Convención de nomenclatura universal (UNC) de la fuente, por ejemplo, \\Web\ActiveUpdate. Especifique también las credenciales de inicio de sesión (el nombre de usuario y la contraseña) que el Security Server utilizará para conectarse a esta fuente. Fuente de actualización alternativa: escriba la URL correspondiente a esta fuente. Asegúrese de que el directorio virtual HTTP de destino (Web compartida) esté disponible para el Security Server. 3. Haga clic en Guardar. Actualizar manualmente el Security Server Actualice manualmente los componentes del Security Server después de instalar o actualizar el servidor y siempre que haya una epidemia. Procedimiento 1. Inicie una actualización manual de una de estas dos formas: Acceda a Actualizaciones > Manual. 8-14

309 Administrar las actualizaciones Acceda a Estado de actividad, diríjase a Estado del sistema > Actualizaciones de los componentes y haga clic en Actualizar ahora. 2. Seleccione los componentes que desee actualizar. Para obtener información detallada acerca de los componentes, consulte Componentes que se pueden actualizar en la página Haga clic en Actualizar. Se abre una pantalla nueva en la que se muestra el estado de la actualización. Si la actualización es correcta, el Security Server distribuirá automáticamente los componentes actualizados a los agentes. Configuración de actualizaciones programadas para el Security Server Configure Security Server para comprobar regularmente su fuente de actualización y descargar de forma automática las actualizaciones disponibles. Utilizar la actualización programada es la forma más fácil y eficaz de garantizar que la protección frente a amenazas esté siempre actualizada. Durante las epidemias de virus/malware, Trend Micro responde rápidamente para actualizar los archivos de patrones de virus (las actualizaciones pueden emitirse más de una vez por semana). El motor de exploración y el resto de los componentes también se actualizan con regularidad. Trend Micro recomienda una actualización diaria de los componentes (o incluso con mayor frecuencia durante epidemias de virus/malware) para asegurarse de que el agente tiene los componentes más recientes. Importante se recomienda no programar una exploración y una actualización simultáneamente. Esto podría provocar que la exploración programada se detuviera inesperadamente. Procedimiento 1. Acceda a Actualizaciones > Programada. 8-15

310 Manual del administrador de Worry-Free Business Security 9.0 SP3 2. Seleccione los componentes que desee actualizar. Para obtener información detallada acerca de los componentes, consulte Componentes que se pueden actualizar en la página Haga clic en la pestaña Programa y especifique el programa de actualizaciones. Las actualizaciones de exploración convencional incluyen todos los componentes, excepto el Smart Scan Pattern y el Smart Scan Agent Pattern. Elija entre actualizaciones diarias, semanales y mensuales y especifique un valor para Actualizar por un periodo de, que es el número de horas durante las que el Security Server realizará la actualización. El Security Server se actualizará en cualquier momento durante el periodo definido. Nota Para las actualizaciones programadas mensuales (opción no recomendada), si selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, la actualización no se realizará ese mes. Las actualizaciones de smart scan incluyen solo el Smart Scan Pattern y el Smart Scan Agent Pattern. Si ninguno de los agentes usa smart scan, haga caso omiso de este tema. 4. Haga clic en Guardar. Recuperación de componentes La recuperación significa volver a la versión anterior del patrón de virus, Smart Scan Agent Pattern y el motor de escaneo de virus. Si estos componentes no funcionan correctamente, recupere las versiones anteriores. Security Server conserva la versión actual y las versiones anteriores del motor de exploración antivirus, así como las últimas tres versiones del patrón de virus y de Smart Scan Agent Pattern. Nota Solo se pueden recuperar los componentes anteriormente mencionados. 8-16

311 Administrar las actualizaciones Worry-Free Business Security utiliza motores de exploración distintos para los agentes que ejecutan plataformas de 32 y 64 bits. Estos motores de exploración deben recuperarse por separado. El procedimiento de recuperación es idéntico para todos los tipos de motores de exploración. Procedimiento 1. Vaya a Actualizaciones > Recuperar. 2. Haga clic en Sincronizar para que un componente específico notifique a los agentes que sincronicen las versiones de sus componentes con la del servidor. 3. Haga clic en Recuperar para que un componente específico recupere ese componente tanto en Security Server como en los agentes. Actualizaciones del Security Agent y el Messaging Security Agent Actualizaciones automáticas Tanto los Security Agents como los Messaging Security Agents (Advanced solo) realizan automáticamente las siguientes actualizaciones: Inmediatamente después de la instalación, los agentes realizan la actualización desde el Security Server. Cada vez que el Security Server finaliza una actualización, automáticamente trasmite las actualizaciones a los agentes. Cada vez que un agente de actualización finaliza una actualización, automáticamente trasmite las actualizaciones a los Security Agents correspondientes. De forma predeterminada, las actualizaciones programadas se ejecutan: Cada 8 horas en los Security Agents que están en una oficina. 8-17

312 Manual del administrador de Worry-Free Business Security 9.0 SP3 Cada 2 horas en los Security Agents que están fuera de una oficina. De manera predeterminada, los Messaging Security Agents ejecutan una actualización programada cada 24 horas, a las 12:00 a.m. Actualizaciones manuales Si hay alguna actualización que sea urgente, puede realizarla manualmente desde la consola Web. Acceda a Estado de actividad, diríjase a Estado del sistema > Actualizaciones de los componentes y haga clic en Implementar ahora. Sugerencias y recordatorios sobre la actualización de agentes Los Security Agents se actualizan desde el Security Server, los agentes de actualización o el servidor ActiveUpdate de Trend Micro. Los Messaging Security Agents se actualizan únicamente desde el Security Server. Para obtener más información sobre el proceso de actualización, consulte Información general sobre actualizaciones en la página 8-2 Un agente que solo use IPv6 no puede obtener actualizaciones directamente desde un agente de actualización o un Security Server que solo usen IPv4 o desde un servidor ActiveUpdate de Trend Micro. Del mismo modo, un agente que solo use IPv4 no puede obtener actualizaciones directamente desde un agente de actualización o un Security Server que solo usen IPv6. En estas situaciones, es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para que los clientes puedan obtener actualizaciones. Para obtener más información sobre los componentes que actualizan los agentes, consulte Componentes que se pueden actualizar en la página 8-4. Además de los componentes, los agentes también reciben archivos de configuración actualizados cuando efectúan actualizaciones desde el Security 8-18

313 Administrar las actualizaciones Server. Los agentes necesitan los archivos de configuración para aplicar la nueva configuración. Cada vez que se modifica la configuración de un agente desde la consola Web, también se modifican los archivos de configuración. Agentes de actualización Los agentes de actualización son Security Agents que pueden recibir componentes actualizados desde el Security Server o el servidor ActiveUpdate y los implementan en otros Security Agents. Si en algunas secciones de la red entre los clientes y Trend Micro Security Server el ancho de banda es reducido o el tráfico es muy denso, puede especificar que los Security Agents actúen como agentes de actualización. Los agentes de actualización reducen el consumo de ancho de banda al eliminar la necesidad de que los Security Agents accedan al Security Server en busca de las actualizaciones de componentes. Si la red está segmentada por ubicación y el enlace de red entre los segmentos soporta con frecuencia una carga pesada de tráfico, Trend Micro recomienda permitir que al menos un Security Agent de cada segmento actúe como un agente de actualización. El proceso de actualización de un agente de actualización se puede describir de la siguiente forma: 1. Security Server envía notificaciones a los Agentes de actualización cuando hay nuevas actualizaciones disponibles. 8-19

314 Manual del administrador de Worry-Free Business Security 9.0 SP3 2. Los agentes de actualización descargan los componentes actualizados desde el Security Server. 3. El Security Server informa a los Security Agents sobre la disponibilidad de componentes actualizados. 4. Cada Security Agent carga una copia de la tabla de orden de los agentes de actualización para determinar su fuente de actualización apropiada. El orden de los agentes de actualización en la tabla se establece inicialmente según el orden en que se añadieron como fuentes de actualización alternativas en la consola Web. Cada Security Agent revisará la tabla entrada por entrada, desde la primera, hasta identificar su fuente de actualización. 8-20

315 Administrar las actualizaciones 5. A continuación, los Security Agents descargan los componentes actualizados desde su agente de actualización asignado. Si por alguna razón el agente de actualización asignado no estuviera disponible, el Security Agent intentará descargar los componentes actualizados desde el Security Server. Configurar agentes de actualización Procedimiento 1. Acceda a Actualizaciones > Fuente. 2. Haga clic en la pestaña Agentes de actualización. 3. Realice las siguientes tareas: 8-21

316 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Asignar Security Agents como agentes de actualización Pasos a. En la sección Asignar agente(s) de actualización, haga clic en Agregar. Se abrirá una nueva pantalla. b. En el cuadro de lista, elija uno o varios agentes para que actúen como agentes de actualización. c. Haga clic en Guardar. La pantalla se cerrará. d. De nuevo en la sección Asignar agente(s) de actualización, seleccione Los agentes de actualización siempre se actualizan solo directamente desde Security Server si desea que los agentes de actualización descarguen siempre componentes actualizados desde Security Server, en lugar de usar otro agente de actualización. 8-22

317 Administrar las actualizaciones Tarea Configurar Security Agents para que se actualicen a partir de agentes de actualización Pasos a. En la sección Fuentes de actualización alternativas, seleccione Activar fuentes de actualización alternativas para agentes de Security Agent y agentes de actualización. Nota Si se desactiva esta opción, se impide que los Security Agents se actualicen a partir de agentes de actualización, lo que hace que su fuente de actualización sea el Security Server. b. Haga clic en Agregar. Se abrirá una nueva pantalla. c. Escriba las direcciones IP de los Security Agents que se actualizarán a partir de un agente de actualización. Escriba un intervalo de direcciones IPv4. Para especificar un único Security Agent, introduzca la dirección IP del Security Agent en los campos desde y hasta. En el caso de IPv6, escriba un prefijo IP y una longitud. d. Seleccione un agente de actualización en la lista desplegable. Si la lista desplegable no está disponible, significa que no se ha configurado ningún agente de actualización. e. Haga clic en Guardar. La pantalla se cerrará. f. Defina más intervalos IP según sea necesario. Si ha definido varios intervalos IP, puede usar la opción Volver a ordenar para determinar la prioridad del intervalo IP. Cuando Security Server notifica a los Security Agents que hay actualizaciones disponibles, estos exploran la lista de intervalos IP para identificar su fuente de actualización correcta. El Security Agent examina el primer elemento de la lista y prosigue hacia abajo hasta que identifica la fuente de actualización correcta. 8-23

318 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Pasos Consejo Defina varios agentes de actualización para el mismo intervalo IP como medida de conmutación por error. Esto significa que si los Security Agents no se pueden actualizar a partir de un agente de actualización, lo intentarán con otro. Para ello, cree al menos dos (2) entradas con el mismo intervalo IP y asigne a cada entrada un agente de actualización diferente. Eliminar agentes de actualización Anular la asignación de los Security Agents desde los agentes de actualización Para eliminar un agente de actualización y anular la asignación de todos los Security Agents que tenga asignados, acceda a la sección Asignar agente(s) de actualización, marque la casilla de verificación correspondiente al nombre del equipo del agente de actualización y haga clic en Eliminar. Esta acción no eliminará el intervalo de direcciones IP de los Security Agents en la sección Fuentes de actualización alternativas y solo hará que los Security Agents que se hayan quedado "huérfanos" cambien su fuente de actualización al Security Server. Si cuenta con otro agente de actualización, podrá asignarlo a los Security Agents huérfanos. Si no desea que los Security Agents pertenecientes a un intervalo de direcciones IP efectúen sus actualizaciones a partir de un agente de actualización, acceda a la sección Fuentes de actualización alternativas, marque la casilla de verificación correspondiente al intervalo de direcciones IP de los Security Agents y haga clic en Eliminar. 4. Haga clic en Guardar. 8-24

