Guía de administración Revisión A. McAfee Logon Collector 2.1

Transcripción

1 Guía de administración Revisión A McAfee Logon Collector 2.1

2 COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener información sobre los productos y las funciones más recientes. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Logon Collector 2.1 Guía de administración

3 Contenido 1 Introducción a McAfee Logon Collector 7 Terminología importante Controladores de dominio y recopilación de inicios de sesión Despliegue Puertos utilizados por Logon Collector Visualización de la ayuda online Instalación 11 Consideraciones clave para la instalación Requisitos previos Planificación de la instalación Requisitos del sistema Requisitos de resolución DNS Instalación delogon Collector Descarga del software Instalación del software en Windows Server Desinstalación del software Desinstalación de Microsoft SQL Server 2005 Express Edition Acceso a la interfaz web de Logon Collector Instalación de Logon Collector como una extensión de McAfee epo Requisitos de instalación Instalación de Logon Collector como una extensión de McAfee epo Limitaciones Instalación de Logon Monitor Instalación de un monitor Logon Monitor Desinstalación de Logon Monitor Ampliación 27 Consideraciones clave para una ampliación de versión Ampliación del software de 1.x.x a 2.1 con el instalador Ampliación del software de 2.0 a 2.1 con el archivo zip de ampliación Verificación de la ampliación Recopilación de identidades 31 Acerca de la recopilación de identidades Adición de un dominio al monitor Adición de Logon Monitor Adición de un certificado de Logon Collector a un monitor Logon Monitor Adición de un monitor Logon Monitor Eliminación de un monitor Logon Monitor Administración de servidores Exchange Adición de un servidor Exchange a un dominio supervisado Eliminación de un servidor Exchange Configuración del servidor 37 McAfee Logon Collector 2.1 Guía de administración 3

4 Contenido Acerca de la configuración del servidor Inicio de sesión de usuario de Active Directory Paneles Servidor de correo electrónico Certificado de replicación de identidad Parámetros de Logon Monitor local Configuración avanzada de MLC Lista Ignorar IP/Grupo MLC Configuración de direcciones IP para la comunicación cliente servidor de Logon Collector.. 43 MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC) Impresión y exportación Certificado del servidor Acerca de la configuración personal Configuración de Logon Monitor Ficha Configuration (Configuración) Ficha Remote (Remoto) Uso de MMC para administrar certificados de Logon Monitor Uso de NTLMv2 con monitores Logon Monitor Alta disponibilidad (clústeres) 53 Descripción general Conceptos básicos de configuración Requisitos para la alta disponibilidad Configuración de alta disponibilidad Configuración de alta disponibilidad en la instalación de la infraestructura de clave pública (PKI) Comprobación del estado de formación del clúster Replicación de datos de configuración Replicación de eventos de inicio de sesión Limitaciones Desactivación de un clúster Reconfiguración de un clúster Actualización bajo demanda de grupos y usuarios 65 MFS Scheduler Actualización de grupos bajo demanda Opciones para actualización de grupos Actualización de usuarios bajo demanda Opciones de la actualización de usuarios Registro de tareas servidor Administración de usuarios 79 Administración de los usuarios Adición o modificación de un usuario Eliminación de un usuario Administración de conjuntos de permisos Creación de conjuntos de permisos Eliminación de conjuntos de permisos Duplicación de conjuntos de permisos Administración de contactos Adición o modificación de un contacto Eliminación de un contacto Generación de informes 83 Acerca de la ventana Status (Estado) Visualización de usuarios conectados McAfee Logon Collector 2.1 Guía de administración

5 Contenido Exportación de informes de usuarios que han iniciado sesión Visualización del registro de auditoría Exportación del registro de auditoría Administración de consultas del registro de auditoría Creación de un grupo de consultas Eliminación de un grupo de consultas Edición de un grupo de consultas Creación de consultas de registro de auditoría Importación de consultas de registro de auditoría Acciones de consulta Definición de criterios de filtrado Definición de criterios de exportación Visualización de paneles Integración con otros productos McAfee 93 Integración con McAfee Firewall Enterprise Requisitos de integración Validación de identidad pasiva Configuración de Passive Passport Integración con McAfee Firewall Enterprise Control Center Requisitos de integración Integración con McAfee Network Security Manager Ventajas Términos importantes Requisitos de integración Funcionamiento de la integración entre Logon Collector y McAfee Network Security Manager Detalles de configuración para la integración de Logon Collector Visualización de los detalles de Logon Collector en Threat Analyzer Visualización de los detalles de Logon Collector en los informes de Network Security Manager Integración con McAfee Data Loss Prevention Requisitos de integración Uso de elementos de usuario de Active Directory Uso de McAfee DLP en servidores LDAP remotos Uso de Logon Collector con McAfee DLP Activación de la identificación de usuarios mediante Logon Collector Configuración de Logon Collector Autenticación del administrador de McAfee DLP y Logon Collector Escalabilidad 103 Detalles de la escalabilidad Solución de problemas 105 Verificación de las credenciales de dominio Conexión a un controlador de dominio Ejecución de una consulta de rendimiento de la CPU Ejecución de una consulta del registro anterior Ejecución de una consulta de notificación de registro posterior Creación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio Creación de una cuenta en Windows 2000 Server Recursos adicionales Registros de Logon Monitor Mensajes internos Mensajes generados por las comunicaciones de Logon Collector Mensajes generados por las comunicaciones de Logon Monitor McAfee Logon Collector 2.1 Guía de administración 5

