Guía del cliente para Symantec Endpoint Protection y Symantec Network Access Control

Transcripción

1 Guía del cliente para Symantec Endpoint Protection y Symantec Network Access Control

2 Guía del cliente para Symantec Endpoint Protection y Symantec Network Access Control El software que se describe en este manual se suministra con acuerdo de licencia y sólo puede utilizarse según los términos de dicho acuerdo. Versión de la documentación Aviso legal Copyright 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton y TruScan son marcas comerciales o marcas registradas de Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros países. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribución y descompilación o ingeniería inversa. Está prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorización previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIÓN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGÚN TIPO DE GARANTÍA EN RELACIÓN CON CONDICIONES EXPRESAS O IMPLÍCITAS, REPRESENTACIONES Y GARANTÍAS, INCLUSO GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIÓN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIÓN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE DAÑOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentación con licencia se consideran programas informáticos comerciales según lo definido en la sección de la normativa de adquisiciones de la Administración Federal de los EE. UU. (FAR) y conforme a derechos restringidos según lo definido en la sección de la FAR sobre derechos restringidos de los programas informáticos comerciales, y en la sección de la normativa de adquisiciones de la Defensa de la Administración Federal de los EE. UU. (DFARS), sobre los derechos de los programas informáticos comerciales y la documentación de programas informáticos comerciales, según corresponda, y cualquier normativa siguiente. Cualquier uso, modificación, versión de reproducción, rendimiento, visualización o divulgación del Software y de la Documentación con licencia por parte del Gobierno de los EE. UU. se realizará exclusivamente de acuerdo con los términos de este acuerdo. Symantec Corporation Stevens Creek Blvd. Cupertino, CA

3 Contenido Sección 1 Introducción... 9 Capítulo 1 Introducción del cliente de Symantec Acerca del cliente Acerca de los clientes administrados y no administrados Acerca del icono del área de notificación Cómo se mantiene actualizada la protección de su equipo Acerca del papel que desempeña Symantec Security Response Cómo se actualiza la protección en equipos cliente administrados Cómo se actualiza la protección en equipos cliente no administrados Acerca de las políticas de seguridad Actualizar la política de seguridad Sitios donde se puede obtener más información Acceso a la ayuda en línea Acceso al sitio Web de Symantec Security Response Capítulo 2 Respuesta al cliente Acerca de la interacción con el cliente Acciones sobre los archivos infectados Acerca del daño provocado por virus Acerca de las notificaciones y alertas Respuesta a las notificaciones relacionadas con aplicaciones Respuesta a las alertas de seguridad Respuesta a las notificaciones de Network Access Control Capítulo 3 Administrar el cliente Acerca de LiveUpdate Ejecutar LiveUpdate en intervalos programados Ejecutar LiveUpdate manualmente Probar la seguridad del equipo... 29

4 4 Contenido Acerca de las ubicaciones Modificar ubicaciones Acerca de la Protección contra intervenciones Habilitar, inhabilitar y configurar Protección contra intervenciones Sección 2 Symantec Endpoint Protection Capítulo 4 Capítulo 5 Capítulo 6 Conceptos generales de Symantec Endpoint Protection Acerca de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema Acerca de la protección antivirus y contra software espía Acerca de la protección contra amenazas de red Acerca de la protección proactiva contra amenazas Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad Respuesta del cliente ante virus y riesgos de seguridad Habilitar e inhabilitar componentes de protección Habilitar e inhabilitar Protección antivirus y contra software espía Habilitar e inhabilitar Protección contra amenazas de red Habilitar e inhabilitar Protección proactiva contra amenazas Usar el cliente con Windows Security Center Interrupción y retraso de análisis Administrar la protección antivirus y contra software espía Acerca de la protección antivirus y contra software espía Acerca del análisis de archivos Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad Acerca de Auto-Protect Acerca de Auto-Protect y los riesgos de seguridad Acerca de los análisis de correo electrónico de Auto-Protect Inhabilitar el uso de Auto-Protect con conexiones de correo electrónico cifradas... 61

5 Contenido 5 Ver estadísticas de análisis de Auto-Protect Ver la lista de riesgos Configurar Auto-Protect para determinar tipos de archivo Habilitar e inhabilitar el bloqueo y análisis de riesgos de seguridad de Auto-Protect Configurar el análisis de red Usar análisis antivirus y de software espía Cómo el cliente de Symantec Endpoint Protection detecta virus y riesgos de seguridad Acerca de los archivos de definiciones Acerca del análisis de archivos comprimidos Iniciar análisis manuales Configurar análisis antivirus y de software espía Crear análisis programados Crear análisis manuales y de inicio Editar y eliminar análisis de inicio, definidos por el usuario y programados Interpretar los resultados de los análisis Acerca de la interacción con los resultados del análisis o los resultados de Auto-Protect Enviar información sobre análisis antivirus y de software espía a Symantec Security Response Configurar acciones para virus y riesgos de seguridad Consejos para asignar segundas acciones para virus Consejos para asignar segundas acciones para riesgos de seguridad Acerca de la clasificación de impacto del riesgo Configurar notificaciones para virus y riesgos de seguridad Configurar excepciones centralizadas para los análisis antivirus y de software espía Acerca del área de cuarentena Acerca de los archivos infectados en la cuarentena Acerca del tratamiento de los archivos infectados en la cuarentena Acerca del tratamiento de los archivos infectados por riesgos de seguridad Administrar la cuarentena Ver archivos y detalles en el área de cuarentena Nuevo análisis de los archivos en cuarentena en busca de virus Cuando un archivo reparado no se puede devolver a su ubicación original Limpiar elementos de copia de respaldo... 94

6 6 Contenido Eliminar archivos de la cuarentena Borrar automáticamente archivos de la cuarentena Enviar un archivo potencialmente infectado a Symantec Security Response para su análisis Capítulo 7 Capítulo 8 Administrar la protección proactiva contra amenazas Acerca de la tecnología de análisis de amenazas proactivo TruScan Acerca de los análisis de amenazas proactivos TruScan Acerca de las excepciones para los análisis de amenazas proactivos TruScan Acerca de las detecciones del análisis de amenazas proactivo TruScan Acerca de la actuación sobre falsos positivos Configurar la frecuencia de los análisis de amenazas proactivos TruScan Administrar detecciones de amenazas proactivas de TruScan Configurar una acción para la detección de aplicaciones comerciales Especificar acciones y niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones Especificar los tipos de procesos que detectan los análisis de amenazas proactivos TruScan Configurar notificaciones para las detecciones del análisis de amenazas proactivo TruScan Enviar información sobre análisis de amenazas proactivos TruScan a Symantec Security Response Configurar una excepción centralizada para los análisis de amenazas proactivos TruScan Administrar la protección contra amenazas de red Acerca de la protección contra amenazas de red Cómo el cliente protege contra ataques de red Visualización de la actividad de red Configuración del firewall Acerca de las normas de firewall Adición de normas Alteración del orden de las normas Habilitar e inhabilitar normas

7 Contenido 7 Exportación e importación de normas Edición y eliminación de normas Habilitar la configuración de tráfico y de la navegación oculta por la Web Habilitar el filtro de tráfico inteligente Bloquear tráfico Configurar la prevención de intrusiones Configurar notificaciones de prevención de intrusiones Bloquear un equipo atacante Configurar opciones específicas de una aplicación Quitar restricciones para una aplicación Habilitar y deshabilitar el uso compartido de archivos e impresoras Sección 3 Symantec Network Access Control Capítulo 9 Fundamentos de Symantec Network Access Control Acerca de Symantec Network Access Control Cómo funciona Symantec Network Access Control Acerca de la actualización de la política de integridad del host Ejecutar una comprobación de integridad del host Corregir el equipo Ver los registros de acceso a la red de Symantec Acerca de la aplicación de políticas Configurar el cliente para la autenticación 802.1x Reautenticar el equipo Sección 4 Supervisión y registro Capítulo 10 Uso y administración de registros Acerca de los registros Ver los registros y los detalles de registro Filtrar las vistas del registro Administrar el tamaño del registro Configurar el tiempo de retención para las entradas de los registros de Protección antivirus y contra software espía y de Protección proactiva contra amenazas Configurar el tamaño de los registros de Protección contra amenazas de red y de Administración de clientes

8 8 Contenido Configurar el tiempo de retención para las entradas de registro de Protección contra amenazas de red y Administración de clientes Acerca del borrado de contenido del Registro del sistema de Protección antivirus y contra software espía Borrar el contenido de los registros de Protección contra amenazas de red y de Administración de clientes Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas Usar los registros de Protección contra amenazas de red y de Administración de clientes Actualizar los registros de Protección contra amenazas de red y de Administración de clientes Habilitar el Registro de paquetes Detener una respuesta activa Localizar el origen de los eventos registrados Usar los registros de Administración de clientes con Symantec Network Access Control Exportar datos de registro Índice

9 Sección 1 Introducción Introducción del cliente de Symantec Respuesta al cliente Administrar el cliente

10 10

11 Capítulo 1 Introducción del cliente de Symantec En este capítulo se incluyen los temas siguientes: Acerca del cliente Cómo se mantiene actualizada la protección de su equipo Acerca de las políticas de seguridad Sitios donde se puede obtener más información Acerca del cliente Symantec comercializa dos productos de seguridad de punto final que se pueden utilizar juntos o por separado: Symantec Endpoint Protection y Symantec Network Access Control. Usted o su administrador pueden haber instalado uno o ambos productos de software de cliente de Symantec en su equipo. Si su administrador instaló el cliente, el administrador determinó los productos que se habilitarán en el cliente. Nota: Si usted o su administrador han instalado solamente uno de estos productos en su equipo, el nombre de dicho producto aparece en la barra de título. Cuando se habilitan ambos tipos de protección, en la barra de título aparece Symantec Endpoint Protection. Symantec Endpoint Protection protege su equipo contra amenazas de Internet y riesgos de seguridad. Puede realizar las acciones siguientes: Analizar el equipo en busca de virus, amenazas conocidas y riesgos de seguridad.