319 Capítulo 9 Gestionar las notificaciones En este capítulo se explica cómo utilizar las distintas opciones de notificación. 9-1

320 Manual del administrador de Worry-Free Business Security 9.0 SP3 Notificaciones Los administradores pueden recibir notificaciones siempre que se produzcan sucesos extraños en la red. Worry-Free Business Security puede enviar notificaciones a través de los registros de sucesos de Windows, SNMP o el correo electrónico. De manera predeterminada, todos los sucesos que aparecen en la pantalla Notificaciones están seleccionados y hacen que el Security Server envíe una notificación al administrador del sistema. Sucesos de amenazas Defensa frente a epidemias: TrendLabs ha declarado una alerta o se han detectado vulnerabilidades muy críticas. Antivirus: los virus/malware detectados en los clientes o servidores Microsoft Exchange (Advanced solo) superan un cierto número, las acciones realizadas con los virus/malware no han surtido efecto o se ha desactivado la exploración en tiempo real en los clientes o en los servidores Microsoft Exchange. Antispyware: se ha detectado spyware/grayware en los clientes, incluidos los que precisan que se reinicie el cliente infectado para eliminar completamente la amenaza de spyware/grayware. Puede configurar el umbral de notificación de spyware/grayware, es decir, el número de incidentes de spyware/grayware detectados en el periodo de tiempo especificado (el valor predeterminado es de una hora). Antispam (Advanced solo): los casos de spam superan un determinado porcentaje del total de mensajes de correo electrónico. Reputación Web: El número de infracciones de URL supera el número configurado para un determinado periodo. Filtrado de URL: El número de infracciones de URL supera el número configurado para un determinado periodo. Supervisión de comportamiento: El número de infracciones de políticas supera el número configurado para un determinado periodo. Control de dispositivos: el número de infracciones de control de dispositivos excede un cierto número. 9-2

321 Gestionar las notificaciones Virus de red: los virus de red detectados superan un número determinado. Sucesos del sistema Smart Scan: los clientes configurados para smart scan no se pueden conectar a smart scan server o el servidor no está disponible. Actualización de componentes: desde la última vez que se actualizaron los componentes han pasado más días del número especificado o los componentes actualizados no se han implementado con suficiente rapidez en los agentes. Sucesos inusuales del sistema: el espacio en disco restante en alguno de los clientes en que se ejecuta el sistema operativo Windows Server es inferior al mínimo configurado y está alcanzando niveles peligrosamente bajos. Sucesos de la licencia Licencia: la licencia del producto ha caducado o está a punto de caducar, el recuento máximo de licencias usadas es superior al 100 % o es superior al 120 %. Configurar sucesos de notificaciones La configuración de notificaciones consta de dos pasos. En primer lugar se seleccionan los sucesos para los que se necesitan las notificaciones y, en segundo lugar, se configuran los métodos de entrega. Worry-Free Business Security ofrece tres métodos de entrega: Notificaciones por correo electrónico Notificaciones SNMP Registro de sucesos de Windows Procedimiento 1. Acceda a Preferencias > Notificaciones. 2. En la pestaña Sucesos, actualice la siguiente información según sea necesario: 9-3

322 Manual del administrador de Worry-Free Business Security 9.0 SP3 Correo electrónico: seleccione la casilla de verificación para recibir notificaciones para dicho suceso. Umbral de alerta: configure el umbral y/o periodo de tiempo para el suceso. Nombre del suceso: haga clic en el nombre de un suceso para modificar el contenido de la notificación de dicho suceso. Puede incluir variables de símbolo en el contenido. Para obtener más información, consulte Variables de símbolo en la página Haga clic en la pestaña Configuración y actualice la siguiente información según sea necesario: Notificación por correo electrónico: defina las direcciones de correo electrónico del remitente y los destinatarios. En el caso de los destinatarios, separe las distintas direcciones de correo electrónico con punto y coma (;). Destinatario de la notificación SNMP: SNMP es el protocolo que usan los hosts de la red para intercambiar información que se utiliza para administrar redes. Para ver los datos de la captura SNMP, utilice un explorador MIB (Management Information Base). Activar notificaciones SNMP Dirección IP: Dirección IP de la captura SNMP. Comunidad: La cadena de la comunidad de SNMP. Registro: Notificaciones que usan el registro de sucesos de Windows. Escribir en el registro de sucesos de Windows 4. Haga clic en Guardar. Variables de símbolo Use variables de símbolo para personalizar la línea del asunto y el cuerpo del mensaje de las notificaciones de sucesos. 9-4

323 Gestionar las notificaciones Para evitar que todos los mensajes de correo provenientes de direcciones con dominios externos se marquen como spam, agregue las direcciones de correo electrónico externo a las listas de antispam de Remitentes permitidos. Los siguientes símbolos representan cualquier amenaza detectada en un equipo de sobremesa/servidor o servidor Microsoft Exchange. Variable {$CSM_SERVERNAME } %CV %CU %CT %CP Descripción El nombre del Security Server que gestiona los agentes Número de incidentes Unidad de tiempo (minutos, horas) Número de %CU Porcentaje total de mensajes de correo electrónico que son spam Lo siguiente es un ejemplo de notificación: Trend Micro ha detectado %CV incidentes de virus en los equipos en %CT %CU. Los incidentes de virus que son demasiado numerosos o frecuentes pueden indicar una situación de epidemia. Consulte la pantalla Estado de actividad de Security Server para obtener más instrucciones. 9-5

324

325 Capítulo 10 Utilizar la función Defensa frente a epidemias En este capítulo se explica la estrategia de la Defensa frente a epidemias de Worry-Free Business Security, cómo configurar la función Defensa frente a epidemias y cómo utilizarla para proteger las redes y los clientes. 10-1

326 Manual del administrador de Worry-Free Business Security 9.0 SP3 Estrategia de la defensa frente a epidemias La defensa frente a epidemias es un componente clave de la solución Worry-Free Business Security que protege a las empresas cuando se producen epidemias de virus mundiales. Configurar la defensa frente a epidemias Procedimiento 1. Vaya a Defensa frente a epidemias. 2. En la sección Estado de los dispositivos a los que afecta la defensa frente a epidemias, haga clic en Configurar defensa frente a epidemias. 3. Para activar la defensa frente a epidemias, seleccione Activar la defensa frente a epidemias para las alertas amarillas. 4. La opción Notificar a los usuarios cliente cuando se inicie la defensa frente a epidemias se encuentra seleccionada automáticamente. Si no desea enviar a los usuarios notificaciones de la defensa frente a epidemias, desactive esta casilla. 5. De forma predeterminada, la opción Desactivar la defensa frente a epidemias se encuentra establecida en 2 días. Este periodo de tiempo puede ampliarse hasta un máximo de 30 días. 6. Actualice los siguientes datos según sea necesario: Opción Limitar/Denegar el acceso a las carpetas compartidas Descripción Seleccione esta opción para limitar o denegar el acceso a las carpetas de red compartidas como parte de la estrategia de la defensa frente a epidemias. Seleccione una de las siguientes opciones: Permite el acceso de solo lectura Deniega el acceso completo 10-2

327 Utilizar la función Defensa frente a epidemias Opción Bloquear puertos Descripción Seleccione esta opción para bloquear los puertos como parte de la estrategia de la defensa frente a epidemias. Seleccione una de las siguientes opciones: Todos los puertos Puertos especificados Si elige Puertos especificados, haga clic en Agregar y seleccione una de las opciones siguientes: Puertos utilizados habitualmente: seleccione el o los puertos de la lista. Puertos utilizados habitualmente por los troyanos: son unos 40 (o incluso más) los puertos conocidos que suelen utilizar los troyanos. Un número de puerto o intervalo de puertos entre 1 y 65535: define el puerto o el intervalo de puertos. Protocolo ping (ICMP) Denegar el acceso de escritura a archivos y carpetas Denegar acceso a todos los archivos comprimidos ejecutables Seleccione esta opción para denegar el acceso de escritura a carpetas y archivos específicos. Elija una de las siguientes opciones: Archivos para proteger en directorios específicos: escriba la ruta del directorio y especifique si desea denegar el acceso de escritura a todos los archivos o tan solo a algunos tipos de archivo específicos. Archivos para proteger en todos los directorios: escriba el nombre del archivo o los archivos específicos que desea proteger (incluida la extensión de archivo). Seleccione esta opción para denegar el acceso a los archivos comprimidos ejecutables (empaquetadores). Especifique si permitir el acceso a los archivos de confianza creados por los programas de empaquetadores ejecutables compatibles. 7. Haga clic en Guardar. 10-3

328 Manual del administrador de Worry-Free Business Security 9.0 SP3 Estado actual de Defensa frente a epidemias Vaya a Estado de actividad > Defensa frente a epidemias para ver el estado de la defensa frente a epidemias. Defensa frente a epidemias para las alertas amarillas Esta sección de la página muestra información sobre la defensa frente a epidemias para las alertas amarillas: Hora de inicio: hora en la que un administrador ha activado una alerta amarilla. Defensa frente a epidemias activada: número de equipos en los que se ha activado la defensa frente a epidemias. Haga clic en el enlace numerado para ir a la página Defensa frente a epidemias. Defensa frente a epidemias desactivada: número de equipos en los que se ha desactivado la defensa frente a epidemias. Haga clic en el enlace numerado para ir a la página Defensa frente a epidemias. Acción necesaria Esta sección de la página muestra información sobre los equipos vulnerables y aquellos que deben limpiarse: Equipos vulnerables: número de equipos con vulnerabilidades. Equipos para limpiar: número de equipos que deben limpiarse. Valoración de vulnerabilidades La herramienta Valoración de vulnerabilidades ofrece a los administradores del sistema o a otro personal de seguridad de la red una valoración de los riesgos de seguridad de la red. La información generada con la valoración de vulnerabilidades les ofrece una guía clara para resolver vulnerabilidades conocidas y proteger las redes. Use la valoración de vulnerabilidades para: Buscar vulnerabilidades en los equipos de la red. 10-4