6 Contenido Errores habituales del controlador de dominio Registros de Logon Collector Entradas de registro de errores de comunicación de Active Directory de Logon Collector. 115 Solución de problemas de DNS Solución de problemas de NSLookup Error durante la instalación de Logon Collector 2.0 en Windows Server 2008 R Error al desinstalar la instancia de la base de datos SQL para Logon Collector Página de configuración de bases de datos para conectar al servidor de SQL Elevado consumo de memoria de Isass.exe de recuperación para la restricción de objetos de directorios de McAfee epo McAfee Logon Collector 2.1 Guía de administración

7 1 Introducción 1 a McAfee Logon Collector McAfee Logon Collector es un software que supervisa los dominios de Active Directory y recopila información de inicio de sesión. Logon Collector sondea los controladores de dominio de Microsoft Active Directory en busca de los eventos de inicio de sesión de los usuarios y envía esta información a dispositivos de seguridad para correlacionar el tráfico en la red con el comportamiento de los usuarios. Logon Collector se instala en servidores basados en Windows independientes para comunicarse con Active Directory y admite el despliegue distribuido. El despliegue de Logon Collector no requiere ninguna modificación en Active Directory o en el esquema de Active Directory, y no necesita agentes. Logon Monitor puede utilizarse para sondear los controladores de dominio cercanos y reenviar la información recopilada a Logon Collector, reduciendo así la distancia que debe recorrer la comunicación del controlador de dominio. Contenido Terminología importante Controladores de dominio y recopilación de inicios de sesión Despliegue Puertos utilizados por Logon Collector Visualización de la ayuda online Terminología importante Un dominio es un grupo lógico de recursos identificados en una red, ya sean éstos usuarios, equipos o servicios de aplicación en red. Estos recursos se recopilan para el dominio en un directorio distribuido, que se comparte en un grupo de controladores de dominio. Los miembros de un dominio solo tienen que autenticarse una vez ante el controlador de dominio más cercano. Todos los demás recursos del dominio quedan accesibles en función de sus privilegios en el dominio. Una identidad es un conjunto de características que identifican a un usuario de forma única. La identidad de un usuario incluye el nombre de usuario, el estado de autenticación, la pertenencia a grupos, el grupo principal y una dirección IP actual. Se puede buscar el grupo principal del sistema o de usuarios y enviárselo a los clientes. Controladores de dominio y recopilación de inicios de sesión Logon Collector y Logon Monitor interactúan con los controladores de dominio y permiten a los productos de McAfee como Firewall Enterprise y McAfee Network Security Platform recopilar constantemente información de identidad. Esta información sirve para asignar las transacciones de red a las identidades reales. McAfee Logon Collector 2.1 Guía de administración 7

8 1 Introducción a McAfee Logon Collector Despliegue Cada vez que un usuario inicia sesión en la red o requiere el acceso a cualquiera de los recursos controlados por el dominio, por ejemplo, una impresora, un servidor o un recurso compartido de archivos, el controlador de dominio crea una entrada de registro de eventos en un archivo de registro especial y protegido, que se denomina registro de eventos de seguridad. Este archivo de registro está disponible para sistemas remotos, como Logon Collector y Logon Monitor, por medio de una interfaz de Microsoft llamada Instrumental de administración de Windows (WMI). Para minimizar la carga que suponen las consultas del registro de eventos de seguridad (mediante WMI) para un controlador de dominio, Logon Collector o Logon Monitor se ponen en contacto con el controlador de dominio en nombre de los dispositivos McAfee que requieren información del registro de eventos de seguridad. Cada controlador de dominio solo tiene que dar cabida a una única conexión en lugar de a varias conexiones para cada dispositivo McAfee. Debido a que los gastos adicionales que representa el uso de WMI pueden ser elevados, puede desplegar los monitores Logon Monitor cerca de los controladores de dominio en la red. Si lo hace, la mayor parte del tráfico (la comunicación WMI entre los controladores de dominio y Logon Monitor) se enruta a lo largo de una distancia relativamente corta. Los gastos adicionales de la comunicación entre un monitor Logon Monitor y un recopilador Logon Collector son bajos, lo cual permite optimizar el despliegue de la recopilación de inicios de sesión. Véase también Instalación de Logon Monitor en la página 25 Despliegue Logon Collector y Logon Monitor pueden conectarse a varios controladores de dominio a través de varios dominios y bosques. Cada Logon Collector puede contactarse desde múltiples clientes y puede tener varios monitores Logon Monitor. Cuando se desplieguen Logon Collector y Logon Monitor deberá tener en cuenta lo siguiente: Los costes generales de red de la comunicación WMI pueden ser elevados. La comunicación WMI se produce entre el controlador de dominio y Logon Monitor. McAfee recomienda que utilice un único monitor Logon Monitor para todos sus dispositivos de seguridad McAfee, de modo que solo sea necesaria una sesión WMI en cada controlador de dominio. McAfee recomienda que sitúe un recopilador Logon Collector o un monitor Logon Monitor local para los controladores de dominio que está supervisando. La comunicación entre un monitor Logon Monitor y Logon Collector en un enlace WAN es a menudo más rápida que la comunicación del controlador de dominio y Logon Collector en el mismo enlace WAN. Cuanto más rápido recibe Logon Collector esta información, más rápido puede el cliente asociar una dirección IP con la identidad coincidente. Conecte con controladores de dominio que agreguen valor a la estrategia de supervisión. Logon Monitor debe conectarse al controlador de dominio desde el que inician sesión los usuarios que van a supervisarse. Por ejemplo, si está supervisando en un área de la red como Nueva York y nunca ve usuarios de San Francisco, no necesitaría supervisar a los usuarios que inicien sesión en un controlador de dominio en San Francisco. Por el contrario, si los usuarios de San Francisco utilizan servicios en el centro de datos de Nueva York que está supervisando, se beneficiará enormemente si vigila el registro de eventos de seguridad del controlador de dominio de San Francisco y determina la identidad de estos usuarios. 8 McAfee Logon Collector 2.1 Guía de administración