12 12 Introducción del cliente de Symantec Acerca del cliente Supervisar los puertos en busca de firmas de ataques conocidas. Supervisar los programas del equipo para detectar comportamiento sospechoso. Ver "Acerca de Symantec Endpoint Protection" en la página 35. Symantec Network Access Control garantiza que la configuración de seguridad del equipo se ajuste a las políticas de red. La configuración de seguridad puede incluir software, opciones de configuración de software, archivos de firmas, parches u otros elementos. Ver "Acerca de Symantec Network Access Control" en la página 137. Acerca de los clientes administrados y no administrados El administrador de su producto de Symantec puede instalar el cliente como cliente no administrado o como cliente administrado por un administrador. Cliente no administrado significa que un administrador no controla la configuración ni las acciones en el cliente de Symantec. En un cliente no administrado, usted controla toda la configuración y las acciones en el cliente. En un entorno administrado, su administrador utiliza Symantec Endpoint Protection Manager para supervisar, configurar y actualizar el cliente remotamente. Este servidor de administración permite a su administrador determinar la cantidad de control que tiene sobre la configuración y las acciones en el cliente. Su cliente consulta al servidor de administración para determinar si hay nueva información o actualizaciones de políticas disponibles. En un entorno administrado, es posible que no pueda ver todos los componentes del cliente ni acceder a ellos. Los componentes visibles y las acciones disponibles en el cliente dependen del nivel de acceso que el administrador ha concedido al equipo. La disponibilidad de las opciones del cliente, además de los valores de configuración mismos, pueden cambiar periódicamente. Por ejemplo, una opción puede cambiar cuando el administrador actualiza la política que controla su protección del cliente. En todos los entornos, el cliente mostrará información y preguntas. Es necesario responder a estas indicaciones. Ver "Acerca de la interacción con el cliente" en la página 19. Acerca del icono del área de notificación El cliente tiene un icono del área de notificación que se encuentra en la esquina inferior derecha del escritorio. Haga clic con el botón secundario en este icono para mostrar los comandos utilizados con frecuencia.

13 Introducción del cliente de Symantec Acerca del cliente 13 Nota: En clientes administrados, este icono no aparece si el administrador lo ha configurado como no disponible. La Tabla 1-1 describe los comandos que están disponibles desde el icono del área de notificación. Tabla 1-1 Opción Comandos del icono del área de notificación Descripción Abrir Symantec Endpoint Protection Abre la ventana principal. Abrir Symantec Network Access Control Actualizar política Reautenticación Obtiene las políticas de seguridad más recientes del servidor. Nota: Este comando está disponible en equipos cliente administrados solamente. Reautentica el equipo cliente. Nota: Este comando está disponible solamente cuando el administrador configura el cliente como suplicante de 802.1x integrado. Este comando no está disponible para clientes de Symantec Endpoint Protection. Ver "Reautenticar el equipo" en la página 145. Inhabilitar Symantec Endpoint Protection Desactiva las protecciones que el administrador le ha permitido inhabilitar. Después de inhabilitar el cliente, el texto del comando cambia de Deshabilitar por Habilitar. Es posible seleccionar este comando para activar toda la protección del cliente. Ocultar y visualizar el icono del área de notificación Es posible ocultar el icono del área de notificación, si es necesario. Por ejemplo, se puede ocultarlo si se necesita más espacio en la barra de tareas de Windows. Nota: En clientes administrados, no es posible ocultar el icono del área de notificación si el administrador ha restringido esta función.

14 14 Introducción del cliente de Symantec Cómo se mantiene actualizada la protección de su equipo Para ocultar el icono del área de notificación 1 En la ventana principal, en la barra lateral, haga clic en Cambiar configuración. 2 En la página Cambiar configuración, al lado de Administración de clientes, haga clic en Configurar opciones. 3 En el cuadro de diálogo Configuración de administración de clientes, en la ficha General, bajo Opciones de visualización, deje sin marcar Mostrar icono de seguridad de Symantec en el área de notificación. 4 Haga clic en Aceptar. Para visualizar el icono del área de notificación 1 En la ventana principal, en la barra lateral, haga clic en Cambiar configuración. 2 En la página Cambiar configuración, al lado de Administración de clientes, haga clic en Configurar opciones. 3 En el cuadro de diálogo Configuración de administración de clientes, en la ficha General, bajo Opciones de visualización, marque Mostrar icono de seguridad de Symantec en el área de notificación. 4 Haga clic en Aceptar. Cómo se mantiene actualizada la protección de su equipo Los ingenieros de Symantec hacen un seguimiento de los ataques de virus para identificar virus nuevos. También investigan amenazas combinadas, riesgos de seguridad tales como software espía, y otras vulnerabilidades que puedan ser explotadas cuando su equipo se conecta a Internet. Después de identificar un riesgo, escriben una firma (información sobre el riesgo) y la almacenan en un archivo de definiciones. Este archivo de definiciones contiene la información necesaria para detectar, eliminar y reparar los efectos del riesgo. Cuando Symantec Endpoint Protection realiza análisis en busca de virus y riesgos de seguridad, lleva a cabo búsquedas de estos tipos de firmas. Otros elementos que deben mantenerse actualizados en el cliente son las listas de procesos permitidos y restringidos, y de firmas de ataques. Las listas de procesos ayudan a la tecnología de protección contra amenazas proactiva TruScan a identificar comportamiento de programas sospechoso, incluso si el cliente no reconoce una amenaza específica. Las firmas de ataques proporcionan la información que el sistema de prevención de intrusiones necesita para mantener el equipo a salvo de intrusos.

15 Introducción del cliente de Symantec Cómo se mantiene actualizada la protección de su equipo 15 Además de los archivos de definiciones, las listas de procesos y las firmas de ataques, el cliente necesita actualizar sus componentes de vez en cuando. Tales componentes pueden incluir el motor de Protección antivirus y contra software espía, el motor de análisis de amenazas proactivo TruScan y el firewall de Protección contra amenazas de red. Estas actualizaciones pueden consistir en reparaciones de defectos de menor importancia o en mejoras del producto. Symantec pone actualizaciones a disposición de los usuarios de manera frecuente y constante. Las definiciones se actualizan diariamente en el sitio Web de Symantec Security Response. Las nuevas definiciones de virus se ponen a disposición de los usuarios semanalmente (como mínimo) para que las descarguen mediante LiveUpdate, así como en el instante en que surja la amenaza de un nuevo virus destructivo. Nota: El administrador puede controlar la frecuencia de actualización de las definiciones de su cliente. Ver "Acerca de LiveUpdate" en la página 27. Acerca del papel que desempeña Symantec Security Response La potencia de Symantec Endpoint Protection reside en Symantec Security Response. Los investigadores de Symantec Security Response desensamblan las muestras de virus y de riesgos de seguridad para descubrir su comportamiento y características singulares. Con esta información, desarrollan las definiciones que los productos de Symantec utilizan para detectar, eliminar y reparar los efectos de virus y de riesgos de seguridad. Debido a la velocidad con que se extienden los nuevos virus, Symantec Security Response ha desarrollado herramientas de análisis de software automatizadas. El envío de archivos infectados desde su equipo a Symantec Security Response reduce perceptiblemente el tiempo que transcurre entre la detección, el análisis y la reparación. Los investigadores de Symantec Security Response también investigan y desarrollan tecnologías para proteger los equipos frente a riesgos de seguridad, como las aplicaciones de publicidad no deseada, el software espía y las herramientas de hackeo. Symantec Security Response mantiene una enciclopedia que proporciona información detallada acerca de los virus y los riesgos de seguridad. En los casos en que sea necesario, puede proporcionar información acerca de cómo eliminar un riesgo. La enciclopedia se puede consultar desde el sitio Web de Symantec Security Response en la URL siguiente:

16 16 Introducción del cliente de Symantec Acerca de las políticas de seguridad Cómo se actualiza la protección en equipos cliente administrados El administrador es quien determina el modo en que se actualizan las definiciones de virus y riesgos de seguridad. Lo más probable es que usted no tenga que hacer nada para recibir las nuevas definiciones. Su administrador puede configurar la función LiveUpdate en Symantec Endpoint Protection para garantizar que la protección contra virus y riesgos de seguridad se mantenga actualizada. LiveUpdate se conecta a un equipo que guarda las actualizaciones, determina si su cliente necesita ser actualizado y descarga e instala los archivos apropiados. El equipo que almacena las actualizaciones puede ser un servidor de Symantec Endpoint Protection Manager interno de su compañía. Alternativamente, puede usarse un servidor de Symantec LiveUpdate al que se accede por Internet. Ver "Acerca de LiveUpdate" en la página 27. Cómo se actualiza la protección en equipos cliente no administrados Los administradores no actualizan la protección en los clientes no administrados. Es posible actualizar el software y los archivos de definiciones usando LiveUpdate. Si su cliente no administrado utiliza la configuración predeterminada de LiveUpdate, una vez por semana verifica a través de Internet si hay actualizaciones en un servidor de Symantec. Es posible modificar la frecuencia con la cual LiveUpdate verifica si hay actualizaciones. Se puede también ejecutar LiveUpdate manualmente si usted sabe que hubo un ataque de virus u otro riesgo de seguridad. Ver "Acerca de LiveUpdate" en la página 27. Acerca de las políticas de seguridad Una política de seguridad es una colección de opciones de seguridad que el administrador de un cliente administrado configura y distribuye en los clientes. Las políticas de seguridad determinan la configuración del cliente, incluso qué opciones es posible ver y a cuáles se puede acceder. Los clientes administrados se conectan al servidor de administración y reciben automáticamente las políticas de seguridad más recientes. Si tiene dificultad con el acceso de red, su administrador puede darle instrucciones para actualizar manualmente su política de seguridad. Ver "Actualizar la política de seguridad" en la página 17.

17 Introducción del cliente de Symantec Sitios donde se puede obtener más información 17 Actualizar la política de seguridad Las opciones que controlan la protección en el cliente se almacenan en el equipo en un archivo de políticas. Este archivo de políticas de seguridad normalmente se actualiza automáticamente. Sin embargo, su administrador puede darle instrucciones para actualizar la política de seguridad manualmente bajo ciertas circunstancias. Nota: Es posible ver el registro del sistema para verificar que la operación actualizó la política correctamente. Ver "Ver los registros y los detalles de registro" en la página 155. Para actualizar la política de seguridad 1 En el área de notificación de Windows, haga clic con el botón secundario en el icono del cliente. 2 En el menú emergente, haga clic en Actualizar política. Sitios donde se puede obtener más información Acceso a la ayuda en línea Si necesita más información, puede acceder a la Ayuda en línea. Es posible obtener información adicional sobre virus y riesgos de seguridad del sitio Web de Symantec Security Response en la URL siguiente: El sistema Ayuda en línea del cliente contiene información de carácter general y pasos para ayudarlo a mantener su equipo protegido de virus y riesgos de seguridad. Nota: Es posible que su administrador haya optado por no instalar los archivos de ayuda. Para tener acceso a la Ayuda en línea En la ventana principal, realice una de las siguientes acciones: Haga clic en Ayuda & Soporte y después haga clic en Temas de ayuda. Haga clic en Ayuda en cualquiera de los cuadros de diálogo individuales.

18 18 Introducción del cliente de Symantec Sitios donde se puede obtener más información La ayuda contextual sólo está disponible en las pantallas en las que se pueden realizar acciones. Presione F1 en cualquier ventana. Si hay ayuda contextual disponible para esa ventana, aparecerá. Si la ayuda contextual no está disponible, aparece el sistema de Ayuda completo. Acceso al sitio Web de Symantec Security Response Si está conectado a Internet, podrá visitar el sitio Web de Symantec Security Response para acceder a recursos como los siguientes: La enciclopedia de virus, que contiene información acerca de todos los virus conocidos. Información acerca de virus falsos. Información general acerca de virus y de amenazas de virus. Información general y detallada sobre riesgos de seguridad. Para acceder al sitio Web de Symantec Security Response, utilice la URL siguiente: En su navegador de Internet, escriba la siguiente dirección Web:

19 Capítulo 2 Respuesta al cliente En este capítulo se incluyen los temas siguientes: Acerca de la interacción con el cliente Acciones sobre los archivos infectados Acerca de las notificaciones y alertas Acerca de la interacción con el cliente El cliente funciona en el segundo plano para mantener el equipo protegido contra actividad maliciosa. El cliente necesita a veces notificar al usuario sobre una actividad o solicitarle una respuesta. Si Symantec Endpoint Protection está habilitado en el cliente, es posible que se experimenten los tipos siguientes de interacción con el cliente: Detección de virus o riesgos de seguridad Si Auto-Protect o un análisis detectan un virus o un riesgo de seguridad, aparece el cuadro de diálogo de resultados de la detección de Symantec Endpoint Protection con los detalles sobre la infección. El cuadro de diálogo también muestra la acción que Symantec Endpoint Protection realizó sobre el riesgo. Generalmente no es necesario tomar más medidas, con excepción de revisar la actividad y cerrar el cuadro de diálogo. Es posible tomar medidas si es necesario, sin embargo. Ver "Acciones sobre los archivos infectados" en la página 20.

20 20 Respuesta al cliente Acciones sobre los archivos infectados Notificaciones relacionadas con aplicaciones Cuando un programa del equipo intenta acceder a una red, Symantec Endpoint Protection puede solicitarle que permita o niegue el permiso para hacerlo. Ver "Respuesta a las notificaciones relacionadas con aplicaciones" en la página 22. Alertas de seguridad Symantec Endpoint Protection le informa cuando bloquea un programa o cuando detecta un ataque contra su equipo. Ver "Respuesta a las alertas de seguridad" en la página 25. Si Symantec Network Access Control está habilitado en el cliente, es posible que vea un mensaje de Network Access Control. Este mensaje aparece cuando su configuración de seguridad no se ajusta a los estándares que su administrador ha configurado. Ver "Respuesta a las notificaciones de Network Access Control" en la página 26. Acciones sobre los archivos infectados De forma predeterminada, Auto-Protect se ejecuta continuamente en el equipo. Para los clientes no administrados, un Active Scan generado automáticamente se ejecuta al iniciar el equipo. Para los clientes administrados, su administrador configura típicamente un análisis completo que se ejecuta por lo menos una vez a la semana. Auto-Protect muestra un cuadro de diálogo de los resultados cuando hace una detección. Cuando se ejecutan análisis, aparece un cuadro de diálogo para mostrar los resultados del análisis. Para los equipos administrados, el administrador puede desactivar estos tipos de notificaciones. Si recibe estos tipos de notificaciones, es posible que necesite actuar sobre un archivo infectado. La opción predeterminada para Auto-Protect y todos los tipos de análisis es limpiar el virus del archivo infectado al detectarlo. Si el cliente no puede limpiar un archivo, registra el incidente y mueve el archivo infectado a la cuarentena. La cuarentena local es una ubicación especial reservada para los archivos infectados y los efectos secundarios del sistema relacionados. Para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados y quita o repara sus efectos secundarios. El cliente registra la detección si no puede reparar el archivo.

21 Respuesta al cliente Acciones sobre los archivos infectados 21 Nota: En la cuarentena, el virus no puede propagarse. Cuando el cliente mueve un archivo al área de cuarentena, no tiene acceso al archivo. Cuando Symantec Endpoint Protection repara un archivo infectado por virus, no es necesario tomar otras medidas para proteger el equipo. Si el cliente pone en cuarentena un archivo infectado por un riesgo de seguridad y luego lo quita y repara, no es necesario tomar medidas adicionales. Puede no ser necesario actuar sobre un archivo, pero es posible que quiera realizar una acción adicional sobre él. Por ejemplo, puede optar por eliminar un archivo que haya sido limpiado porque desea sustituirlo por un archivo original. Es posible utilizar las notificaciones para actuar sobre el archivo inmediatamente. Es posible también utilizar la vista del registro o la cuarentena para actuar sobre el archivo en otro momento. Ver "Interpretar los resultados de los análisis" en la página 76. Ver "Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas" en la página 161. Ver "Acerca del área de cuarentena" en la página 90. Para realizar acciones sobre los archivos infectados 1 Realice una de las acciones siguientes: En el cuadro de diálogo de progreso del análisis, seleccione los archivos que desee una vez que el análisis haya finalizado. En el cuadro de diálogo de los resultados de análisis, seleccione los archivos que usted desee. En el cliente, en la barra lateral, haga clic en Ver registros y, a continuación, junto a Protección antivirus y contra software espía, haga clic en Ver registros. En la vista del registro, seleccione los archivos que usted desee. 2 Haga clic con el botón secundario en el archivo o los archivos en cuestión y, a continuación, haga clic en una de las opciones siguientes: Deshacer acción: anula el efecto de la acción tomada. Limpiar (sólo para virus): elimina el virus del archivo. Suprimir permanentemente: elimina el archivo infectado y todos los efectos secundarios. Para los riesgos de seguridad, utilice esta acción con precaución. En algunos casos, si usted borra riesgos de seguridad, es posible que cause la pérdida de funcionalidad de alguna aplicación.