329 Utilizar la función Defensa frente a epidemias Identificar vulnerabilidades según unas convenciones estándar de nomenclatura. Para obtener más información sobre la vulnerabilidad y cómo solucionarla, haga clic en su nombre. Visualizar las vulnerabilidades por equipo y dirección IP. Entre los resultados se incluye el nivel de riesgo que suponen las vulnerabilidades para el equipo y toda la red. Comunicar las vulnerabilidades de equipos individuales y describir los riesgos de seguridad que esos equipos suponen para toda la red. Configurar tareas que exploren alguno o todos los equipos conectados a la red. En las exploraciones se pueden buscar vulnerabilidades concretas o una lista de todas las vulnerabilidades conocidas. Ejecutar tareas de valoración manual o configurar tareas según un programa. Solicitar el bloqueo de los equipos que presentan un nivel inaceptable de riesgo para la seguridad de la red. Crear informes que identifiquen las vulnerabilidades de equipos individuales y describan los riesgos de seguridad que esos equipos suponen para toda la red. Los informes identifican las vulnerabilidades según unas convenciones de nombres estándar para que los administradores puedan seguir investigando para solucionar las vulnerabilidades y proteger la red. Puede ver historiales de valoraciones y comparar informes para comprender mejor las vulnerabilidades y modificar los factores de riesgo para la seguridad de la red. Configurar la valoración de vulnerabilidades Procedimiento 1. Vaya a Defensa frente a epidemias. 2. En la sección Equipos con vulnerabilidades, haga clic en Configurar la valoración programada. 3. Para activar las valoraciones de vulnerabilidades programadas, seleccione Activar la prevención programada de vulnerabilidades. 10-5

330 Manual del administrador de Worry-Free Business Security 9.0 SP3 4. En la sección Programa, seleccione la frecuencia de las valoraciones de vulnerabilidades: Diariamente Semanalmente Mensualmente Hora de inicio 5. En la sección Destino, seleccione el o los grupos en los que desea evaluar las vulnerabilidades: Todos los grupos: todos los grupos del árbol Grupos de seguridad. Grupos especificados: grupos de equipos de sobremesa o servidores del árbol Grupos de seguridad. 6. Haga clic en Guardar. Ejecutar valoraciones de vulnerabilidades bajo petición Procedimiento 1. Vaya a Defensa frente a epidemias. 2. En la sección Equipos con vulnerabilidades, haga clic en Buscar vulnerabilidades ahora. 3. Haga clic en Aceptar para ejecutar la exploración de vulnerabilidades. Aparecerá el diálogo Progreso de la notificación para buscar vulnerabilidades. Cuando se complete la exploración, aparecerá el diálogo Resultados de la notificación para buscar vulnerabilidades. 4. Revise los resultados de la exploración en el diálogo Resultados de la notificación para buscar vulnerabilidades y haga clic en Cerrar. 10-6

331 Utilizar la función Defensa frente a epidemias Damage Cleanup Los Security Agents utilizan Damage Cleanup Services para proteger los clientes frente a los troyanos. Para hacer frente a las amenazas y problemas que causan los troyanos y otros tipos de malware, los Damage Cleanup Services llevan a cabo las siguientes acciones: Detecta y elimina troyanos activos y otras aplicaciones de malware. Elimina los procesos creados por los troyanos y otras aplicaciones de malware. Repara los archivos del sistema modificados por los troyanos y las aplicaciones de malware. Elimina los archivos y las aplicaciones que crean los troyanos y otras aplicaciones de malware. Para efectuar estas tareas, los Damage Cleanup Services utilizan los componentes que se indican a continuación: Motor de Damage Cleanup: el motor que utilizan los Damage Cleanup Services para buscar y eliminar los troyanos y sus procesos, gusanos y spyware. Patrón de limpieza de virus: utilizado por el motor de Damage Cleanup. Esta plantilla ayuda a identificar los troyanos y sus procesos, los gusanos y el spyware para que el motor de Damage Cleanup pueda eliminarlos. Ejecutar limpieza bajo petición Procedimiento 1. Vaya a Defensa frente a epidemias. 2. En la sección Equipos para limpiar, haga clic en Limpiar ahora. Si Security Agent no está conectado o se produce alguna situación inesperada (como la interrupción de la conexión con la red), se generará un resultado de error. 3. Haga clic en Aceptar para iniciar la limpieza. 10-7

332 Manual del administrador de Worry-Free Business Security 9.0 SP3 Aparecerá el diálogo Progreso de la notificación para limpiar. Cuando se complete la limpieza, aparecerá el diálogo Resultados de la notificación para limpiar. 4. Revise los resultados de la limpieza en el diálogo Resultados de la notificación para limpiar y haga clic en Cerrar. 10-8

333 Capítulo 11 Administrar la configuración general En este capítulo se describe la configuración general de los agentes y los sistemas para el Security Server. 11-1

334 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración general Desde la consola Web, puede establecer configuraciones globales para el Security Server y los Security Agents. Proxy Si la red utiliza un servidor proxy para conectarse a Internet, defina la configuración del proxy con el fin de llevar a cabo los siguientes servicios: Actualizaciones de componentes y notificaciones de licencia Reputación Web, Supervisión de comportamiento y Smart Scan Para obtener más información, consulte Configurar el proxy de Internet en la página SMTP La configuración del servidor SMTP se aplicará a todas las notificaciones y los informes que genere Worry-Free Business Security. Para obtener más información, consulte Definir la configuración del servidor SMTP en la página Equipo de sobremesa o servidor Las opciones Equipo de sobremesa/servidor pertenecen a la configuración general de Worry-Free Business Security. Para obtener más información, consulte Definir la configuración de los equipos de sobremesa/ servidores en la página Sistema La sección Sistema de la pantalla Configuración general contiene opciones para eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y mantener la carpeta de cuarentena. Para obtener más información, consulte Definir la configuración de sistemas en la página

335 Administrar la configuración general Configurar el proxy de Internet Si el Security Server y los agentes utilizan un servidor proxy para conectarse a Internet, defina la configuración del servidor proxy con el fin de utilizar las siguientes funciones y servicios de Trend Micro: Security Server: actualizaciones de componentes y mantenimiento de licencia Security Agents: Reputación Web, Filtrado de URL, Supervisión de comportamiento, Comentarios inteligentes y Smart Scan. Messaging Security Agents (Advanced solo): Reputación Web y antispam Procedimiento 1. Acceda a Preferencias > Configuración general. 2. En la pestaña Proxy, actualice la siguiente información según sea necesario: Proxy de Security Server Nota Los Messaging Security Agents también utilizan la configuración del proxy del Security Server. Usar un servidor proxy para las actualizaciones y las notificaciones sobre la licencia Utilizar el protocolo de proxy SOCKS 4/5 Dirección: Nombre de host o dirección IPv4/IPv6 Puerto Autenticación del servidor proxy Usuario Contraseña 11-3

336 Manual del administrador de Worry-Free Business Security 9.0 SP3 Proxy de Security Agent Usar las credenciales especificadas para el proxy de actualizaciones Usuario Nota Contraseña 3. Haga clic en Guardar. Los Security Agents usan el servidor proxy de Internet Explorer y el puerto para conectarse a Internet. Seleccione esta opción solo si el Internet Explorer de los clientes y el Security Server comparten las mismas credenciales de autenticación. Definir la configuración del servidor SMTP La configuración del servidor SMTP se aplicará a todas las notificaciones y los informes que genere Worry-Free Business Security. Procedimiento 1. Acceda a Preferencias > Configuración general. 2. Haga clic en la pestaña SMTP y actualice la siguiente información según sea necesario: Servidor SMTP: La dirección IP4 o el nombre del servidor SMTP. Puerto Habilitar autenticación de servidor SMTP Nombre de usuario Contraseña 11-4

337 Administrar la configuración general 3. Para verificar que la configuración es correcta, haga clic en Enviar correo electrónico de prueba. Si el envío no fue correcto, modifique la configuración o compruebe el estado del servidor SMTP. 4. Haga clic en Guardar. Definir la configuración de los equipos de sobremesa/servidores Las opciones Equipo de sobremesa/servidor pertenecen a la configuración general de Worry-Free Business Security. La configuración de los grupos individuales prevalece sobre esta configuración. Si no ha configurado una opción determinada para un grupo, se utilizarán las opciones de Equipo de sobremesa/servidor. Por ejemplo, si no hay ninguna URL permitida para un determinado grupo, todas las URL permitidas de esta pantalla serán aplicables para el grupo. Procedimiento 1. Acceda a Preferencias > Configuración general. 2. Haga clic en la pestaña Equipo de sobremesa o servidor y actualice la siguiente información según sea necesario: Configuración Conocimiento de ubicación Descripción Conocimiento de ubicación permite a los administradores controlar la configuración de seguridad en función de cómo se conecte el cliente a la red. Conocimiento de ubicación controla la configuración de conexión En la oficina/fuera de la oficina. El Security Agent identifica automáticamente la ubicación del cliente en función de la información del gateway configurada en la consola Web y, a continuación, controla los sitios Web a los que pueden acceder los usuarios. Las restricciones varían según la ubicación del usuario: 11-5

338 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Descripción Activar la función Conocimiento de ubicación: Esta opción puede afectar a la configuración de conexión En la oficina/fuera de la oficina del Cortafuegos, la reputación Web y la frecuencia de las actualizaciones programadas. Información del gateway: Los clientes y conexiones de esta lista utilizarán la configuración de conexión interna mientras se conectan remotamente a la red (mediante VPN) y Conocimiento de ubicación está activado. Dirección IP de gateway Dirección MAC: la adición de una dirección MAC mejora considerablemente la seguridad porque solo permite la conexión del dispositivo configurado. Haga clic en el icono de papelera correspondiente para eliminar una entrada. Aviso del servicio de atención al cliente El aviso del servicio de atención al cliente envía una notificación al agente de seguridad informando al usuario con quién tiene que ponerse en contacto para obtener asistencia. Actualice los siguientes datos según sea necesario: Etiqueta del servicio de atención al cliente Dirección de correo electrónico del servicio de atención al cliente Información adicional: aparecerá cuando el usuario pase el ratón sobre la etiqueta Configuración de la exploración general Desactivación del servicio de Smart Scan: cambia todos los Security Agents al modo de exploración convencional. La exploración inteligente dejará de estar disponible hasta que se vuelva a activar con esta opción. Para cambiar uno o varios grupos de Security Agent, vaya a Configuración de seguridad > {Grupo} > Configurar > Método de exploración. 11-6

339 Administrar la configuración general Configuración Descripción Nota Para obtener directrices sobre cómo hacer que los Security Agents alternen entre los distintos métodos de exploración, consulte Configurar los métodos de exploración en la página 5-5. Activar la exploración retardada en operaciones de archivos: active esta configuración para mejorar temporalmente el rendimiento del sistema. ADVERTENCIA! Si activa la exploración retardada pueden generarse riesgos de seguridad. Excluir secciones de Shadow Copy: Los servicios Shadow Copy o Instantáneas de volumen realizan de forma manual o automática copias de seguridad o instantáneas de un archivo o carpeta de un volumen específico. Excluir la carpeta de la base de datos de Security Server: impide que los agentes instalados en el Security Server exploren su propia base de datos solo durante las exploraciones en tiempo real. De forma predeterminada, WFBS no explora su propia base de datos. Trend Micro recomienda conservar esta selección para evitar una posible corrupción de la base de datos durante la exploración. Excluir las carpetas del servidor Microsoft Exchange cuando se instala en servidor de Microsoft Exchange: impide que los agentes instalados en el servidor Microsoft Exchange exploren las carpetas de Microsoft Exchange. Excluir las carpetas del controlador de dominios de Microsoft: impide que los agentes instalados en el controlador de dominios exploren las carpetas del controlador de dominios. En estas carpetas se almacena información de usuario, nombres de usuarios, contraseñas y otra información importante. 11-7