9 Introducción a McAfee Logon Collector Despliegue 1 Aprovéchese de la infraestructura de soporte de TI. Si su infraestructura está administrada por diferentes grupos de administradores de sistema que se corresponden con la arquitectura de Windows ya existente, probablemente querrá colaborar con ellos. Logon Collector y los monitores Logon Monitor se instalan como servicios en Windows Server 2003 o Windows Server La administración de estos servidores puede formar ya parte de una estrategia de administración de sistemas más amplia y puede que quiera acogerse a ella. En función de sus requisitos de seguridad, puede que quiera dedicar un Windows Server 2003 o Windows Server 2008 para ejecutar Logon Collector o un par de servidores en modo de alta disponibilidad. Si el servidor en el que Logon Collector está instalado está expuesto a riesgo, podría causar una gran pérdida de funcionalidad para su arquitectura de seguridad. Es importante mantener actualizado el servidor en el que está instalado Logon Collector o Logon Monitor y para ello aplicar los parches de seguridad de Microsoft de manera puntual. Es igualmente importante seguir las mejores prácticas de seguridad de Microsoft para fortalecer este servidor. Si es posible, el acceso remoto y local al servidor de Logon Collector o Logon Monitor debería limitarse solo a sus administradores. Siga las instrucciones de la sección Uso de NTLMv2 con Logon Collector para proteger con eficacia las credenciales en el servidor y utilizar solo protocolos de autenticación seguros. Es posible configurar controladores de dominio para permitir el acceso de Logon Monitor al registro de eventos de seguridad sin utilizar credenciales de inicio de sesión de administrador. Este es el enfoque recomendado. Consulte la sección Creación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio. Figura 1-1 Despliegue de Logon Collector Véase también Uso de NTLMv2 con monitores Logon Monitor en la página 50 Acerca de la recopilación de identidades en la página 31 McAfee Logon Collector 2.1 Guía de administración 9

10 1 Introducción a McAfee Logon Collector Puertos utilizados por Logon Collector Puertos utilizados por Logon Collector Estos puertos deben activarse en su red. Tabla 1-1 Tabla de puertos de Logon Collector Puerto Tipo de puerto Utilizado por 8443 Logon Collector HTTPS Puerto seguro de Web Server 8444 Logon Collector HTTPS Puerto de autorización de Web Server Logon Collector JMS Comunicación entre Logon Collector y productos individuales Comunicación entre miembros del clúster de Logon Collector Logon Collector JMS (STOMP) Comunicación entre Logon Collector y productos individuales basados en el cliente 2.0+ C Logon Monitor local o remoto 389 Controlador de dominio (AD) TCP LDAP Comunicación entre Logon Collector y Logon Monitor Consulta de LDAP de Logon Collector al controlador de dominio Logon Collector no funcionará si activa el puerto SSL 636 en los controladores de dominio (Active Directory) y desactiva el puerto no SSL 389. Se producirá un error de Logon Collector al conectarse al controlador de dominio (Active Directory) en el puerto SSL 636. La comunicación WMI tiene lugar entre Logon Monitor y el controlador de dominio. Visualización de la ayuda online Para consultar la ayuda online de Logon Collector, haga clic en el botón de interrogación (?) en la barra del menú. Esta ayuda online incluye un índice y cuenta con la posibilidad de búsqueda en todo el texto. 10 McAfee Logon Collector 2.1 Guía de administración