22 22 Respuesta al cliente Acerca de las notificaciones y alertas Poner en cuarentena: pone en cuarentena los archivos infectados. Para los riesgos de seguridad, el cliente también intenta quitar o reparar los efectos secundarios. Propiedades: muestra información sobre el virus o riesgo de seguridad. En algunos casos, el cliente no podrá realizar la acción que usted seleccionó. Acerca del daño provocado por virus Si Symantec Endpoint Protection encuentra una infección poco después de que ésta ocurra, el archivo infectado puede seguir funcionando correctamente después de que el cliente lo limpie. A veces, sin embargo, Symantec Endpoint Protection puede limpiar un archivo infectado que ya fue dañado por un virus. Por ejemplo, Symantec Endpoint Protection puede encontrar un virus que daña un archivo de documento. Symantec Endpoint Protection quita el virus, pero no puede reparar el daño dentro del archivo infectado. Acerca de las notificaciones y alertas Es posible ver diversos tipos de notificaciones en el equipo. Estas notificaciones generalmente describen una situación e indican cómo el cliente intenta resolver el problema. Es posible ver los tipos de notificaciones siguientes: Notificaciones relacionadas con aplicaciones Alertas de seguridad Respuesta a las notificaciones relacionadas con aplicaciones Es posible ver una notificación que le pregunte si desea permitir la ejecución de una aplicación o un servicio. Este tipo de notificación aparece por uno de los motivos siguientes: La aplicación pide acceder a su conexión de red. Se ha actualizado una aplicación que ha accedido a su conexión de red. El cliente conmutó a los usuarios con la función de Cambio rápido de usuario. Su administrador actualizó el software de cliente. Es posible ver el tipo siguiente de mensaje, que le dice cuando una aplicación o un servicio intenta acceder a su equipo:

23 Respuesta al cliente Acerca de las notificaciones y alertas 23 Internet Explorer (IEXPLORE.EXE) está intentando conectarse a mediante el puerto remoto 80 (HTTP - World Wide Web). Desea permitir que este programa acceda a la red? Para responder a las aplicaciones que intentan acceder a la red 1 En el cuadro de mensaje, haga clic en Detalle. Es posible ver más información sobre la conexión y la aplicación, tal como el nombre de archivo, el número de versión y el nombre de ruta. 2 Si desea que el cliente recuerde su opción la próxima vez que esta aplicación intente acceder a su conexión de red, haga clic en Recordar mi respuesta y no solicitarla nuevamente para esta aplicación. 3 Realice una de las tareas siguientes: Para permitir que la aplicación acceda a la conexión de red, haga clic en Sí. Haga clic en Sí solamente si usted reconoce la aplicación y está seguro de que desea que acceda a la conexión de red. Si no está seguro acerca de permitir el acceso de la aplicación a la conexión de red, consulte a su administrador. Para bloquear el acceso de la aplicación a la conexión de red, haga clic en No. La Tabla 2-1 muestra cómo es posible responder a las notificaciones que le preguntan si desea permitir o bloquear una aplicación. Tabla 2-1 Notificaciones de permiso para aplicaciones Si hace clic en Sí Sí No No Si marca la casilla de verificación Recordar mi respuesta Sí No Sí No El cliente Permite la aplicación y no vuelve a preguntar. Permite la aplicación y pregunta cada vez. Bloquea la aplicación y no pregunta de nuevo. Bloquea la aplicación y pregunta cada vez. Es posible también modificar la acción para la aplicación en el campo Aplicaciones en ejecución o en la lista Aplicaciones.

24 24 Respuesta al cliente Acerca de las notificaciones y alertas Ver "Configurar opciones específicas de una aplicación" en la página 131. Notificaciones de modificación de aplicaciones De vez en cuando, es posible que vea un mensaje que indica que una aplicación se ha modificado. "Telnet Program se ha modificado desde la última vez que se abrió Esto puede deberse a que lo actualizó recientemente. Desea permitirle el acceso a la red?" La aplicación que se menciona en el mensaje siguiente intenta acceder a su conexión de red. Aunque el cliente reconozca el nombre de la aplicación, algún elemento de la aplicación se ha modificado desde la última vez que el cliente la detectó. Muy probablemente, se ha actualizado el producto recientemente. Cada nueva versión del producto utiliza un archivo de huella digital diferente al de la versión anterior. El cliente detecta que el archivo de huella digital se modificó. Notificaciones de cambio rápido de usuario Si utiliza Windows Vista/XP, es posible que vea una de las notificaciones siguientes: Symantec Endpoint Protection no puede mostrar la interfaz de usuario. Si está utilizando la función de cambio rápido de usuario de Windows XP, asegúrese de todos los usuarios cierren sesión en Windows e intente desconectarse de Windows y después volver a iniciar sesión. Si está utilizando los servicios de terminal, la interfaz para usuario no se admite." o "Symantec Endpoint Protection no estaba funcionando, pero será iniciado. Sin embargo, Symantec Endpoint Protection no puede mostrar la interfaz de usuario. Si está utilizando la función de cambio rápido de usuario de Windows XP, asegúrese de todos los usuarios cierren sesión en Windows e intente desconectarse de Windows y después volver a iniciar sesión. Si está utilizando los servicios de terminal, la interfaz para usuario no se admite." La función de cambio rápido de usuario es una función de Windows que permite alternar rápidamente entre los usuarios sin tener que desconectar el equipo. Varios usuarios pueden compartir un equipo simultáneamente y alternar entre ellos sin cerrar las aplicaciones que están usando. Una de estas ventanas aparece al alternar usuarios usando la función Cambio rápido de usuario.

25 Respuesta al cliente Acerca de las notificaciones y alertas 25 Para responder a un mensaje de cambio rápido de usuario, siga las instrucciones del cuadro de diálogo. Notificaciones de actualización automática Si el software de cliente se actualiza automáticamente, es posible ver la notificación siguiente: Symantec Endpoint Protection ha detectado que existe una versión más reciente del software desde Symantec Endpoint Protection Manager. Desea descargarla ahora? Para responder a una notificación de actualización automática 1 Realice una de las acciones siguientes: Para descargar el software inmediatamente, haga clic en Descargar ahora. Para recibir un recordatorio después de un tiempo especificado, haga clic en Recordármelo más tarde. 2 Si aparece un mensaje después de que comience el proceso de instalación para el software actualizado, haga clic en Aceptar. Respuesta a las alertas de seguridad Las alertas de seguridad muestran una notificación en el icono del área de notificación. Sólo es necesario reconocer que leyó el mensaje haciendo clic en Aceptar. Las notificaciones aparecen por alguno de los motivos siguientes: Mensajes de aplicaciones bloqueadas Una aplicación que se ha iniciado desde su equipo se ha bloqueado de acuerdo con las normas configuradas por su administrador. Por ejemplo, es posible ver el mensaje siguiente: La aplicación Internet Explorer fue bloqueada, el nombre de archivo es IEXPLORE.EXE. Estas notificaciones indican que su cliente ha bloqueado el tráfico que usted especificó como que no es de confianza. Si el cliente se configura para bloquear todo el tráfico, estas notificaciones aparecen con frecuencia. Si su cliente está configurado para permitir todo el tráfico, estas notificaciones no aparecen.

26 26 Respuesta al cliente Acerca de las notificaciones y alertas Intrusiones Se inició un ataque contra su equipo y una alerta le informa la situación o proporciona instrucciones sobre cómo tratar el ataque. Por ejemplo, es posible ver el mensaje siguiente: El tráfico de la dirección IP está bloqueado de 10/10/ :37:58 a 10/10/ :47:58. El ataque de análisis de puertos ha sido registrado. Su administrador pudo haber inhabilitado las notificaciones de prevención de intrusiones en el equipo cliente. Para ver qué tipos de ataques detecta su cliente, puede permitir al cliente que muestre notificaciones de prevención de intrusiones. Ver "Configurar notificaciones de prevención de intrusiones" en la página 130. Respuesta a las notificaciones de Network Access Control Si el cliente de Symantec Network Access Control no cumple con las políticas de seguridad, es posible que no pueda acceder a la red. En este caso, es posible que se muestre un mensaje que indica que Symantec Enforcer bloqueó el tráfico porque la comprobación de integridad del host falló. Su administrador de redes puede haber agregado texto a este mensaje que sugiere acciones de corrección posibles. Para responder a las notificaciones de Network Access Control 1 Siga los pasos sugeridos que aparezcan en el cuadro de mensaje. 2 En el cuadro de mensaje, haga clic en Aceptar. Después de cerrar el cuadro de mensaje, abra el cliente para ver si se muestran pasos sugeridos para restaurar el acceso a la red.