340 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Configuración de la exploración antivirus Configuración de la exploración antispyware y antigrayware Configuración del cortafuegos Descripción Definir la configuración de la exploración para archivos comprimidos de gran tamaño: especifique el tamaño máximo del archivo extraído y el número de archivos del archivo comprimido que el agente debería explorar. Limpiar archivos comprimidos: los agentes intentarán limpiar los archivos infectados dentro de un archivo comprimido. Explorar hasta {} capas OLE: los agentes explorarán el número especificado de capas OLE (Incrustación y vinculación de objetos). OLE permite a los usuarios crear objetos con una aplicación y enlazarlos posteriormente con otra, o incrustarlos. Por ejemplo, un archivo.xls incrustado en un archivo.doc. Añadir la exploración manual al menú de accesos directos de Windows en los clientes: agrega un enlace Explorar con Security Agent al menú contextual. Esta opción permite a los usuarios hacer clic con el botón derecho del ratón en un archivo o carpeta (en el escritorio o en el Explorador de Windows) y explorar manualmente el archivo o la carpeta. Buscar cookies: Security Agent busca cookies. Agregar detecciones de cookies al registro de spyware: Agrega cada cookie de spyware detectada al registro de spyware. Marque la casilla de verificación Desactivar cortafuegos y desinstalar controladores para desinstalar el cortafuegos de cliente del servicio WFBS y eliminar los controladores asociados a él. Nota Si desactiva el cortafuegos, los ajustes de configuración asociados a él no volverán a estar disponibles hasta que no vuelva a activar el cortafuegos. 11-8

341 Administrar la configuración general Configuración Reputación Web y Filtrado de URL Descripción Lista de permitidos: excluye los sitios Web (y a sus subdominios) de las verificaciones de reputación Web y filtrado de URL. Nota La lista de permitidos tiene preferencia sobre la lista de bloqueados. Cuando una URL coincide con una entrada de la lista de permitidos, los agentes siempre permiten el acceso a dicha URL, incluso si está también en la lista de bloqueados. Si se activan las listas de permitidos/bloqueados de un grupo específico, se anulará la configuración general de los permitidos y las bloqueados del grupo. Lista de bloqueados: los sitios Web (y sus subdominios) se bloquean siempre en las verificaciones de reputación Web y filtrado de URL. Lista de excepción de procesos: procesos excluidos de las verificaciones del filtrado de URL y de la reputación Web. Especifique los procesos críticos que su organización considera de confianza. Consejo Cuando actualice la lista de excepción de procesos y el servidor implemente la lista actualizada en los agentes, todas las conexiones HTTP activas del equipo del cliente (puertos 80, 81 u 8080) se desconectarán durante varios segundos. Se recomienda actualizar la lista de excepciones de procesos durante las horas de poco trabajo. Lista de excepciones de IP: excluye las direcciones IP (p. ej., ) de las verificaciones de reputación Web y filtrado de URL. Escriba las direcciones IP críticas que su organización considera de confianza. 11-9

342 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Configuración de las alertas Contraseña de desinstalación de Security Agent Contraseña de salida y desbloqueo del programa Security Agent Descripción Envío de los registros de filtrado de URL y de la reputación Web al Security Server Mostrar el icono de alerta en la barra de tareas de Windows si el archivo de patrones no está actualizado después de {} días: muestra un icono de alerta en los clientes cuando un archivo de patrones no se actualiza transcurrido un determinado número de días. Permitir al usuario del cliente desinstalar el agente de seguridad sin contraseña. Exigir una contraseña al usuario del cliente para desinstalar el agente de seguridad: Permitir a los usuarios del cliente cerrar y desbloquear Security Agent en sus equipos sin contraseña. Exigir a los usuarios del cliente que introduzcan una contraseña para cerrar y desbloquear Security Agent. Nota Al desbloquear el Security Agent, se permite al usuario anular los parámetros configurados en Configuración de seguridad > {grupo} > Configurar > Derechos del cliente. Dirección IP preferida Esta configuración solo está disponible para Security Servers de doble pila y solo la aplican agentes de doble pila. Después de instalar o actualizar los agentes, estos se registran en el Security Server mediante una dirección IP. Seleccione una de estas opciones: IPv4 en primer lugar y, después, IPv6: los agentes utilizan primero la dirección IPv4. Si el agente no puede registrarse mediante la dirección IPv4, utilizará la dirección IPv6. Si el registro no se realiza correctamente con ninguna de las direcciones IP, el agente vuelve a intentarlo mediante la prioridad de dirección IP para esta selección

343 Administrar la configuración general Configuración Descripción IPv6 en primer lugar y, después, IPv4: los agentes utilizan primero la dirección IPv6. Si el agente no puede registrarse mediante la dirección IPv6, utilizará la dirección IPv4. Si el registro no se realiza correctamente con ninguna de las direcciones IP, el agente vuelve a intentarlo mediante la prioridad de dirección IP para esta selección. 3. Haga clic en Guardar. Definir la configuración de sistemas La sección Sistema de la pantalla Configuración general contiene opciones para eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y mantener la carpeta de cuarentena. Procedimiento 1. Acceda a Preferencias > Configuración general. 2. Haga clic en la pestaña Sistema y actualice la siguiente información según sea necesario: 11-11

344 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Eliminación de agentes de seguridad inactivos Descripción Cuando se utiliza el programa de desinstalación del agente de seguridad en el cliente para eliminar los agentes de un cliente, el programa envía automáticamente una notificación a Security Server. Cuando Security Server recibe esta notificación, elimina el icono del árbol Grupos de seguridad para indicar que el cliente ya no existe. No obstante, si se utilizan otros métodos para eliminar el agente de seguridad, como volver a formatear el disco duro del equipo o borrar manualmente los archivos del cliente, el servidor Security Server no tendrá conocimiento de la eliminación y mostrará al agente de seguridad como inactivo. Si un usuario descarga o desactiva el agente durante un periodo largo de tiempo, Security Server mostrará también el agente de seguridad como inactivo. Para asegurarse de que el árbol Grupos de seguridad muestre solo los clientes activos, puede configurar Security Server para que elimine automáticamente los agentes Security Agent inactivos del árbol Grupos de seguridad. Activar eliminación automática del Security Agent inactivo: activa la eliminación automática de los clientes que no hayan contactado con el Security Server durante un número de días especificado. Eliminar automáticamente un Security Agent si está inactivo durante {} días: días que un cliente puede estar inactivo antes de eliminarlo de la consola Web

345 Administrar la configuración general Configuración Comprobación de la conexión del agente Descripción WFBS refleja el estado de la conexión del cliente en el árbol Grupos de seguridad mediante iconos. Sin embargo, determinadas circunstancias pueden impedir que el árbol Grupos de seguridad muestre el estado correcto de la conexión del agente. Por ejemplo, si el cable de red de un cliente se desconecta por accidente, el agente no podrá notificar a Trend Micro Security Server que ahora está desconectado. Este agente seguirá apareciendo como conectado en el árbol Grupos de seguridad. Puede comprobar la conexión entre el agente y el servidor manualmente o programar una comprobación desde la consola Web. Nota La función Comprobación de la conexión no permite seleccionar grupos o agentes específicos. Se limita a comprobar la conexión de todos los agentes registrados con el Security Server. Activar la comprobación programada: permite la comprobación programada de la conexión entre el agente y el servidor. Cada hora Diariamente Semanalmente, cada Hora de inicio: La hora a la que se inicia la comprobación. Comprobar ahora: prueba la conectividad en el momento

346 Manual del administrador de Worry-Free Business Security 9.0 SP3 Configuración Mantenimiento de la cuarentena Descripción De forma predeterminada, los Security Agents envían archivos infectados en cuarentena al siguiente directorio del Security Server: <Carpeta de instalación de Security Server>\PCCSRV \Virus Si necesita cambiar de directorio (por ejemplo, si no hay espacio de disco suficiente), escriba una ruta absoluta, como D:\Quarantined Files, en el campo Directorio de cuarentena. Si lo hace, asegúrese de aplicar los mismos cambios en Configuración de seguridad > {Grupo} > Configurar > Poner en cuarentena o los agentes continuarán enviando los archivos a <Carpeta de instalación de Security Server>\PCCSRV\Virus. Además, defina las siguientes configuraciones de mantenimiento: Capacidad de la carpeta de cuarentena: tamaño de la carpeta de cuarentena en MB. Tamaño máximo para un único archivo: el tamaño máximo, en MB, de un archivo almacenado en la carpeta de cuarentena. Eliminar todos los archivos puestos en cuarentena: elimina todos los archivos de la carpeta Poner en cuarentena. Si cuando se carga un archivo nuevo la carpeta está llena, el archivo no se almacenará. Si no desea que los agentes envíen archivos en cuarentena al Security Server, configure el nuevo directorio en Configuración de seguridad > Configurar > Poner en cuarentena y haga caso omiso de la configuración de mantenimiento. Consulte Directorio de cuarentena en la página 5-34 para obtener instrucciones

347 Administrar la configuración general Configuración Instalación del Security Agent Descripción Directorio de instalación del Security Agent: Durante la instalación, se le solicitará que especifique el directorio de instalación del Security Agent, que es donde el programa de instalación instala cada Security Agent. Si es necesario, cambie el directorio escribiendo una ruta absoluta. Solo los agentes futuros se instalarán en este directorio. Los agentes existentes mantendrán su directorio actual. Utilice una de las variables siguientes para definir la ruta de instalación: $BOOTDISK: La letra de la unidad del disco de arranque 3. Haga clic en Guardar. $WINDIR: La carpeta en la que está instalado Windows $ProgramFiles: La carpeta de programas 11-15

348

349 Capítulo 12 Usar los registros y los informes En este capítulo se describe cómo utilizar los registros y los informes para supervisar el sistema y analizar la protección. 12-1

350 Manual del administrador de Worry-Free Business Security 9.0 SP3 Registros Worry-Free Business Security guarda registros completos de los incidentes de virus, malware y spyware/grayware, sucesos y actualizaciones. Puede utilizar estos registros para valorar las políticas de protección de la organización, identificar los clientes que tienen un mayor riesgo de infección y comprobar que las actualizaciones se han implementado correctamente. Nota Utilice aplicaciones de hoja de cálculo, como Microsoft Excel, para ver los archivos de registro CSV. WFBS mantiene registros de las siguientes categorías: Registros de sucesos de la consola Web Registros de equipos de sobremesa/servidores Registros de servidor Microsoft Exchange Server (Advanced solo) Tabla Tipo de registro y contenido Tipo (entidad que generó la entrada de registro) Sucesos de la consola de administración Contenido (tipo de registro del que se obtiene el contenido) Exploración manual (iniciada desde la consola Web) Actualización (actualizaciones de Security Server) Sucesos de defensa frente a epidemias Sucesos de la consola 12-2

351 Usar los registros y los informes Tipo (entidad que generó la entrada de registro) Equipo de sobremesa o servidor Contenido (tipo de registro del que se obtiene el contenido) Registros de virus Exploración manual Exploración en tiempo real Exploración programada Limpieza Registros de spyware y grayware Exploración manual Exploración en tiempo real Exploración programada Registros de reputación Web Registros del filtrado de URL Registros de supervisión de comportamiento Registros de actualización Registros de virus de red Registros de defensa frente a epidemias Registros de sucesos Registros de control de dispositivos Registros de implementación de archivos de corrección (Hotfix) 12-3