11 2 Instalación En esta sección se incluye el proceso de instalación de McAfee Logon Collector y Logon Monitor. Contenido Consideraciones clave para la instalación Requisitos previos Instalación delogon Collector Acceso a la interfaz web de Logon Collector Instalación de Logon Collector como una extensión de McAfee epo Instalación de Logon Monitor Consideraciones clave para la instalación En esta sección se ofrecen los detalles de las consideraciones clave para la instalación. Cuando instala Logon Collector en Windows Server 2008 R2 por primera vez, puede que reciba un mensaje como el siguiente: The Windows registry entry NtfsDisable8dot3NameCreation value will be changed to 0 (El valor de la entrada del registro de Windows NtfsDisable8dot3NameCreation cambiará a 0). Recibirá este mensaje solo si el valor de la entrada del registro de Windows no se ha modificado. Puede realizar este cambio en el registro y continuar, o continuar sin el cambio. Si acepta el cambio en el registro y continúa, puede tener espacios en la ubicación de la instalación. Si no acepta el cambio en el registro, debe asegurarse de que la ruta de acceso de la ubicación de la instalación no contenga ninguna carpeta con espacios en blanco en el nombre. También debe asegurarse de que el nombre de la carpeta no supera los 8 caracteres. Escenario Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server 2008 con Windows Server 2003 en el nivel funcional. Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server 2008 R2 en el nivel funcional máximo (esto es Windows Server 2008 R2). Efecto sobre Logon Collector Logon Collector supervisa los eventos de inicio de sesión. Logon Collector supervisa los eventos de inicio de sesión. Logon Collector no podrá supervisar los eventos de inicio de sesión. McAfee Logon Collector 2.1 Guía de administración 11

12 2 Instalación Requisitos previos Requisitos previos Revise los requisitos previos de instalación para Logon Collector y Logon Monitor antes de instalar el software. Planificación de la instalación Antes de la instalación, asegúrese de cumplir lo siguiente: Debe haber iniciado sesión en el servidor como administrador del equipo local. Asegúrese de que el hardware cumpla o supere los requisitos mínimos. No necesita ninguna frase de contraseña ni clave de licencia especiales para instalar el software Logon Collector o Logon Monitor. Puede instalar tantas instancias de Logon Collector o Logon Monitor (cada una en su propio servidor) como sean necesarias para proporcionar la cobertura adecuada a los controladores de dominio en el dominio supervisado. Compatibilidad del servidor cliente El cliente de Logon Collector 1.0 admite los servidores de Logon Collector 1.x y 2.x. El cliente de Logon Collector 2.1 admite los servidores de Logon Collector 2.x. El cliente no admite los servidores de Logon Collector 1.x. Requisitos del sistema Logon Collector y Logon Monitor se ejecutan como servicios de Microsoft Windows en Windows Server y requieren un sistema que cumpla con los siguientes requisitos mínimos: Componente Sistema operativo Sistema Operativo Controladores de dominio Requisito mínimo Cualquiera de las siguientes opciones: Windows Server 2003 SP2 (32 o 64 bits) Windows Server 2003 R2 SP2 (32 o 64 bits) Windows Server 2008 (32 o 64 bits) Windows Server 2008 R2 (64 bits) Cualquiera de los siguientes servidores de Microsoft: Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 RAM (memoria) 4 GB Espacio en disco 20 GB de espacio libre Procesador Pentium IV a 2 GHz o superior Marco de software Microsoft.NET Framework 2.0 Navegador Microsoft Internet Explorer 8.x y 9.x Mozilla Firefox 3.x y posterior Conectividad en la red Resolución Desde los servidores de Logon Collector a los controladores de dominio del dominio de Microsoft Active Directory que supervisa Logon Collector o Logon Monitor. Pantalla con una resolución de 1024x768 o superior. 12 McAfee Logon Collector 2.1 Guía de administración