27 Capítulo 3 Administrar el cliente En este capítulo se incluyen los temas siguientes: Acerca de LiveUpdate Ejecutar LiveUpdate en intervalos programados Ejecutar LiveUpdate manualmente Probar la seguridad del equipo Acerca de las ubicaciones Modificar ubicaciones Acerca de la Protección contra intervenciones Habilitar, inhabilitar y configurar Protección contra intervenciones Acerca de LiveUpdate LiveUpdate obtiene actualizaciones de programa y de protección para su equipo usando su conexión de Internet. Las actualizaciones de programa son mejoras menores a su producto instalado. Éstas son diferentes de las actualizaciones del producto, que son versiones más recientes de todos los productos. Las actualizaciones de programa se crean generalmente para ampliar la compatibilidad del sistema operativo o del hardware, para ajustar un problema de rendimiento o para reparar errores de programa. Las actualizaciones de programa aparecen cuando son necesarias. Nota: Algunas actualizaciones de programa pueden requerir que se reinicie el equipo después de instalarlas.

28 28 Administrar el cliente Ejecutar LiveUpdate en intervalos programados LiveUpdate automatiza la recuperación y la instalación de actualizaciones de programa. Encuentra y obtiene los archivos en un sitio de Internet, los instala y, a continuación, borra los archivos sobrantes del equipo. Las actualizaciones de la protección son los archivos que mantienen sus productos de Symantec actualizados con la tecnología de protección contra amenazas más reciente. Las actualizaciones de protección que usted recibe dependen de los productos instalados en su equipo. De forma predeterminada, LiveUpdate se ejecuta automáticamente en los intervalos programados. De acuerdo con su configuración de seguridad, es posible ejecutar LiveUpdate manualmente. Es posible que también pueda inhabilitar LiveUpdate o modificar la programación de LiveUpdate. Ejecutar LiveUpdate en intervalos programados Es posible crear una programación de modo que LiveUpdate se ejecute automáticamente en intervalos programados. Para ejecutar LiveUpdate en intervalos programados 1 En el cliente, en la barra lateral, haga clic en Cambiar configuración. 2 Al lado de Administración de clientes, haga clic en Configurar opciones. 3 En el cuadro de diálogo Configuración de administración de clientes, haga clic en Actualizaciones programadas. 4 En la ficha Actualizaciones programadas, marque Habilitar actualizaciones automáticas. 5 En el cuadro de grupo Frecuencia, seleccione si desea que las actualizaciones se ejecuten diaria, semanal o mensualmente. 6 En el cuadro de grupo Cuándo, seleccione el día o la semana y la hora en la que usted quisiera que las actualizaciones se ejecutaran. 7 Para especificar cómo tratar las actualizaciones no realizadas, haga clic en Avanzadas. 8 En el cuadro de diálogo Opciones de programación avanzadas, seleccione las opciones para que LiveUpdate reintente las actualizaciones que no se realizaron. Para obtener más información sobre estas opciones, haga clic en Ayuda. 9 Haga clic en Aceptar. 10 Haga clic en Aceptar.

29 Administrar el cliente Ejecutar LiveUpdate manualmente 29 Ejecutar LiveUpdate manualmente Es posible actualizar el software y los archivos de definiciones usando LiveUpdate. LiveUpdate obtiene los nuevos archivos de definiciones desde un sitio de Symantec y reemplaza los archivos de definiciones anteriores. Los productos de Symantec dependen de la información más actual para proteger el sistema de nuevas amenazas descubiertas. Symantec pone a su disposición esa información a través de LiveUpdate. Para obtener actualizaciones mediante LiveUpdate En el cliente, en la barra lateral, haga clic en LiveUpdate. LiveUpdate se conecta con el servidor de Symantec, comprueba si hay actualizaciones disponibles y las descarga e instala automáticamente. Probar la seguridad del equipo Es posible analizar el equipo para probar su eficacia frente a las amenazas exteriores y de virus. Este análisis es una medida importante que es posible tomar para asegurarse de que su equipo está protegido contra posibles intrusos. Los resultados pueden ayudarlo a configurar varias opciones en el cliente a fin de proteger su equipo contra ataques. Para probar la seguridad de su equipo 1 En el cliente, en la barra lateral, haga clic en Estado. 2 Al lado de Protección contra amenazas de red, haga clic en Opciones > Ver actividad de la red. 3 Haga clic en Herramientas > Prueba de seguridad de red. 4 En el sitio Web de Symantec AntiVirus Check, realice una de las siguientes acciones: Para comprobar si hay amenazas en línea, haga clic en Análisis de seguridad. Para comprobar si hay virus, haga clic en Detección de virus. 5 En el cuadro de diálogo Contrato de licencia de usuario final, haga clic en Acepto y después haga clic en Siguiente. Si hizo clic en Detección de virus en el paso 4, haga clic en Consiento y después haga clic en Siguiente. Si desea detener el análisis en cualquier momento, haga clic en Detener. 6 Cuando el análisis haya terminado, cierre el cuadro de diálogo.

30 30 Administrar el cliente Acerca de las ubicaciones Acerca de las ubicaciones Una ubicación se refiere a una política de seguridad basada en su entorno de red. Por ejemplo, si usted se conecta a la red de la oficina usando su equipo portátil desde su domicilio, el administrador puede configurar una ubicación denominada Hogar. Si utiliza el equipo portátil en la oficina, es posible utilizar una ubicación denominada Oficina. Otras ubicaciones pueden incluir una VPN, una sucursal o un hotel. El cliente conmuta entre estas ubicaciones porque sus necesidades de seguridad y uso pueden variar entre los entornos de red. Por ejemplo, cuando su equipo portátil se conecta a la red de la oficina, el cliente puede utilizar un grupo de políticas restrictivas que su administrador configuró. Cuando se conecta a la red doméstica, sin embargo, el cliente puede utilizar un grupo de políticas que le da acceso a más opciones de configuración. Su administrador planea y configura su cliente como corresponde, de modo que el cliente salva esas diferencias automáticamente. Nota: En un entorno administrado, puede modificar ubicaciones solamente si su administrador le ha proporcionado el acceso necesario. Modificar ubicaciones Es posible modificar una ubicación si es necesario. Por ejemplo, puede ser necesario pasar a una ubicación que permita a un colega acceder a los archivos en su equipo. La lista de ubicaciones disponibles depende de sus políticas de seguridad y de la red activa de su equipo. Nota: De acuerdo con las políticas de seguridad disponibles, puede tener acceso a más de una ubicación, o no. Puede ocurrir que cuando usted haga clic en una ubicación, no pase a esa ubicación. Esto significa que su configuración de red no es apropiada para esa ubicación. Por ejemplo, una ubicación denominada Oficina puede estar disponible solamente cuando detecta la red de área local (LAN) de la oficina. Si no está actualmente en esa red, no es posible pasar a esa ubicación. Para modificar una ubicación 1 En el cliente, en la barra lateral, haga clic en Cambiar configuración. 2 En la página Cambiar configuración, al lado de Administración de clientes, haga clic en Configurar opciones.

31 Administrar el cliente Acerca de la Protección contra intervenciones 31 3 En la ficha General, bajo Opciones de la ubicación, seleccione la ubicación a la cual usted desea pasar. 4 Haga clic en Aceptar. Acerca de la Protección contra intervenciones Protección contra intervenciones ofrece protección en tiempo real para las aplicaciones de Symantec. Frustra ataques de software malicioso tal como gusanos, caballos de Troya, virus y riesgos de seguridad. Es posible configurar Protección contra intervenciones para que tome las medidas siguientes: Bloquear los intentos de intervención y registrar el evento. Registrar el evento de intervención, pero no interferir con el evento de intervención. Protección contra intervenciones está habilitada para los clientes administrados y no administrados, a menos que su administrador haya modificado la configuración predeterminada. Cuando Protección contra intervenciones detecta un intento de intervención, la acción predeterminada es registrar el evento en el registro de protección contra intervenciones. Es posible configurar Protección contra intervenciones para que muestre una notificación en el equipo cuando detecte un intento de intervención. Es posible personalizar el mensaje. Protección contra intervenciones no notifica sobre intentos de intervención, a menos que usted habilite esa función. Si utiliza un cliente no administrado, es posible modificar su configuración de Protección contra intervenciones. Si utiliza un cliente administrado, es posible modificar esta configuración si su administrador lo permite. Las mejores prácticas cuando usted utiliza inicialmente Symantec Endpoint Protection son dejar la acción predeterminada Sólo registrar y supervisar los registros una vez a la semana. Cuando esté seguro de que no ve ningún falso positivo, configure Protección contra intervenciones en Bloquear y registrar. Nota: Si se utiliza un analizador de riesgos de seguridad de otro fabricante que detecte y proteja contra publicidad no deseada y software espía, el analizador afecta típicamente los procesos de Symantec. Si Protección contra intervenciones está habilitada al tiempo que se ejecuta un analizador de riesgos de seguridad de otro fabricante, Protección contra intervenciones genera una gran cantidad de notificaciones y de entradas de registro. Las mejores prácticas son siempre dejar Protección contra intervenciones habilitada y utilizar el filtro de registro si el número de eventos que se generan es demasiado grande.