352 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tipo (entidad que generó la entrada de registro) Servidor Exchange (Advanced solo) Contenido (tipo de registro del que se obtiene el contenido) Registros de virus Registros de bloqueo de archivos adjuntos Filtrado de contenido / Registros de prevención de pérdida de datos Registros de actualización Registros de copia de seguridad Registros de archivado Registros de defensa frente a epidemias Registros de sucesos de exploración Registros de partes de mensajes que no se pueden explorar Registros de reputación Web Registros de sucesos móviles Utilizar la consulta al registro Realice consultas de registro para recopilar información de la base de datos de registro. Puede utilizar la pantalla Consulta al registro para diseñar y efectuar sus consultas. Los resultados se pueden exportar a un archivo CSV e imprimir. Un Messaging Security Agent (Advanced solo) envía sus registros al Security Server cada cinco minutos (independientemente de cuándo se genere el registro). Procedimiento 1. Acceda a Informes > Consulta al registro. 2. Actualice las siguientes opciones si es necesario: Intervalo de tiempo 12-4

353 Usar los registros y los informes Intervalo predefinido Intervalo especificado: Para limitar la consulta a unas fechas determinadas. Tipo: consulte Registros en la página 12-2 para ver el contenido de cada tipo de registro. Sucesos de la consola de administración Equipo de sobremesa o servidor Exchange Server (Advanced solo) Contenido: Las opciones disponibles dependen del tipo de registro. 3. Haga clic en Mostrar registros. 4. Para guardar el registro como un archivo de datos de valores separados por comas (CSV), haga clic en Exportar. Utilice aplicaciones de hoja de cálculo para ver los archivos CSV. Informes Puede generar informes puntuales manualmente o bien configurar el Security Server para que genere informes programados. Estos informes se pueden imprimir o enviar por correo electrónico a un administrador o a otras personas. Los datos disponibles en un informe dependen de la cantidad de registros que estén disponibles en el Security Server en el momento de generar el informe. La cantidad de registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes. En Informes > Mantenimiento, puede eliminar manualmente los registros o configurar una programación de eliminación de registros. 12-5

354 Manual del administrador de Worry-Free Business Security 9.0 SP3 Uso de informes puntuales Procedimiento 1. Acceda a Informes > Informes puntuales. 2. Realice las siguientes tareas: Tarea Generar un informe Pasos a. Haga clic en Agregar. Aparecerá una nueva pantalla. b. Configure la siguiente información: Nombre del informe Intervalo de tiempo: Limita el informe a ciertas fechas. Contenido: Para seleccionar todas las amenazas, active la casilla de verificación Seleccionar todo. Para seleccionar amenazas individuales, haga clic en la casilla de verificación correspondiente. Haga clic en el icono de signo más (+) para expandir la selección. Enviar el informe a Destinatarios: escriba las direcciones de correo electrónico de los destinatarios, separándolas con punto y coma (;). Formato: elija PDF o un enlace a un informe HTML. Si elige PDF, el archivo PDF se adjuntará al correo electrónico. c. Haga clic en Agregar. 12-6

355 Usar los registros y los informes Tarea Ver el informe Pasos En la columna Nombre del informe, haga clic en los enlaces del informe. El primer enlace abre un informe en PDF, mientras que el segundo abre un informe en formato HTML. Los datos disponibles en un informe dependen de la cantidad de registros que estén disponibles en el Security Server en el momento de generar el informe. La cantidad de registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes. En Informes > Mantenimiento, puede eliminar manualmente los registros o configurar una programación de eliminación de registros. Para obtener información detallada acerca del contenido del informe, consulte Interpretar informes en la página Eliminar informes a. Seleccione la fila que contiene los enlaces a los informes. b. Haga clic en Eliminar. Nota Para eliminar automáticamente los informes, vaya a Informes > Mantenimiento > Informes (pestaña) y establezca el número máximo de informes puntuales que WFBS debe conservar. El valor predeterminado es 10 informes puntuales. Cuando se supera este número, el Security Server elimina informes empezando por el más antiguo. Trabajar con informes programados Procedimiento 1. Acceda a Informes > Informes programados. 2. Realice las siguientes tareas: 12-7

356 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Crear una plantilla de informe programado Pasos a. Haga clic en Agregar. Aparecerá una nueva pantalla. b. Configure la siguiente información: Nombre de la plantilla del informe Programa: el informe puede ser diario, semanal o mensual. Hay que especificar la hora a la que se debe generar el informe. Para los informes mensuales, si selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, WFBS no generará ningún informe ese mes. Contenido: Para seleccionar todas las amenazas, active la casilla de verificación Seleccionar todo. Para seleccionar amenazas individuales, haga clic en la casilla de verificación correspondiente. Haga clic en el icono de signo más (+) para expandir la selección. Enviar el informe a Destinatarios: escriba las direcciones de correo electrónico de los destinatarios, separándolas con punto y coma (;). Formato: elija PDF o un enlace a un informe HTML. Si elige PDF, el archivo PDF se adjuntará al correo electrónico. c. Haga clic en Agregar. 12-8

357 Usar los registros y los informes Tarea Ver informes programados Pasos a. En la fila que contiene la plantilla desde la que se generan los informes programados, haga clic en Historial de informes. Se abrirá una nueva pantalla. b. En la columna Mostrar, haga clic en los enlaces del informe. El primer enlace abre un informe en PDF, mientras que el segundo abre un informe en formato HTML. Los datos disponibles en un informe dependen de la cantidad de registros que estén disponibles en el Security Server en el momento de generar el informe. La cantidad de registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes. En Informes > Mantenimiento, puede eliminar manualmente los registros o configurar una programación de eliminación de registros. Para obtener información detallada acerca del contenido del informe, consulte Interpretar informes en la página Tareas de mantenimiento de las plantillas Editar la configuración de una plantilla Activar/desactivar una plantilla Haga clic en la plantilla y edite la configuración en la nueva pantalla que aparece. Los informes generados después de guardar los cambios usarán la nueva configuración. Haga clic en el icono que hay en la columna Activado. Desactive una plantilla si desea interrumpir temporalmente la generación de informes programados. Por el contrario, si necesita generar informes de nuevo, actívela. 12-9

358 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Eliminar una plantilla Pasos Seleccione una plantilla y haga clic en Eliminar. Al eliminar una plantilla, no se eliminan los informes programados que se hayan generado a partir de ella, pero los enlaces a los informes ya no estarán disponibles desde la consola Web. Puede acceder a los informes directamente desde el equipo del Security Server. Los informes solo se eliminarán si se borran manualmente del equipo o si el Security Server elimina automáticamente los informes en virtud de una configuración de eliminación automática de informes que se haya programado en Informes > Mantenimiento > pestaña Informes. Tareas de mantenimiento de informes Para eliminar automáticamente las plantillas, vaya a Informes > Mantenimiento > Informes (pestaña) y establezca el número máximo de plantillas que debe conservar WFBS. El valor predeterminado es 10 plantillas. Cuando se supera este número, Security Server elimina plantillas empezando por la más antigua

359 Usar los registros y los informes Tarea Enviar un enlace de los informes programados Pasos Se puede enviar un enlace de los informes programados a través del correo electrónico (en formato PDF). Los destinatarios hacen clic en el enlace del mensaje de correo electrónico para acceder al archivo PDF. Asegúrese de que los destinatarios puedan conectarse al equipo del Security Server; de lo contrario, el archivo no se mostrará. Nota En el correo electrónico solo se proporciona un enlace al archivo PDF. El PDF real no se adjunta. a. En la fila que contiene la plantilla desde la que se generan los informes programados, haga clic en Historial de informes. Se abrirá una nueva pantalla. b. Seleccione los informes y haga clic en Enviar. Se abre el cliente de correo electrónico predeterminado y se muestra un mensaje nuevo que contiene un enlace al informe

360 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tarea Eliminar informes programados Pasos a. En la fila que contiene la plantilla desde la que se generan los informes programados, haga clic en Historial de informes. Se abrirá una nueva pantalla. b. Seleccione los informes y haga clic en Eliminar. Nota Para eliminar automáticamente los informes, vaya a Informes > Mantenimiento > Informes (pestaña) y establezca el número máximo de informes programados que WFBS debe conservar en cada plantilla. El valor predeterminado es 10 informes programados. Cuando se supera este número, el Security Server elimina informes empezando por el más antiguo. Interpretar informes Los informes de Worry-Free Business Security contienen la siguiente información: La información mostrada puede variar en función de las opciones seleccionadas

361 Usar los registros y los informes Tabla Contenido de un informe Antivirus Elemento Descripción Resumen de virus de equipos de sobremesa/servidores Los informes de virus muestran información detallada sobre la cantidad y los tipos de virus/malware que ha detectado el motor de exploración y las acciones realizadas. El informe también contiene los nombres de los virus/malware más frecuentes. Haga clic en los nombres de los virus/malware para abrir una nueva página del explorador Web y acceder a la Enciclopedia de virus de Trend Micro para conocer más información sobre ese virus/ malware. Los 5 equipos de sobremesa/servidores con más detecciones de virus Muestra los cinco equipos de sobremesa o servidores que presentan más detecciones de virus/malware. Si observa frecuentes incidentes de virus/malware en el mismo cliente, esto puede representar un elevado riesgo de seguridad al que se le deberá prestar especial atención. Historial de defensa frente a epidemias Historial de defensa frente a epidemias Muestra las epidemias recientes, su gravedad e identifica los spyware/grayware que las provocaron y cómo se introdujeron (mediante correo electrónico o un archivo)

362 Manual del administrador de Worry-Free Business Security 9.0 SP3 Elemento Antispyware Descripción Resumen de spyware/grayware de equipos de sobremesa/ servidores El informe de spyware/grayware contiene información detallada sobre las amenazas de spyware/grayware detectadas en los clientes, incluidos el número de detecciones y las acciones que WFBS ha emprendido contra ellos. Dicho informe incluye un gráfico de sectores que muestra el porcentaje correspondiente a cada acción de exploración antispyware que se ha llevado a cabo. Los 5 equipos de sobremesa/servidores con más detecciones de spyware/grayware El informe también indica las cinco amenazas de spyware/ grayware más detectadas y los cinco equipos de sobremesa/ servidores con el mayor número de detecciones de spyware/ grayware. Si desea saber más acerca de las amenazas de spyware/grayware detectadas, haga clic en los distintos nombres de spyware/grayware. Se abrirá una nueva página del explorador Web que mostrará la información relacionada con el spyware/ grayware en el sitio web de Trend Micro. Resumen de antispam (Advanced solo) Reputación Web Categoría de URL Resumen de spam Los informes de antispam contienen información sobre el número de spam y phish detectado en todos los mensajes explorados. Muestra también los falsos positivos. Los 10 equipos que más infringen las políticas de reputación Web Las 5 políticas de categoría de URL más infringidas Muestra las categorías de sitio Web a las que se accede con más frecuencia que han infringido las políticas. Los 10 equipos que más infringen las políticas de categoría de URL 12-14