13 Instalación Instalación delogon Collector 2 Componente Dominios supervisados Controladores de dominio Requisito mínimo El usuario del dominio (introducido cuando se agregó el dominio en Logon Collector) debe contar con derechos de acceso a los eventos de seguridad de inicio de sesión en cada controlador de dominio. El nivel funcional del controlador de dominio no debe ser mayor que la versión de Windows Server de Logon Collector. Consulte la sección Consideraciones clave para la instalación. Los controladores de dominio deben tener activado el puerto no SSL 389 para poder realizar consultas LDAP. Considere la posibilidad de instalar Logon Monitor en una máquina virtual ya que se trata de una aplicación con menos requisitos y no transmite tanta información como Logon Collector. El consumo de memoria de Logon Monitor depende del número de usuarios y grupos en la base de datos. Requisitos de resolución DNS La resolución adecuada del sistema de nombres de dominio (DNS) es un requisito fundamental para la recopilación de identidades. Los equipos donde se instalan Logon Collector o Logon Monitor, y el cliente configurado para recopilar identidades deben estar configurados para referir a un servidor DNS que sea capaz de: Resolver cualquier dominio desde el cual se recopilan los inicios de sesión. Proporcionar una resolución de reenvío para todos los controladores de dominio desde donde se recopilan los inicios de sesión. Proporcionar una resolución inversa para todos los controladores de dominio desde donde se recopilan los inicios de sesión. Proporcionar registros de SRV para uno o varios controladores de dominio desde donde se recopilan los inicios de sesión. Cuando cambia la configuración DNS, Logon Collector cancela la antigua caché DNS transcurridos 30 segundos y, a continuación, aplica la nueva configuración DNS. Debe esperar al menos 30 segundos para resolver el dominio. Véase también Solución de problemas de DNS en la página 115 Instalación delogon Collector Cuando se instala Logon Collector, también se instala un monitor Logon Monitor localmente en el mismo servidor. Este Logon Monitor aparece en la interfaz de usuario referenciado como localhost. Puede instalarlo independientemente si necesita un monitor Logon Monitor remoto. Si ya está ejecutando una aplicación basada en McAfee Foundation Services (MFS), como McAfee epolicy Orchestrator, el servicio Logon Collector será incompatible con esta. Véase también Desinstalación del software en la página 17 Desinstalación de Logon Monitor en la página 26 McAfee Logon Collector 2.1 Guía de administración 13

14 2 Instalación Instalación delogon Collector Descarga del software Descargue el paquete de software Logon Collector y Logon Monitor del sitio web de McAfee. 1 En un navegador web, vaya a products/login.aspx? region=us. 2 Indique su número de concesión y seleccione la categoría de productos pertinente (por ejemplo, el dispositivo McAfee Firewall Enterprise). 3 Seleccione McAfee Logon Collector Descargue el archivo zip para la instalación de Logon Collector. Extraiga los archivos al directorio local. 5 Busque el programa de instalación de Logon Collector y descárguelo en el directorio local. Logon Monitor forma parte del paquete de Logon Collector que se descarga. Si desea tener una instalación de Logon Monitor remoto independiente, seleccione la carpeta McAfee Logon Monitor y busque el programa de instalación. Si desea instalar Logon Collector como una extensión de McAfee epo, descargue el archivo MLC21_ePOextension.zip desde la misma ubicación. Véase también Instalación de un monitor Logon Monitor en la página 25 Instalación del software en Windows Server El asistente de instalación de Logon Collector instalará Logon Collector, Logon Monitor local y Microsoft SQL Server 2005 Express en cualquiera de los siguientes sistemas operativos: Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2 Si ya dispone de una instancia de Microsoft SQL Server en el servidor, puede omitir esta parte de la instalación. En cualquier punto de la instalación, puede hacer clic en Back (Atrás) o en Cancel (Cancelar) para volver al paso anterior o cancelar la instalación respectivamente. 14 McAfee Logon Collector 2.1 Guía de administración

15 Instalación Instalación delogon Collector 2 1 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local. 2 Haga doble clic en Setup.exe. Se abre el asistente de instalación de Logon Collector. Si su sistema cuenta con menos de 4 GB de RAM, se mostrará un mensaje de error. Haga clic en Yes (Sí) para continuar con la instalación con la memoria disponible actualmente. Puede hacer clic en No para cancelar la instalación y continuar con ella posteriormente, una vez que se haya asegurado de disponer de un mínimo de 4 GB de RAM. Si está instalando el software en Windows 2008 R2, aparecerá la ventana Security Warning (Advertencia de seguridad) siguiente. Figura 2-1 Ventana Security Warning (Advertencia de seguridad) Haga clic en Run (Ejecutar) para continuar. Es posible que aparezca una ventana emergente para activar la convención de denominación de archivos de Windows 8.3. Haga clic en Yes (Sí) para continuar la instalación. Si activa esta opción, se genera un nombre corto según la convención de denominación de archivos de Windows 8.3 para los nombres de archivo largos. 3 Se abre el asistente de instalación de Logon Collector. Haga clic en Next (Siguiente) para continuar. Se abre la ventana McAfee End User Licensing Agreement (Acuerdo de licencia de usuario final de McAfee). 4 Seleccione cualquiera de las siguientes licencias en la lista desplegable de la opción License expire type (Tipo de caducidad de la licencia): 1 Year Subscription (Suscripción de 1 año): La licencia caduca al cabo de un año 2 Year Subscription (Suscripción de 2 años): La licencia caduca al cabo de dos años Perpetual License (Licencia permanente): La licencia no caduca McAfee Logon Collector 2.1 Guía de administración 15