32 32 Administrar el cliente Habilitar, inhabilitar y configurar Protección contra intervenciones Habilitar, inhabilitar y configurar Protección contra intervenciones Es posible habilitar e inhabilitar Protección contra intervenciones. Si se habilita Protección contra intervenciones, es posible elegir las medidas que se tomarán cuando se detecta un intento de manipular el software de Symantec. Es posible también configurar Protección contra intervenciones para que muestre un mensaje que notifique sobre intentos de intervención. Si desea personalizar el mensaje, puede utilizar las variables predefinidas que Protección contra intervenciones completa con la información apropiada. Para obtener información sobre las variables predefinidas, haga clic en Ayuda en la ficha Protección contra intervenciones. Para habilitar o inhabilitar Protección contra intervenciones 1 En la ventana principal, en la barra lateral, haga clic en Cambiar configuración. 2 Al lado de Administración de clientes, haga clic en Configurar opciones. 3 En la ficha Protección contra intervenciones, marque o deje sin marcar Proteger el software de seguridad de Symantec de intervenciones. 4 Haga clic en Aceptar. Para configurar Protección contra intervenciones 1 En la ventana principal, en la barra lateral, haga clic en Cambiar configuración. 2 Al lado de Administración de clientes, haga clic en Configurar opciones. 3 En la ficha Protección contra intervenciones, en el cuadro de lista Acción para tomar, seleccione Bloquear y registrar o Sólo registrar. 4 Si desea ser notificado cuando Protección contra intervenciones detecta comportamiento sospechoso, marque Visualizar el mensaje siguiente al detectar una intervención. Si habilita estos mensajes de notificación, es posible recibir notificaciones sobre los procesos de Windows, además de los procesos de Symantec. 5 Para personalizar el mensaje que se visualiza, escriba nuevo texto o borre el texto que desee en el campo del mensaje. 6 Haga clic en Aceptar.

33 Sección 2 Symantec Endpoint Protection Conceptos generales de Symantec Endpoint Protection Fundamentos del cliente de Symantec Endpoint Protection Administrar la protección antivirus y contra software espía Administrar la protección proactiva contra amenazas Administrar la protección contra amenazas de red

34 34

35 Capítulo 4 Conceptos generales de Symantec Endpoint Protection En este capítulo se incluyen los temas siguientes: Acerca de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema Acerca de Symantec Endpoint Protection Es posible instalar Symantec Endpoint Protection como instalación independiente o como instalación administrada. Una instalación independiente significa que un administrador no administra su software de Symantec Endpoint Protection, por lo tanto, es un cliente independiente. Si administra su propio equipo, éste debe ser de uno de los siguientes tipos: Un equipo independiente que no se conecta a una red, tal como un equipo personal o un equipo portátil. El equipo debe incluir una instalación de Symantec Endpoint Protection que utilice las opciones predeterminadas o una configuración preestablecida por un administrador. Un equipo remoto que se conecte a una red corporativa y que deba cumplir los requisitos de seguridad para conectarse. Las opciones predeterminadas para Symantec Endpoint Protection proporcionan protección antivirus y contra software espía, protección proactiva contra amenazas y protección contra amenazas de red.. Es posible ajustar las opciones predeterminadas para adaptarse a las necesidades de su compañía, optimizar el rendimiento del sistema e inhabilitar las opciones que no se aplican.

36 36 Conceptos generales de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema Si un administrador administra su equipo, algunas opciones pueden estar bloqueadas o no disponibles, según la política de seguridad del administrador. En este tipo de instalaciones, el administrador es el encargado de ejecutar análisis en el equipo y de configurar los análisis programados. El administrador le informará acerca de las tareas que debe realizar utilizando Symantec Endpoint Protection. De qué forma protege Symantec Endpoint Protection el sistema Symantec Endpoint Protection proporciona una política de seguridad que contiene varios tipos de protección para su equipo. Los tipos siguientes de protección funcionan juntos para proteger su equipo contra riesgos: Protección antivirus y contra software espía Protección contra amenazas de red Protección proactiva contra amenazas Acerca de la protección antivirus y contra software espía La protección antivirus y contra software espía se cerciora de que su equipo esté protegido contra virus y riesgos de seguridad conocidos. Los virus que se detecten y eliminen de forma precoz de la máquina no podrán propagarse a otros archivos y causar daños. Los efectos de los virus y riesgos de seguridad pueden repararse. Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad, de forma predeterminada, el cliente notifica sobre la detección. Si no se desea mostrar una notificación, tanto el usuario como el administrador podrán configurar el cliente para que trate el riesgo automáticamente. La protección antivirus y contra software espía proporciona análisis basados en firmas e incluye lo siguiente: Análisis de Auto-Protect Auto-Protect se ejecuta constantemente y proporciona protección en tiempo real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos de seguridad cuando se ejecuta o se abre un archivo. También busca virus y riesgos de seguridad cuando se hace cualquier modificación a un archivo. Por ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo en distintas carpetas Análisis programados, de inicio y manuales

37 Conceptos generales de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema 37 Usted o su administrador pueden configurar otros análisis para ejecutarlos en el equipo. Estos análisis buscan firmas de virus residuales en archivos infectados. Estos análisis también buscan firmas de riesgos de seguridad en archivos infectados e información del sistema. Usted o su administrador pueden iniciar análisis que verifiquen sistemáticamente los archivos de su equipo en busca de virus y riesgos de seguridad. Los riesgos de seguridad pueden incluir publicidad no deseada o software espía. Acerca de la protección contra amenazas de red El cliente de Symantec Endpoint Protection proporciona un firewall personalizable que protege su equipo contra intrusiones y uso erróneo, ya sea malicioso o involuntario. Detecta e identifica análisis de puertos conocidos y otros ataques comunes. En respuesta, el firewall permite o bloquea selectivamente los distintos servicios de red, aplicaciones, puertos y componentes. Incluye varios tipos de normas y opciones de seguridad de firewall para proteger los equipos cliente contra el tráfico de red que pueda causar daño. La protección contra amenazas de red proporciona un firewall y las firmas de prevención de intrusiones para evitar ataques de intrusión y contenido malicioso. El firewall permite o bloquea el tráfico según varios criterios. Las normas de firewall determinan si el equipo permite o bloquea una aplicación o un servicio entrante o saliente que intente acceder a su equipo mediante su conexión de red. Las normas de firewall permiten o bloquean sistemáticamente las aplicaciones entrantes o salientes y el tráfico desde direcciones IP y puertos específicos o hacia ellos. La configuración de seguridad detecta e identifica ataques comunes, envía mensajes de correo electrónico después de un ataque, muestra mensajes personalizables y realiza otras tareas de seguridad relacionadas. Acerca de la protección proactiva contra amenazas Protección proactiva contra amenazas incluye la tecnología de análisis de amenazas proactivo TruScan, que asegura que su equipo tenga protección de día cero contra amenazas desconocidas. Esta tecnología utiliza análisis heurísticos para analizar la estructura de un programa, su comportamiento y otros atributos en busca de características típicas de los virus. En muchos casos puede proteger contra amenazas tales como gusanos de correo masivos y virus de macro. Es posible que se encuentren gusanos y virus de macro antes de actualizar sus definiciones de virus y riesgos de seguridad. Los análisis de amenazas proactivos buscan amenazas basadas en scripts en archivos HTML, de VBScript y de JavaScript. Los análisis de amenazas proactivos también detectan las aplicaciones comerciales que se pueden utilizar con propósitos maliciosos. Estas aplicaciones comerciales incluyen programas de control remoto o registradores de pulsaciones.

38 38 Conceptos generales de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema Es posible configurar los análisis de amenazas proactivos para que pongan en cuarentena las detecciones. Es posible restaurar manualmente los elementos puestos en cuarentena por los análisis de amenazas proactivos. El cliente puede también restaurar automáticamente los elementos de la cuarentena.

39 Capítulo 5 Fundamentos del cliente de Symantec Endpoint Protection En este capítulo se incluyen los temas siguientes: Acerca de los virus y los riesgos de seguridad Respuesta del cliente ante virus y riesgos de seguridad Habilitar e inhabilitar componentes de protección Usar el cliente con Windows Security Center Interrupción y retraso de análisis Acerca de los virus y los riesgos de seguridad El cliente de Symantec Endpoint Protection puede analizar en busca tanto de virus como de riesgos de seguridad, tales como software espía o publicidad no deseada. Estos riesgos pueden poner su equipo, así como una red, en riesgo. Los análisis antivirus y contra software espía también detectan rootkits del nivel de núcleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podrían utilizarse para propósitos maliciosos. De forma predeterminada, todos los análisis de antivirus y de software espía, incluso los de Auto-Protect, buscan virus, caballos de Troya, gusanos y todas las categorías de riesgos de seguridad. La Tabla 5-1 describe los tipos de virus y riesgos de seguridad.