363 Usar los registros y los informes Elemento Supervisión del comportamiento Descripción Los 5 programas que más infringen las políticas de supervisión de comportamiento Los 10 equipos que más infringen las políticas de supervisión de comportamiento Control del dispositivo Resumen del filtrado de contenido (Advanced solo) Los 10 equipos que más infringen las políticas de control de dispositivos Resumen del filtrado de contenido Los informes de filtrado de contenido contienen información sobre el número de mensajes que ha filtrado Messaging Security Agent. Las 10 reglas de filtrado de contenido más infringidas Una lista de las diez reglas de filtrado de contenido que más se han infringido. Use este informe para ajustar con mayor precisión las reglas de filtrado. Virus de red Los 10 virus de red más detectados Indica los diez virus de red más detectados por el controlador del cortafuegos habitual. Haga clic en los nombres de los virus para abrir una nueva página del explorador Web e ir a la Enciclopedia de virus de Trend Micro para conocer más información sobre ese virus. Los 10 equipos más atacados Muestra los equipos de la red que han sufrido más incidentes de virus. Realizar tareas de mantenimiento para informes y registros Procedimiento 1. Desplácese a Informes > Mantenimiento

364 Manual del administrador de Worry-Free Business Security 9.0 SP3 2. Realice las siguientes tareas: Tarea Definir el número máximo de informes y plantillas Configurar la eliminación automática de registros Eliminar registros manualmente Pasos Puede limitar el número de informes puntuales, informes programados (por plantilla) y plantillas disponibles en el Security Server. Cuando se supera este número, el Security Server elimina informes o plantillas empezando por el más antiguo. a. Haga clic en la pestaña Informes. b. Escriba el número máximo de informes puntuales, informes programados y plantillas de informe que se deben conservar. a. Haga clic en Eliminación automática de registros. b. Seleccione los tipos de registro y especifique la máxima antigüedad que puede tener un registro. Los registros cuya antigüedad sea mayor, se eliminarán. a. Haga clic en Eliminación automática de registros. b. Para cada tipo de registro, especifique la antigüedad máxima de los registros. Los registros cuya antigüedad sea mayor, se eliminarán. Para eliminar todos los registros, escriba 0. c. Haga clic en Eliminar. 3. Haga clic en Guardar

365 Capítulo 13 Realizar tareas administrativas En este capítulo se explica cómo se realizan tareas de administración adicionales, por ejemplo, ver la licencia del producto, trabajar con Plug-in Manager o desinstalar el Security Server. 13-1

366 Manual del administrador de Worry-Free Business Security 9.0 SP3 Cambiar la contraseña de la consola Web Trend Micro recomienda utilizar contraseñas seguras para la consola Web. Una contraseña segura debe tener como mínimo ocho caracteres de longitud, algunas letras en mayúsculas (A Z), algunas letras en minúsculas (a z), algún número (0-9) y caracteres especiales o signos de puntuación (!@#$%^&,.:;?). Una contraseña segura nunca debe ser igual al nombre de inicio de sesión del usuario ni contenerlo dentro de la contraseña. No deben contener el apellido del usuario, las fechas de nacimiento ni otra información fácilmente relacionada con el usuario. Procedimiento 1. Acceda a Preferencias > Contraseña. 2. Actualice las siguientes opciones si es necesario: Contraseña anterior Contraseña nueva Confirmar contraseña: Vuelva a escribir la contraseña nueva para confirmarla. 3. Haga clic en Guardar. Trabajar con Plug-in Manager Plug-in Manager muestra los programas tanto para el Security Server como para los agentes en la consola Web en cuanto están disponibles. Una vez disponibles, puede instalarlos y administrarlos desde la consola Web, e incluso implementar los programas de complementos de cliente en los agentes. Descargue e instale el Plug-in Manager desde Preferencias > Complementos. Después de la instalación, podrá buscar los programas de complementos disponibles. Consulte la documentación de Plug-in Manager y los programas de complementos para obtener más información. 13-2

367 Realizar tareas administrativas Gestionar la licencia del producto En la pantalla Licencia del producto puede renovar, actualizar o ver los detalles de la licencia del producto. La pantalla Licencia del producto muestra los detalles de la licencia. En función de las opciones que haya elegido durante la instalación, tendrá una versión con licencia o una versión de evaluación. En ambos casos, la licencia le otorga derecho a un contrato de mantenimiento. Cuando dicho contrato de mantenimiento caduca, los clientes de la red tendrán protección muy limitada. Utilice la pantalla Licencia del producto para determinar cuándo expirará la licencia y asegurarse de que la renovará antes de que caduque. Nota Es posible que las licencias de los distintos componentes de los productos de Trend Micro varíen según la región. Una vez finalizada la instalación, verá un resumen de los componentes a los que concede derecho su clave de registro/código de activación. Póngase en contacto con su proveedor o distribuidor para comprobar los componentes para los que ha recibido la licencia. Renovación de licencia Puede renovar la versión de licencia completa de WFBS o realizar la actualización a ella mediante el pago de la cuota de renovación de mantenimiento. Para la versión con licencia completa se requiere un código de activación. La licencia de un producto se puede renovar de dos formas: En la consola Web, acceda a la pantalla Estado de actividad y siga las instrucciones que aparezcan en ella. Estas instrucciones aparecen 60 días antes y 30 días después de que caduque la licencia. Póngase en contacto con su representante de ventas o distribuidor de Trend Micro para renovar el contrato de licencia. Los distribuidores pueden dejar su información de contacto en un archivo en el Security Server. Compruebe el archivo en: {Carpeta de instalación de Security Server}\PCCSRV\Private \contact_info.ini 13-3

368 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota Por lo general, {Carpeta de instalación de Security Server} se encuentra en C:\Archivos de programa\trend Micro\Security Server. Un representante de Trend Micro actualizará su información de registro mediante el registro de productos de Trend Micro. Security Server sondea el servidor de registro de productos y recibe la nueva fecha de caducidad directamente del servidor de registro de productos. Al renovar la licencia no tendrá que introducir manualmente el nuevo código de activación. Activar una licencia nueva El tipo de licencia determina el código de activación de Worry-Free Business Security. Tabla Código de activación según el tipo de licencia Tipo de licencia Versión de licencia completa de WFBS (edición Standard) Versión de licencia completa de WFBS (edición Advanced) Código de activación CS-xxxx-xxxxx-xxxxx-xxxxx-xxxxx CM-xxxx-xxxxx-xxxxx-xxxxx-xxxxx Nota Si tiene alguna pregunta sobre el código de activación, consulte el sitio Web de soporte de Trend Micro en la siguiente dirección: Use la pantalla Licencia del producto para cambiar el tipo de licencia escribiendo un nuevo código de activación. 1. Desplácese a Preferencias > Licencia del producto. 2. Haga clic en Escribir un código nuevo. 3. Escriba el nuevo código de activación en el campo correspondiente. 13-4

369 Realizar tareas administrativas 4. Haga clic en Activar. Participar en el programa Smart Feedback Para obtener información detallada acerca del Feedback Inteligente, consulte Comentarios inteligentes en la página Procedimiento 1. Acceda a Preferencias > Smart Protection Network. 2. Haga clic en Activar la función Comentarios inteligentes de Trend Micro. 3. Para enviar información sobre posibles amenazas de seguridad en los archivos de sus equipos cliente, active la casilla de verificación Activar comentarios sobre archivos de programas sospechosos. Nota Los archivos enviados a Feedback Inteligente no contienen datos de los usuarios y se envían sólo para el análisis de amenazas. 4. Para ayudar a Trend Micro a entender su organización, seleccione el tipo Sector. 5. Haga clic en Guardar. Cambiar el idioma de la interfaz del agente De forma predeterminada, el idioma utilizado en la interfaz del agente se corresponderá con la configuración regional definida en el sistema operativo del cliente. Los usuarios pueden cambiar el idioma desde la interfaz del agente. 13-5

370 Manual del administrador de Worry-Free Business Security 9.0 SP3 Guardar y restaurar la configuración del programa Puede guardar una copia de la base de datos del Security Server y los archivos de configuración importantes para recuperar el Security Server. Esta acción puede resultar necesaria si tiene problemas y desea reinstalar el Security Server o si desea recuperar una configuración anterior. Procedimiento 1. Detenga el servicio maestro de Trend Micro Security Server. 2. Copie manualmente los siguientes archivos y carpetas desde la carpeta a una ubicación alternativa: ADVERTENCIA! no utilice ninguna herramienta o aplicación de copia de seguridad para esta tarea. C:\Archivos de programa\trend Micro\Security Server\PCCSRV ofcscan.ini:contiene la configuración general. 13-6

371 Realizar tareas administrativas ous.ini: Contiene la tabla de orígenes de actualización para la implementación de componentes antivirus. Carpeta Private: Contiene la configuración de cortafuegos y de origen de actualización. Carpeta Web\TmOPP: Configuración de la defensa frente a epidemias. Pccnt\Common\OfcPfw.dat: Contiene la configuración del cortafuegos. Download\OfcPfw.dat: Contiene la configuración de implementación del cortafuegos. Carpeta Log: Contiene el registro de sucesos del sistema y de Comprobar conexión. Carpeta Virus: carpeta en la que WFBS pone en cuarentena los archivos infectados. Carpeta HTTDB: contiene la base de datos de WFBS. 3. Desinstalar el Security Server. Consulte Desinstalar Security Server en la página Realice una instalación nueva. Consulte el Manual de instalación y actualización de WFBS. 5. Cuando finalice el instalador maestro, detenga el servicio maestro de Trend Micro Security Server en el equipo de destino. 6. Actualice la versión del patrón de virus desde el archivo de copia de seguridad: a. Obtenga la versión actual del patrón de virus del nuevo servidor. \Trend Micro\Security Server\PCCSRV\Private \component.ini. [6101] ComponentName=Virus pattern Version=xxxxxx 0 0 b. Actualice la versión del archivo de patrones de virus en el archivo copiado: \Private\component.ini 13-7

372 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota Si cambia la ruta de instalación del Security Server, tendrá que actualizar la información de la ruta en los archivos de copia de seguridad ofcscan.ini y \private\ofcserver.ini. 7. Con las copias de seguridad que ha creado, sobrescriba la base de datos de WFBS y los archivos y carpetas relevantes en la carpeta PCCSRV del equipo de destino. 8. Reinicie el servicio maestro de Trend Micro Security Server. Desinstalar Security Server Si desinstala el Security Server también se desinstalará el servidor de exploración. Worry-Free Business Security utiliza un programa de desinstalación para eliminar de forma segura Trend Micro Security Server del equipo. Elimine el agente de todos los clientes antes de eliminar Security Server. La desinstalación de Trend Micro Security Server no desinstala los agentes. Antes de desinstalar Trend Micro Security Server, los administradores deben desinstalar o mover todos los agentes a otro Security Server. Consulte Eliminar agentes en la página Procedimiento 1. En el equipo que ha utilizado para instalar el servidor, haga clic en Inicio > Panel de control > Agregar o quitar programas. 2. Haga clic en Trend Micro Security Server y, a continuación, seleccione Cambiar/Quitar. Aparecerá una pantalla de confirmación. 3. Haga clic en Siguiente. El Desinstalador maestro, el programa de desinstalación del servidor, le solicitará la contraseña de administrador. 4. Escriba la contraseña de administrador en el cuadro de texto y haga clic en Aceptar. 13-8

373 Realizar tareas administrativas El programa Desinstalador maestro empezará a eliminar los archivos del servidor. Cuando Security Server se ha desinstalado aparece un mensaje de confirmación. 5. Haga clic en Aceptar para cerrar el programa de desinstalación. 13-9