16 2 Instalación Instalación delogon Collector Lea el acuerdo de licencia, seleccione la opción I accept the terms in the license agreement (Acepto los términos del acuerdo de licencia) y haga clic en OK (Aceptar). 5 De forma predeterminada, la carpeta de destino de la instalación se establece en C:\Archivos de programa\mcafee\mcafee Logon Collector\. Haga clic en Change (Cambiar) para seleccionar una ubicación nueva. La desinstalación puede quitar la carpeta que contiene la instalación de Logon Collector junto con cualquier otra carpeta que haya en la ruta de acceso. McAfee le recomienda seleccionar una carpeta vacía o aceptar la ubicación predeterminada de la instalación para evitar este problema. Haga clic en Next (Siguiente) para continuar. Se muestra la ventana Global Administrator Information (Información del administrador global). 6 Escriba el Username (Nombre de usuario) y la Password (Contraseña) del administrador de la interfaz web de Logon Collector. Vuelva a escribir la contraseña a modo de verificación. Haga clic en Next (Siguiente). Se abre la ventana HTTP Port Information (Información de puerto HTTP). 7 Deje los puertos de Logon Collector con los valores predeterminados, a no ser que uno de dichos puertos ya esté en uso. Necesitará el puerto Web Server (Servidor web) para abrir la interfaz web de Logon Collector. 8 Haga clic en Next (Siguiente). Se abre la ventana SQL Express Option (Opción de SQL Express). En ella puede aparecer cualquiera de los siguientes resultados: Resultado 1: Opciones activadas en la ventana SQL Express Option: Se abre una ventana emergente. Haga clic en Yes (Sí) para continuar la instalación de Microsoft SQL 2005 Express. Resultado 2: Opciones desactivadas en la ventana SQL Express Option: Durante el proceso de instalación, puede ser que encuentre ambas opciones desactivadas en la ventana SQL Express Option (Opción de SQL Express). Haga clic en la opción Why are the above options disabled? ( Por qué están desactivadas las opciones anteriores?) para ver los motivos de esta acción. Haga clic en OK (Aceptar) para continuar. Escenario adicional Si instala Microsoft SQL 2005 Express en Windows Server 2003 (64 bits) o Windows Server 2008 (64 bits) por primera vez, aparecerá un mensaje de advertencia. 16 McAfee Logon Collector 2.1 Guía de administración

17 Instalación Instalación delogon Collector 2 Haga clic en Yes (Sí) para abrir la ventana Program Compatibility (Compatibilidad de programas). Haga clic en Run Program (Ejecutar programa) para continuar. Figura 2-2 Ventana Program Compatibility Assistant (Asistente de compatibilidad de programas) 9 Cuando está en curso la instalación de Microsoft SQL 2005 Express, aparece la siguiente ventana. Figura 2-3 Instalación de Microsoft SQL Server Se abre la ventana Database Information (Información de base de datos). 10 Seleccione las siguientes opciones en la ventana Database Information (Información de base de datos): Windows authentication (Autenticación de Windows): márquela para especificar el dominio y las credenciales de inicio de sesión del servidor que alojará la base de datos de Logon Collector. Los detalles de SQL server TCP port (Puerto TCP del servidor SQL) se establecen de forma predeterminada. SQL authentication (Autenticación de SQL): márquela solo si tiene una instalación de Microsoft SQL Server independiente anterior a la instalación de Logon Collector. Si fuera así, escriba el nombre de usuario y la contraseña del servidor Microsoft SQL Server que se haya utilizado durante la instalación de Microsoft SQL Server. 11 Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar el programa). 12 Haga clic en Install (Instalar) para continuar. Se muestra la ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector). 13 Haga clic en Finish (Finalizar) para terminar la instalación. Desinstalación del software Siga estos pasos para desinstalar Logon Collector. McAfee Logon Collector 2.1 Guía de administración 17

18 2 Instalación Acceso a la interfaz web de Logon Collector 1 En Windows Server, en el menú Inicio seleccione Panel de control y haga clic en Agregar o quitar programas. 2 Seleccione Logon Collector, haga clic en Quitar y siga las instrucciones que aparecen en pantalla. 3 Si quiere quitar la base de datos de Logon Collector, deje activada la casilla de verificación y haga clic en Siguiente para continuar. La información de configuración, como los dominios que se supervisan y los monitores Logon Monitor que están conectados, no se guarda. Si tiene numerosos usuarios configurados para administrar Logon Collector, es posible que quiera conservar la base de datos. 4 Cuando se le pida la contraseña de la base de datos, haga clic en Siguiente para continuar. 5 En la ventana Agregar o quitar programas, seleccione Logon Collector y haga clic en Quitar. 6 Haga clic en Sí cuando se le pida quitar Logon Collector. 7 Cierre Agregar o quitar programas. Véase también Instalación delogon Collector en la página 13 Instalación de Logon Monitor en la página 25 Desinstalación de Microsoft SQL Server 2005 Express Edition Si ha instalado Microsoft SQL Server 2005 Express Edition como parte de la instalación de Logon Collector, posiblemente quiera desinstalarlo cuando quite Logon Collector de su equipo. Si prevé la reinstalación de Logon Collector, debe dejar Microsoft SQL Server 2005 Express Edition en el equipo. Siga estos pasos para desinstalar Microsoft SQL Server 2005 Express Edition. 1 En Windows Server, en el menú Inicio seleccione Panel de control y haga clic en Agregar o quitar programas. 2 Seleccione Microsoft SQL Server 2005 y haga clic en Quitar. 3 En la ventana Selección de componentes, seleccione MLCSERVER: Database Engine (Motor de base de datos) y Workstation Components (Componentes de la estación de trabajo) y, a continuación, haga clic en Siguiente. 4 Haga clic en Finalizar. 5 En la ventana Agregar o quitar programas, seleccione Microsoft SQL Server Native Client y haga clic en Quitar. 6 Haga clic en Sí cuando se le solicite quitar Microsoft SQL Server Native Client. 7 Cierre Agregar o quitar programas. Acceso a la interfaz web de Logon Collector Utilice la interfaz web de Logon Collector para supervisar dominios y monitores de inicio de sesión Logon Monitor, generar informes y llevar a cabo tareas administrativas. 18 McAfee Logon Collector 2.1 Guía de administración