40 40 Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad Tabla 5-1 Virus y riesgos de seguridad Riesgo Virus Descripción Programa o código que adjunta una copia de sí mismo a otro programa informático o documento cuando se ejecuta. Siempre que el programa infectado se ejecute o un usuario abra un documento que contenga un virus de macro, el programa de virus asociado se activa. El virus puede entonces asociarse a otros programas y documentos. Por regla general, los virus entregan una carga, como puede ser mostrar un mensaje en una fecha concreta. Sin embargo, otros están programados para destruir datos, dañar programas, borrar archivos o formatear unidades. Bots maliciosos de Internet Gusanos Caballos de Troya Amenazas combinadas Publicidad no deseada Programas que ejecutan tareas automatizadas en Internet con propósitos maliciosos. Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger información de sitios Web. Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copiándose a sí mismos de disco a disco, mientras que otros sólo se reproducen en la memoria para ralentizar el equipo. Programas que contienen código dañino que se oculta o disimula tras una aplicación benigna, como un juego o una utilidad. Amenazas que combinan las características de virus, gusanos, caballos de Troya y código con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos métodos y técnicas para propagarse con rapidez, y causan un daño generalizado en toda la red. Programas independientes o anexos a otros que recogen, de forma secreta, información personal a través de Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hábitos de navegación del usuario con intereses comerciales. Este tipo de aplicaciones también puede enviar contenido publicitario. También es posible descargarlas de sitios Web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlas a través de mensajes de correo electrónico o programas de mensajería instantánea. A menudo, un usuario descarga, sin saberlo, publicidad no deseada cuando acepta un acuerdo de licencia de usuario final de un programa de software. Marcadores Herramientas de hackeo Programas que utilizan un equipo, sin el permiso o el conocimiento del usuario, para marcar un número telefónico o comunicarse con un sitio ftp. Estos programas suelen aumentar los costos. Programas utilizados por un hacker para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y envía esta información al hacker. Entonces, el hacker puede realizar análisis de puerto y de puntos débiles. Las herramientas de hackeo se pueden emplear también para desarrollar virus.

41 Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad 41 Riesgo Programas broma Otros Programas de acceso remoto Software espía Descripción Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio Web, correo electrónico o programa de mensajería instantánea. Este programa puede entonces alejar la papelera de reciclaje del mouse cuando el usuario intenta borrarlo. Puede también invertir los clics del mouse. Cualesquiera otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categorías de riesgos de seguridad. Programas que permiten acceder a través de Internet desde otro equipo, de manera que pueden recopilar información del equipo de un usuario, o bien atacarlo o alterar su contenido. Es posible que se instale un programa de acceso remoto legítimo. Un proceso puede instalar este tipo de aplicación sin su conocimiento. Este programa puede utilizarse con fines dañinos, modificando o no el programa original de acceso remoto. Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, además de detectar contraseñas y otro tipo de información confidencial para transmitirla a otro equipo. También es posible descargarlos de sitios Web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlos a través de mensajes de correo electrónico o programas de mensajería instantánea. A menudo, un usuario descarga, sin saberlo, software espía cuando acepta un acuerdo de licencia de usuario final de un programa de software. Programas de seguimiento Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envían la información al sistema de destino. Por ejemplo, la aplicación puede descargarse mediante un sitio Web, un mensaje de correo electrónico o un programa de mensajería instantánea. Posteriormente, ésta puede obtener información confidencial relativa al comportamiento del usuario. De forma predeterminada, los análisis antivirus y de software espía hacen lo siguiente: Detectan, eliminan y reparan los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas. Detectan, eliminan y reparan los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de hackeo, programas broma, programas de acceso remoto, software espía, programas de seguimiento, etc. El sitio Web de Symantec Security Response ofrece la información más reciente sobre amenazas y riesgos de seguridad. También incluye amplia información de referencia, tal como un glosario general e información detallada acerca de virus y riesgos de seguridad.

42 42 Fundamentos del cliente de Symantec Endpoint Protection Respuesta del cliente ante virus y riesgos de seguridad La Figura 5-1 muestra información sobre una herramienta de hackeo y cuál es el método para afrontarla aconsejado por Symantec Security Response. Figura 5-1 Descripción de riesgos de seguridad de Symantec Security Response Respuesta del cliente ante virus y riesgos de seguridad El cliente protege los equipos contra virus y riesgos de seguridad, sea cual fuere su origen. Los equipos quedan protegidos contra virus y riesgos de seguridad que se extienden desde los discos duros y disquetes, o que viajan a través de las redes,

43 Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de protección 43 y también contra aquéllos que se propagan a través de archivos adjuntos de correo electrónico o cualquier otro medio. Por ejemplo, un riesgo de seguridad podría instalarse en el equipo sin su conocimiento cuando acceda a Internet. Se analizan los archivos incluidos dentro de archivos comprimidos para eliminar virus y riesgos de seguridad. No es necesario ningún programa adicional ni modificar las opciones para los virus transmitidos por Internet. Auto-Protect analiza los programas descomprimidos y los archivos de documentos automáticamente cuando se descargan. Cuando el cliente detecta un virus, de forma predeterminada, intenta limpiar el virus del archivo infectado. El cliente también intenta reparar los efectos del virus. Si el cliente limpia el archivo, quita totalmente el riesgo del equipo. Si el cliente no puede limpiar el archivo, mueve el archivo infectado a la cuarentena. El virus no puede propagarse desde la cuarentena. Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verifica automáticamente la cuarentena. Es posible volver a explorar los elementos de la cuarentena. Las definiciones más recientes pueden limpiar o reparar los archivos puestos previamente en cuarentena. Nota: El administrador puede configurar el programa para que analice automáticamente los archivos existentes en el área de cuarentena. De forma predeterminada, para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados. El cliente también recupera la información del sistema que el riesgo de seguridad ha modificado. Algunos riesgos de seguridad no pueden eliminarse totalmente sin generar errores en otros programas del sistema, como un explorador Web. Es posible que la configuración de la protección antivirus y contra software espía no pueda manejar el riesgo automáticamente. En ese caso, el cliente pregunta antes de detener un proceso o reiniciar el equipo. Otra alternativa es configurar las opciones para emplear la acción de sólo registro para los riesgos de seguridad. Cuando el software de cliente detecta riesgos de seguridad, incluye un vínculo en la ventana del análisis a Symantec Security Response. En el sitio Web de Symantec Security Response es posible aprender más sobre el riesgo de seguridad. El administrador también puede enviar un mensaje personalizado. Habilitar e inhabilitar componentes de protección Es posible habilitar e inhabilitar las protecciones en su equipo. Cuando se inhabilita alguna de las protecciones, la barra de estado en la parte superior de la página de estado indica que la protección está desactivada. Es posible

44 44 Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de protección hacer clic en la opción Reparar para habilitar todas las protecciones inhabilitadas. O es posible habilitar protecciones individuales por separado. Habilitar e inhabilitar Protección antivirus y contra software espía En caso de que no se haya modificado la configuración predeterminada, Auto-Protect se carga de forma automática al iniciar el sistema con el fin de protegerlo frente a los virus y los riesgos de seguridad. Auto-Protect analiza los programas en busca de virus y riesgos de seguridad cuando se ejecutan. También supervisa su equipo en busca de cualquier actividad que pudiera indicar la presencia de un virus o de un riesgo de seguridad. Cuando se detecte un virus, una actividad vírica (un evento que pudiera estar provocado por un virus) o un riesgo de seguridad, Auto-Protect emitirá una alerta. Es posible habilitar e inhabilitar Auto-Protect para archivos y procesos. Es posible también habilitar e inhabilitar Auto-Protect para el correo electrónico de Internet y Auto-Protect para aplicaciones de grupo de correo electrónico. En entornos administrados, su administrador puede bloquear estas opciones. Cuándo es posible inhabilitar Auto-Protect En algunos casos, Auto-Protect puede alertar acerca de una actividad vírica que el usuario sepa con seguridad que no está ocasionada por un virus. Por ejemplo, es posible que se muestre un aviso cuando se instalan nuevos programas informáticos. Si planea instalar más aplicaciones y desea evitar el aviso, es posible inhabilitar temporalmente Auto-Protect. Asegúrese de habilitar Auto-Protect cuando haya completado la tarea para que su equipo siga estando protegido. Si inhabilita Auto-Protect, otros tipos de análisis (programados o de inicio) aún se ejecutan si usted o su administrador los han configurado para hacerlo. Su administrador puede bloquear Auto-Protect de modo que usted no pueda inhabilitarlo por ningún motivo. En cambio, el administrador puede especificar que sea posible inhabilitar Auto-Protect temporalmente, pero que Auto-Protect se habilite automáticamente después de una cantidad de tiempo especificada. Acerca del estado de Auto-Protect y la protección antivirus y contra software espía Su configuración de Auto-Protect determina el estado de la protección antivirus y contra software espía en el cliente y en el área de notificación de Windows. Cuando cualquier tipo de Auto-Protect se inhabilita, el estado de la protección antivirus y contra software espía aparece en rojo en la página de estado.