374

375 Capítulo 14 Usar las herramientas de gestión En este capítulo se explica cómo utilizar las herramientas administrativas y de cliente y los complementos. 14-1

376 Manual del administrador de Worry-Free Business Security 9.0 SP3 Tipos de herramientas Worry-Free Business Security incluye un conjunto de herramientas que pueden ayudarle a realizar con facilidad varias tareas, incluidas la configuración del servidor y la administración de los clientes. Nota Las herramientas administrativas y de cliente no se puede ejecutar desde la consola Web. Los complementos se pueden descargar desde la consola Web. Si desea conocer instrucciones para utilizar las herramientas, consulte los apartados correspondientes más abajo. Estas herramientas se clasifican en tres categorías: Herramientas administrativas Configuración de inicio de sesión (SetupUsr.exe): Automatiza la instalación del agente de seguridad. Consulte Instalar con Configuración de secuencia de comandos de inicio de sesión en la página Vulnerability Scanner (TMVS.exe): detecta los equipos sin protección de la red. Consulte Instalar con Vulnerability Scanner en la página Remote Manager Agent: habilita a los distribuidores para administrar WFBS a través de una consola Web centralizada. Consulte Instalación de Trend Micro Remote Manager Agent en la página Trend Micro Disk Cleaner: elimina los archivos innecesarios de copia de seguridad de WFBS, los archivos de registro y los archivos de patrón sin usar. Consulte Ahorrar espacio en disco en la página Scan Server Database Mover: desplaza la base de datos del servidor de exploración de forma segura a otra unidad de disco. Consulte Desplazamiento de la base de datos de Scan Server en la página Herramientas de cliente 14-2

377 Usar las herramientas de gestión Client Packager (ClnPack.exe): crea un archivo autoextraíble que contiene el programa agente de seguridad y sus componentes. Consulte Instalar con Client Packager en la página Restaurar spyware y virus cifrados (VSEncode.exe): abre los archivos infectados que cifró WFBS. Consulte Restaurar archivos cifrados en la página Herramienta Client Mover (IpXfer.exe): transfiere un agente desde un Security Server a otro. Consulte Mover agentes en la página Regenerar ClientID de Security Agent (WFBS_WIN_All_ReGenID.exe): use la utilidad ReGenID para regenerar el identificador ClientID del Security Agent, en función de si el agente está en un equipo clonado o una máquina virtual. Consulte Utilizar la herramienta ReGenID en la página Desinstalación del Security Agent (SA_Uninstall.exe): quita automáticamente todos los componentes del agente de seguridad del equipo cliente. Consulte Usar la herramienta de desinstalación de SA en la página Complementos: permiten que los administradores vean información sobre el sistema y la seguridad en directo desde las consolas de los sistemas operativos Windows compatibles. Se trata de la misma información de nivel elevado visible en la pantalla Estado de actividad. Consulte Gestionar los complementos de SBS y EBS en la página Nota Algunas herramientas de versiones anteriores de WFBS no están disponibles en esta versión. Si necesita estas herramientas, póngase en contacto con la asistencia técnica de Trend Micro. Instalación de Trend Micro Remote Manager Agent Trend Micro Remote Manager Agent permite a los distribuidores administrar WFBS con Trend Micro Remote Manager (TMRM). TMRM Agent (versión 3.5) se instala en Security Server 9.0 SP

378 Manual del administrador de Worry-Free Business Security 9.0 SP3 Si es socio certificado de Trend Micro, puede instalar el agente de Trend Micro Remote Manager (TMRM). Si opta por no instalar el agente de TMRM una vez finalizada la instalación de Security Server, puede hacerlo más tarde. Requisitos de la instalación: GUID de TMRM Agent Para obtener el GUID, abra la consola de TMRM y acceda a Clientes (pestaña) > Todos los clientes (en el árbol) > {cliente} > WFBS/CSM > Detalles del servidor/agente (panel derecho) > Detalles del WFRM Agent Una conexión a Internet activa 50 MB de espacio libre en disco Procedimiento 1. Diríjase al servidor de seguridad y desplácese hasta la siguiente carpeta de instalación: PCCSRV\Admin\Utility\RmAgent e inicie la aplicación TMRMAgentforWFBS.exe. Por ejemplo: C:\Archivos de programa\trend Micro\Security Server\PCCSRV\Admin\Utility\RmAgent\TMRMAgentforWFBS.exe Nota Omita este paso si está realizando la instalación desde la pantalla de instalación del Security Server. 2. En el Asistente de instalación de Trend Micro Remote Manager Agent, lea el contrato de licencia. Si acepta los términos del contrato, seleccione Acepto los términos del contrato de licencia y haga clic en Siguiente. 3. Haga clic en Sí para confirmar que usted es un socio con certificación. 4. Seleccione Ya tengo una cuenta de Trend Micro Remote Manager y deseo instalar el agente. Haga clic en Siguiente. 5. Determine su situación. 14-4

379 Usar las herramientas de gestión Escenario Pasos Cliente nuevo a. Seleccione Asociar a un nuevo cliente. b. Haga clic en Siguiente. Introduzca la información del cliente. Nota Si el cliente ya existe en la consola de TMRM y utiliza la opción anterior para asociar a un nuevo cliente, aparecerán dos clientes con el mismo nombre en el árbol de red de TMRM. Para que esto no ocurra, utilice el siguiente método. Cliente existente a. Seleccione Este producto ya existe en Remote Manager. 6. Haga clic en Siguiente. Nota WFBS ya debe haberse agregado a la consola de TMRM. Consulte la documentación de TMRM para obtener más instrucciones. b. Escriba el GUID. 7. Seleccione la Región y el Protocolo, y escriba la información del proxy, si es necesario. 8. Haga clic en Siguiente. Aparecerá la pantalla Ubicación de la instalación. 9. Para utilizar la ubicación predeterminada, haga clic en Siguiente. 10. Por último, haga clic en Finalizar. Si la instalación se ha realizado correctamente y la configuración es correcta, el agente TMRM debería registrarse automáticamente en el servidor de Trend Micro Remote Manager. El agente debe mostrarse con el estado En línea en la consola de TMRM. 14-5

380 Manual del administrador de Worry-Free Business Security 9.0 SP3 Ahorrar espacio en disco Ahorre espacio en disco en el Security Server y en los clientes ejecutando la herramienta Disk Cleaner. Ejecutar Disk Cleaner en el Security Server Antes de empezar Para ahorrar espacio en disco, la herramienta Disk Cleaner (TMDiskCleaner.exe) identifica y elimina los archivos de copia de seguridad, registro y patrones no utilizados de los siguientes directorios: {Security Agent}\AU_Data\AU_Temp\* {Security Agent}\Reserve {Security Server}\PCCSRV\TEMP\* (excepto archivos ocultos) {Security Server}\PCCSRV\Web\Service\AU_Data\AU_Temp\* {Security Server}\PCCSRV\wss\*.log {Security Server}\PCCSRV\wss\AU_Data\AU_Temp\* {Security Server}\PCCSRV\Backup\* {Security Server}\PCCSRV\Virus\* (elimina archivos en cuarentena que tengan más de dos semanas de antigüedad, excepto el archivo NOTVIRUS) {Security Server}\PCCSRV\ssaptpn.xxx (mantiene solo el último patrón) {Security Server}\PCCSRV\lpt$vpn.xxx (mantiene solo los tres últimos patrones) {Security Server}\PCCSRV\icrc$oth.xxx (mantiene solo los tres últimos patrones) {Security Server}\DBBackup\* (mantiene solo las dos últimas subcarpetas) 14-6

381 Usar las herramientas de gestión {Messaging Security Agent}\AU_Data\AU_Temp\* {Messaging Security Agent}\Debug\* {Messaging Security Agent}\engine\vsapi\latest\pattern\* Procedimiento 1. En Security Server, vaya a este directorio: {Carpeta de instalación del servidor}\pccsrv\admin\utility\ 2. Haga doble clic en TMDiskCleaner.exe. Aparece el Disk Cleaner de Trend Micro Worry-Free Business Security. Nota Los archivos no se pueden restaurar. 3. Haga clic en Eliminar archivos para explorar y eliminar los archivos de patrón, registro y copia de seguridad no utilizados. Ejecutar Disk Cleaner en el Security Server mediante la interfaz de línea de comandos Procedimiento 1. En el Security Server, abra una ventana de símbolo del sistema. 2. En el símbolo del sistema, ejecute el siguiente comando: TMDiskCleaner.exe [/hide] [/log] [/allowundo] /hide: ejecuta la herramienta como un proceso en segundo plano. /log: guarda un registro de la operación en DiskClean.log que se encuentra en la carpeta actual. 14-7

382 Manual del administrador de Worry-Free Business Security 9.0 SP3 Nota /log está sólo disponible cuando se usa /hide. /allowundo: mueve los archivos a la Papelera de reciclaje y no los elimina de forma permanente. 3. Para ejecutar la herramienta Disk Cleaner de forma frecuente, configure una nueva tarea usando las tareas programadas de Windows. Consulte la documentación de Windows para obtener más información. Ahorrar espacio de disco en los clientes Procedimiento En los equipos de sobremesa o en los servidores con Security Agents: Limpie los archivos en cuarentena. Limpie los archivos de registro. Ejecute la utilidad de Liberador de espacio en disco de Windows En los servidores Microsoft Exchange con Messaging Security Agents: Limpie los archivos en cuarentena. Limpie los archivos de registro. Ejecute la utilidad de Liberador de espacio en disco de Windows Limpie los registros de archivo. Limpie los archivos de copia de seguridad. Compruebe el tamaño de los registros de transacciones o de la base de datos de Microsoft Exchange. 14-8

383 Usar las herramientas de gestión Desplazamiento de la base de datos de Scan Server Si la unidad de disco en la que está instalado Scan Server no tiene suficiente espacio, utilice la herramienta Scan Server Database Mover Tool para mover la base de datos de Scan Server de forma segura a otra unidad de disco. Asegúrese de que el equipo con Security Server disponga de más de una unidad de disco y de que la nueva unidad de disco tenga 3 GB de espacio disponible como mínimo. No se aceptarán las unidades asignadas. No mueva la base de datos manualmente ni utilice otras herramientas. Procedimiento 1. En el equipo de Security Server, vaya a la <capeta de instalación de Security Server>\PCCSRV\Admin\Utility. 2. Inicie ScanServerDBMover.exe. 3. Haga clic en Cambiar. 4. Haga clic en Examinar y, a continuación, vaya al directorio de destino en la otra unidad de disco. 5. Haga clic en Aceptar y, a continuación, en Completar cuando se haya movido la base de datos. Restaurar archivos cifrados Para evitar que se abra un archivo infectado, Worry-Free Business Security lo cifra en las siguientes circunstancias: Antes de ponerlo en cuarentena Al realizar una copia de seguridad de él anterior a su limpieza 14-9