19 Instalación Instalación de Logon Collector como una extensión de McAfee epo 2 1 Abra un navegador y escriba la URL de Logon Collector. Por ejemplo, si ha aceptado los puertos predeterminados, podría escribir El valor 8443 en la URL puede variar según la instalación. Cuando se conecte por primera vez a la interfaz web por medio de una conexión HTTPS, aparecerá una advertencia de certificado no válida. Haga clic en Continue to this website (Vaya a este sitio web) (o el texto equivalente en cada caso) para continuar. Aparece la ventana Log On (Iniciar sesión). 2 Escriba el nombre de usuario y la contraseña que ha configurado durante la instalación y haga clic en Log On (Iniciar sesión). Aparece la ventana Main Status (Estado principal) de la interfaz web. Instalación de Logon Collector como una extensión de McAfee epo Logon Collector también puede instalarse en el servidor de McAfee epolicy Orchestrator (McAfee epo) 4.6 como una extensión. McAfee epo es una plataforma escalable de administración centralizada de directivas y de implementación de los productos de seguridad de los sistemas, como las aplicaciones antivirus, antispyware y firewall personal. Logon Monitor realiza sondeos del dominio de Active Directory para recuperar información de usuario, como nombres de usuario y comportamientos de usuario, por medio de eventos de inicio de sesión. Debido a la carga que representa para el sistema, Logon Collector solo puede ejecutarse en McAfee epo para supervisar dominios de Active Directory de tamaño reducido. Requisitos de instalación A continuación se proporcionan los detalles de los requisitos mínimos para la instalación de Logon Collector como una extensión de McAfee epo: Versión de Logon Collector: 2.1 Versión de McAfee epo : 4.6.0, Si desea desinstalar epolicy Orchestrator, quite primero la extensión de MLC y después desinstale epolicy Orchestrator. Esto eliminará problemas de desinstalación de epolicy Orchestrator que pueden producirse debido a Logon Collector. Instalación de Logon Collector como una extensión de McAfee epo Para instalar Logon Collector como una extensión de McAfee epo realice lo siguiente: McAfee Logon Collector 2.1 Guía de administración 19

20 2 Instalación Instalación de Logon Collector como una extensión de McAfee epo 1 Descargue el archivo MLC21_ePOextension.zip en su directorio local. En el entorno de la extensión de McAfee epo, puede utilizar el mismo archivo zip de extensión para ampliar Logon Collector 2.0 a Seleccione Menu Software Extensions (Menú, Software, Extensiones). Figura 2-4 Opción de extensiones Se abre la página Extensions (Extensiones). 20 McAfee Logon Collector 2.1 Guía de administración

21 Instalación Instalación de Logon Collector como una extensión de McAfee epo 2 3 Haga clic en Install Extension (Instalar extensión) en la esquina inferior izquierda para comenzar la instalación. Figura 2-5 Opción Install Extension (Instalación de extensión) 4 Haga clic en Browse (Explorar) para seleccionar el archivo MLC21_ePOextension.zip que va a instalarse desde su directorio local. Haga clic en OK (Aceptar). Descargue el archivo zip desde su ubicación como se describe en la sección Descarga del software de esta guía. Se abre la ventana Install Package (Instalar paquete). McAfee Logon Collector 2.1 Guía de administración 21