45 Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de protección 45 El icono del cliente aparece como un escudo completo en la barra de tareas en la esquina inferior derecha de su escritorio de Windows. En algunas configuraciones, el icono no aparece. Cuando se haga clic con el botón secundario en el icono, una marca de verificación aparece al lado de Habilitar Auto-Protect cuando Auto-Protect para archivos y procesos está habilitado. Cuando se inhabilita Auto-Protect para archivos y procesos, el icono del cliente aparece con un signo de negación, un círculo rojo con una raya diagonal. Un punto verde aparece con el icono cuando se habilita Auto-Protect para el sistema de archivos, incluso si Auto-Protect para el correo electrónico está inhabilitado. Habilitación o inhabilitación de Auto-Protect para el sistema de archivos Es posible habilitar e inhabilitar la supervisión de Auto-Protect para el sistema de archivos, a menos que su administrador bloquee la configuración. Para habilitar o inhabilitar Auto-Protect para el sistema de archivos desde la barra de tareas En el escritorio de Windows, en el área de notificación, haga clic con el botón secundario en el icono del cliente y realice una de las siguientes acciones: Haga clic en Habilitar Symantec Endpoint Protection. Haga clic en Inhabilitar Symantec Endpoint Protection. Para habilitar o inhabilitar Auto-Protect para el sistema de archivos desde el cliente En el cliente, en la página Estado, al lado de Protección antivirus y contra software espía, realice una de las siguientes acciones: Haga clic en Opciones > Habilitar Protección antivirus y contra software espía. Haga clic en Opciones > Deshabilitar Protección antivirus y contra software espía. Habilitación o inhabilitación de Auto-Protect para el correo electrónico Es posible habilitar o inhabilitar Auto-Protect para el correo electrónico de Internet, el correo electrónico de Microsoft Outlook o el correo electrónico de Lotus Notes. El administrador puede bloquear estos valores.

46 46 Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de protección Para habilitar o inhabilitar Auto-Protect para el correo electrónico 1 En el cliente, en la barra lateral, haga clic en Cambiar configuración. 2 Junto a Protección antivirus y contra software espía, haga clic en Configurar opciones. 3 Realice una de las acciones siguientes: En la ficha Auto-Protect para correo electrónico de Internet, marque o deje sin marcar Habilitar Auto-Protect para correo electrónico de Internet. En la ficha Auto-Protect para Microsoft Outlook, marque o deje sin marcar Habilitar Auto-Protect para Microsoft Outlook. En la ficha Auto-Protect para Lotus Notes, marque o deje sin marcar Habilitar Auto-Protect para Lotus Notes. 4 Haga clic en Aceptar. Habilitar e inhabilitar Protección contra amenazas de red Es posible que desee inhabilitar la protección contra amenazas de red en ciertas circunstancias. Por ejemplo, es posible instalar una aplicación que puede hacer que el cliente la bloquee. Su administrador pudo haber configurado los límites siguientes para el momento y la duración posibles para inhabilitar la protección: Si el cliente permite todo el tráfico o todo el tráfico saliente solamente. La duración del período durante el que se inhabilita la protección. Cuántas veces es posible inhabilitar la protección antes de reiniciar el cliente. Si es posible inhabilitar la protección, es posible volver a habilitarla en cualquier momento. El administrador puede también habilitar e inhabilitar la protección en cualquier momento, incluso si reemplaza el estado que usted establece para la protección. Ver "Acerca de la protección contra amenazas de red" en la página 109. Ver "Bloquear un equipo atacante" en la página 130. Para habilitar o inhabilitar Protección contra amenazas de red En el cliente, en la página Estado, al lado de Protección contra amenazas de red, realice una de las siguientes acciones: Haga clic en Opciones > Habilitar Protección contra amenazas de red.

47 Fundamentos del cliente de Symantec Endpoint Protection Usar el cliente con Windows Security Center 47 Haga clic en Opciones > Deshabilitar Protección contra amenazas de red. Habilitar e inhabilitar Protección proactiva contra amenazas Se habilita Protección proactiva contra amenazas cuando se habilitan las opciones Analizar en busca de caballos de Troya y gusanos, y Analizar en busca de registradores de pulsaciones. Si una de las opciones se inhabilita, el cliente muestra el estado de Protección proactiva contra amenazas como inhabilitado. Ver "Acerca de la tecnología de análisis de amenazas proactivo TruScan" en la página 97. Es posible hacer clic en Ayuda para obtener más información sobre las opciones que se utilizan en el procedimiento. Para habilitar o inhabilitar Protección proactiva contra amenazas En el cliente, en la página Estado, al lado de Protección proactiva contra amenazas, realice una de las siguientes acciones: Haga clic en Opciones > Habilitar protección proactiva contra amenazas. Haga clic en Opciones > Deshabilitar protección proactiva contra amenazas. Usar el cliente con Windows Security Center Si utiliza Windows Security Center en Windows XP con Service Pack 2 para supervisar el estado de la seguridad, es posible ver el estado de Symantec Endpoint Protection en WSC. La Tabla 5-2 muestra el informe del estado de protección en WSC. Tabla 5-2 Informe del estado de protección en WSC Estado de los productos de Symantec Symantec Endpoint Protection no está instalado Symantec Endpoint Protection está instalado con la protección completa Symantec Endpoint Protection está instalado y las definiciones de virus y riesgos de seguridad no están actualizadas Estado de protección NO ENCONTRADO (rojo) ACTIVADO (verde) CADUCADO (rojo)

48 48 Fundamentos del cliente de Symantec Endpoint Protection Interrupción y retraso de análisis Estado de los productos de Symantec Symantec Endpoint Protection está instalado y Auto-Protect para el sistema de archivos no está habilitado Symantec Endpoint Protection está instalado, Auto-Protect para el sistema de archivos no está habilitado y las definiciones de virus y riesgos de seguridad no están actualizadas Symantec Endpoint Protection está instalado y Rtvscan se desactivó manualmente Estado de protección DESACTIVADO (rojo) DESACTIVADO (rojo) DESACTIVADO (rojo) La Tabla 5-3 muestra el informe del estado del firewall de Symantec Endpoint Protection en WSC. Tabla 5-3 Informe del estado del firewall en WSC Estado de los productos de Symantec El firewall de Symantec no está instalado El firewall de Symantec está instalado y habilitado El firewall de Symantec está instalado pero no habilitado El firewall de Symantec no está instalado o habilitado, pero está instalado y habilitado un firewall de otro fabricante Estado del firewall NO ENCONTRADO (rojo) ACTIVADO (verde) DESACTIVADO (rojo) ACTIVADO (verde) Nota: En Symantec Endpoint Protection, el firewall de Windows está desactivado de forma predeterminada. Si hay más de un firewall activado, WSC informa que hay múltiples firewalls instalados y habilitados. Interrupción y retraso de análisis La función de interrupción de análisis permite detener la ejecución de un análisis en cualquier punto y continuarla después. Un usuario puede interrumpir cualquier análisis que haya iniciado. El administrador de red es quien determina si los usuarios pueden interrumpir los análisis programados por él. También existe la posibilidad de permitir que los usuarios retrasen los análisis programados que inicie el administrador. Si el administrador habilita la función Posponer, los usuarios podrán retrasar los análisis programados del administrador

49 Fundamentos del cliente de Symantec Endpoint Protection Interrupción y retraso de análisis 49 por un intervalo de tiempo determinado. Cuando se reanude el análisis, éste volverá a empezar desde el principio. Interrumpa momentáneamente el análisis si desea reanudarlo después de un tiempo. Utilice la función Posponer para retrasar el análisis durante un período más largo. Utilice los pasos siguientes para interrumpir momentáneamente un análisis que usted o su administrador inició. Si la opción Interrumpir el análisis no está disponible es debido a que el administrador de red ha inhabilitado esta función. Nota: Si interrumpe momentáneamente un análisis al mismo tiempo que el cliente analiza un archivo comprimido, el cliente puede tardar varios minutos para responder a la solicitud de interrupción.

50 50 Fundamentos del cliente de Symantec Endpoint Protection Interrupción y retraso de análisis Para interrumpir un análisis 1 Mientras el análisis se esté ejecutando, haga clic en el icono de interrupción en el cuadro de diálogo de análisis. Si usted inició el análisis, el análisis se detiene donde está y el cuadro de diálogo del análisis permanece abierto hasta que se inicie el análisis de nuevo. Si su administrador inició el análisis, aparece el cuadro de diálogo Interrupción del análisis programado. 2 En el cuadro de diálogo Interrupción del análisis programado, haga clic en Interrumpir. El análisis programado por el administrador se detendrá en el preciso lugar en que se encuentre y el cuadro de diálogo permanecerá abierto hasta que se reanude. 3 En el cuadro de diálogo del análisis, haga clic en el icono de inicio para reanudarlo.