384 Manual del administrador de Worry-Free Business Security 9.0 SP3 WFBS proporciona una herramienta que descifra y restaura el archivo si es necesario recuperar la información que contiene. WFBS puede descifrar y restaurar los siguientes archivos: Tabla Archivos que WFBS puede descifrar y restaurar Archivo Archivos en cuarentena en el cliente Descripción Estos archivos se encuentran en los siguientes directorios: <Carpeta de instalación de Security Agent> \SUSPECT\Backup o <Carpeta de instalación de Security Agent> \quarantine, según lo que esté disponible. <Carpeta de instalación de Messaging Security Agent>\storage\quarantine Estos archivos se cargan en el directorio de cuarentena designado, que suele ser un directorio en el Security Server. Archivos en cuarentena del directorio de cuarentena designado Copias de seguridad de los archivos cifrados De forma predeterminada, este directorio se encuentra en el equipo de Security Server (<Carpeta de instalación de Security Server>\PCCSRV\Virus). Para cambiar el directorio, acceda a Preferencias > Configuración general > pestaña Sistema y acceda a la sección Mantenimiento de la cuarentena. Estas son las copias de seguridad de los archivos infectados que los agentes han podido limpiar. Estos archivos se encuentran en las siguientes carpetas: <Carpeta de instalación de Security Agent> \Backup <Carpeta de instalación de Messaging Security Agent>\storage\backup Para restaurar estos archivos, es necesario que los usuarios los muevan al directorio de cuarentena en el cliente

385 Usar las herramientas de gestión ADVERTENCIA! Si se restaura un archivo infectado, el virus o malware podría propagarse a otros archivos y clientes. Antes de restaurar el archivo, aísle el cliente infectado y mueva los archivos importantes de este cliente a una ubicación de copia de seguridad. Descifrar y restaurar archivos en el Security Agent Procedimiento 1. Abra el símbolo del sistema y vaya a la <Carpeta de instalación de Security Agent>. 2. Ejecute el archivo VSEncode.exe escribiendo lo siguiente: VSEncode.exe /u Este parámetro hace que se abra una pantalla en la que aparece una lista de los archivos que se encuentran en la <Carpeta de instalación de Security Agent>\SUSPECT\Backup. Los administradores pueden restaurar archivos clasificados como spyware o grayware desde la pestaña Spyware/grayware. Esta pantalla muestra una lista de los archivos que se encuentran en: <Carpeta de instalación de Security Agent>\BackupAS. 3. Seleccione un archivo para restaurar y haga clic en Restaurar. La herramienta sólo puede restaurar los archivos de uno en uno. 4. En la pantalla que se abre, especifique la carpeta en la que desea restaurar el archivo. 5. Haga clic en Aceptar. El archivo se restaurará en la carpeta especificada. Nota Es posible que en cuanto el archivo se restaure, el agente lo explore de nuevo y lo trate como si estuviera infectado. Para evitar que esto ocurra, agréguelo a la Lista de Exclusiones de la exploración. Consulte Explorar destinos y acciones para los Security Agents en la página

386 Manual del administrador de Worry-Free Business Security 9.0 SP3 6. Haga clic en Cerrar cuando haya terminado de restaurar los archivos. Descifrar y restaurar archivos en el Security Server, el directorio de cuarentena personalizado o el Messaging Security Agent Procedimiento 1. Si el archivo está en el equipo de Security Server, abra el símbolo del sistema y acceda a la <Carpeta de instalación del servidor>\pccsrv\admin \Utility\VSEncrypt. Si el archivo está en un cliente de Messaging Security Agent o en un directorio de cuarentena personalizado, acceda a la <Carpeta de instalación del servidor>\pccsrv\admin\utility y copie la carpeta VSEncrypt en el cliente o en el directorio de cuarentena personalizado. 2. Cree un archivo de texto y escriba a continuación la ruta completa de los archivos que desee cifrar o descifrar. Por ejemplo, para restaurar los archivos de C:\Mis documentos\informes, escriba C:\Mis documentos\informes\*.* en el archivo de texto. Los archivos en cuarentena del equipo de Security Server se encuentran en <Carpeta de instalación del servidor>\pccsrv\virus. 3. Guarde el archivo de texto con una extensión INI o TXT. Por ejemplo, guárdelo con el nombre ParaCifrar.ini en la unidad C:. 4. Abra el símbolo del sistema y vaya al directorio en el que se encuentra la carpeta VSEncrypt. 5. Ejecute el archivo VSEncode.exe escribiendo lo siguiente: VSEncode.exe /d /i <ubicación del archivo INI o TXT> Donde: <ubicación del archivo INI o TXT> es la ruta del archivo INI o TXT que ha creado (por ejemplo, C:\ParaCifrar.ini)

387 Usar las herramientas de gestión 6. Utilice los otros parámetros para emitir varios comandos. Tabla Restaurar parámetros Parámetro Descripción Ninguno (sin parámetros) Cifrar archivos /d Descifrar archivos /debug Cree un registro de depuración y guárdelo en el equipo. En el cliente, el registro de depuración VSEncrypt.log se crea en la <Carpeta de instalación del agente>. /o Sobrescribe un archivo cifrado o descifrado si ya existe. /f <nombre de archivo> /nr cifra o descifra un solo archivo. No restaura el nombre del archivo original /v Muestra información acerca de la herramienta /u Inicia la interfaz de usuario de la herramienta /r <Carpeta de destino> /s <Nombre del archivo original> La carpeta en la que se restaurará un archivo El nombre del archivo cifrado original Por ejemplo, escriba VSEncode [/d] [/debug] para descifrar los archivos de la carpeta Suspect y crear un registro de depuración. Cuando se descifra o cifra un archivo, WFBS crea el archivo descifrado o cifrado en la misma carpeta. Antes de descifrar o cifrar un archivo, asegúrese de que no está bloqueado

388 Manual del administrador de Worry-Free Business Security 9.0 SP3 Restaurar mensajes con formato de transporte por encapsulación neutral El formato de transporte por encapsulación neutral (TNEF) es un formato para la encapsulación de mensajes que utiliza Microsoft Exchange/Outlook. Normalmente este formato se envía como archivo adjunto de correo con el nombre Winmail.dat y Outlook Express lo oculta de forma automática. Consulte support.microsoft.com/kb/241538/es-es. Si el Messaging Security Agent archiva este tipo de mensaje y la extensión del archivo se cambia a.eml, Outlook Express mostrará únicamente el cuerpo del mensaje. Utilizar la herramienta ReGenID La instalación de cada Security Agent necesita un GUID (identificador exclusivo global) para que el Security Server pueda identificar a los agentes de forma individual. Los GUID duplicados se suelen producir en máquinas virtuales o clientes clonados. Si dos o más agentes indican el mismo GUID, ejecute la herramienta ReGenID para generar un GUID único para cada cliente. Procedimiento 1. En Security Server, vaya a este directorio: <Carpeta de instalación del servidor>\pccsrv\admin\utility\. 2. Copie WFBS_WIN_All_ReGenID.exe en una carpeta temporal en el cliente dónde está instalado Security Agent. Ejemplo: C:\temp 3. Haga doble clic en WFBS_WIN_All_ReGenID.exe. La herramienta detiene el Security Agent y elimina el GUID del cliente. 4. Reinicie el Security Agent

389 Usar las herramientas de gestión El Security Agent genera un nuevo GUID de cliente. Gestionar los complementos de SBS y EBS Worry-Free Business Security ofrece complementos que permiten a los administradores visualizar en vivo información de seguridad y del estado del sistema desde las consolas de los siguientes sistemas operativos Windows: Windows Small Business Server (SBS) 2008 Windows Essential Business Server (EBS) 2008 Windows SBS 2011 Standard/Essentials Windows Server 2012 Essentials Windows Server 2012 R2 Essentials Instalar manualmente los complementos de SBS y EBS Tanto el complemento de SBS como el de EBS se instalan automáticamente al instalar Security Server en un equipo con Windows SBS 2008, EBS 2008, SBS 2011 Standard/ Essentials o Server 2012/2012 R2 Essentials. Para utilizar el complemento en otro equipo con estos sistemas operativos, deberá instalarlo manualmente. Procedimiento 1. En la consola Web, haga clic en Preferencias > Herramientas de administración y, a continuación, haga clic en la pestaña Complementos. 2. Haga clic en el enlace Descargar correspondiente para obtener el archivo de instalación. 3. Copie e inicie el archivo de instalación en el equipo de destino

390 Manual del administrador de Worry-Free Business Security 9.0 SP3 Usar los complementos de SBS o EBS Procedimiento 1. Abra la consola de SBS o EBS. 2. En la pestaña Seguridad, haga clic en Trend Micro Worry-Free Business Security para ver la información sobre el estado

391 Apéndice A Iconos del Security Agent En este apéndice se describen los distintos iconos del Security Agent que se muestran en los clientes. A-1

392 Manual del administrador de Worry-Free Business Security 9.0 SP3 Comprobar el estado del Security Agent En la siguiente imagen se muestra la consola del Security Agent con todos los elementos actualizados y funcionando correctamente: En la siguiente tabla se muestran los iconos de la interfaz de usuario principal de la consola del Security Agent y su significado: A-2

393 Iconos del Security Agent Tabla A-1. Iconos de la interfaz de usuario principal de la consola del Security Agent Icono Estado Explicación y acción Protección activada: Está protegido y su programa está actualizado El software está actualizado y se ejecuta correctamente. No es necesario realizar ninguna acción. Reiniciar el equipo: Reinicie el equipo para terminar de solucionar las amenazas de seguridad Protección en riesgo: Póngase en contacto con el administrador Actualizar ahora: hace (número) días que no recibe una actualización. Security Agent ha encontrado amenazas que no puede solucionar inmediatamente. Reinicie el equipo para terminar de solucionar estas amenazas. La exploración en tiempo real está desactivada o la protección está en riesgo por otro motivo. Active la Exploración en tiempo real y, si esto no resuelve el problema, póngase en contacto con el servicio de asistencia. El patrón de virus tiene más de 3 días. Actualice el Security Agent de forma inmediata. A-3

394 Manual del administrador de Worry-Free Business Security 9.0 SP3 Icono Estado Explicación y acción Smart Scan no está disponible: Compruebe su conexión a Internet Reiniciar el equipo: Reinicie el equipo para finalizar de instalar una actualización Actualizando programa: Su programa de seguridad se está actualizando Security Agent no ha tenido acceso al servidor de exploración durante más de 15 minutos. Asegúrese de que dispone de conexión a la red con el fin de poder explorar con los patrones más recientes. Reinicie el equipo para completar una actualización. Actualización en curso. No se desconecte de la red hasta que haya finalizado. Ver iconos de Security Agent en la barra de tareas de Windows Los siguientes iconos de Security Agent se mostrarán en la barra de tareas de Windows de cliente: Icono Significado El estado es normal. (En movimiento) Se está ejecutando una Exploración manual o una Exploración programada. El Security Agent está usando la exploración convencional o smart scan. El Security Agent está realizando una actualización. A-4

395 Iconos del Security Agent Icono Significado Es necesario realizar una acción: La exploración en tiempo real está desactivada. Es necesario reiniciar para limpiar por completo el malware. Es necesario reiniciar debido a la actualización de un motor. La actualización es necesaria. Nota Abra la consola principal del Security Agent para ver qué acción debe realizarse. Acceder a la ventana emergente de la consola La ventana emergente de la consola del Security Agent se abrirá al pasar el puntero del ratón sobre el icono pequeño situado en la parte inferior derecha de la consola del Security Agent. A-5

396 Manual del administrador de Worry-Free Business Security 9.0 SP3 En la siguiente tabla se muestran los iconos de la ventana emergente de la consola y su significado: A-6