22 2 Instalación Instalación de Logon Collector como una extensión de McAfee epo 5 Haga clic en OK (Aceptar) para volver a la ventana Extensions (Extensiones). Consulte que Logon Collector aparece en la lista como una extensión en el panel izquierdo. 6 Seleccione la ventana Status (Estado) y haga clic en Id Replication Manager (Administrador de replicaciones de ID) para confirmar la instalación. Figura 2-6 Ventana Estado (Estado) tras la confirmación de la instalación s Instalación de Logon Collector desde la ficha Software Manager (Administrador de software) de McAfee epo en la página 22 Instalación de Logon Collector desde la ficha Software Manager (Administrador de software) de McAfee epo Siga estos pasos para instalar Logon Collector desde la ficha Software Manager (Administrador de software) de la interfaz de usuario de McAfee epo. 1 Seleccione Menu Software Software Manager (Menú, Software, Administrador de software). 2 Haga clic en Refresh (Actualizar) desde el panel de la izquierda. 3 En la sección Product Categories (Categorías de producto), haga clic en Firewall Related Software (Software relacionado con el firewall) en la opción Software (by Label) (Software (por etiqueta)). 4 En el panel de la derecha, se muestra la opción Software (by Label) > Firewall Related Software [Software (por etiqueta) > Software relacionado con el firewall]. Haga clic en McAfee Logon Collector Haga clic en Check in MLC (Incorporar MLC) 6 En la ventana McAfee Logon Collector Check In Software Summary (Resumen de incorporación de software), lea y seleccione la opción I accept the terms in the license agreement (Acepto los términos del acuerdo de licencia). 22 McAfee Logon Collector 2.1 Guía de administración

23 Instalación Instalación de Logon Collector como una extensión de McAfee epo 2 7 Haga clic en OK (Aceptar) para ver la ventana Activity In Progress (Actividad en curso). En ella puede ver el progreso de la instalación. Espere hasta ver el estado Complete (Finalizado) (si la instalación ha sido correcta) o el estado Failed (Error) (si la instalación no ha sido correcta). 8 Para verificar la instalación correcta de la extensión de Logon Collector, compruebe si aparecen las páginas Status (Estado) y Logon Report (Informe de inicio de sesión) en Menu Reporting (Menú, Reporting, Generación de informes). McAfee Logon Collector 2.1 Guía de administración 23

24 2 Instalación Instalación de Logon Collector como una extensión de McAfee epo Limitaciones En esta sección se ofrece información detallada sobre las limitaciones de Logon Collector cuando se ejecuta como una extensión de McAfee epo: High Availability (Alta disponibilidad): esta función está desactivada si Logon Collector se ejecuta como una extensión de McAfee epo. Identity Data Store (IDDS): se trata de la base de datos en memoria específica de Logon Collector. De forma predeterminada se establece un límite de tamaño para el almacén de datos IDDS de Logon Collector mientras se ejecuta en McAfee epo. Ello significa que el número total de objetos del directorio (usuarios y grupos) debe ser siempre inferior a Asegúrese de que el dominio que añada a Logon Collector no supere este límite. Asimismo, compruebe el número de usuarios y grupos existentes en el IDDS antes de añadir un dominio nuevo. Si se supera el límite de tamaño, Logon Collector dejará de supervisar todos los dominios y los clientes perderán la conexión con Logon Collector. El servidor de Logon Collector tendrá un comportamiento fuera de lo normal una vez superado el límite de tamaño. No se recomienda realizar ningún cambio de configuración en esta situación. Solución: si se alcanza el límite de objetos en McAfee epo, es posible que tenga que ejecutar Logon Collector en un servidor independiente (que no sea McAfee epo). Aunque consiga encontrar una combinación de dominios que supervisar que cumpla el límite de objetos, tendrá que desinstalar y reinstalar la extensión si Logon Collector alcanza dicho límite. Asegúrese de no agregar ningún dominio que tenga más de objetos. Este proceso de recuperación solo podrá utilizarse cuando Logon Collector haya alcanzado el límite de objetos y haya detenido el funcionamiento normal. Si alcanza el límite aparecerá el siguiente mensaje de error: Figura 2-7 Mensaje de error para la restricción de McAfee epo 24 McAfee Logon Collector 2.1 Guía de administración

25 Instalación Instalación de Logon Monitor 2 También aparecerá un mensaje de error en la página Status (Estado) de la sección del almacén de datos ID Data Store {idds}. Figura 2-8 Mensaje de error en la página Status (Estado) Instalación de Logon Monitor La instalación de Logon Collector incluye un monitor Logon Monitor local. No es necesaria una frase de contraseña especial ni clave de licencia para instalar Logon Monitor. Puede instalar tantas instancias de Logon Monitor (cada una en su propio servidor) como necesite para proporcionar la cobertura adecuada a los controladores de dominio en el dominio supervisado. Debe instalar un monitor Logon Monitor lo más cerca posible de los controladores de dominio con los que va a comunicarse. De este modo se minimiza el impacto del tráfico resultante de la comunicación. Logon Monitor forma parte del paquete de descarga de Logon Collector. Requisitos previos: Deben haberse desinstalado las versiones anteriores de Logon Collector o Logon Monitor antes de instalar esta versión del software. Debe haber iniciado la sesión en el servidor como administrador. Véase también Controladores de dominio y recopilación de inicios de sesión en la página 7 Desinstalación del software en la página 17 Desinstalación de Logon Monitor en la página 26 Instalación de un monitor Logon Monitor 1 Con el Explorador de Windows, busque la carpeta Logon Monitor. Descargue el software que se describe en la sección Descarga del software de esta guía. 2 Haga doble clic en Setup.exe. McAfee Logon Collector 2.1 Guía de administración 25

26 2 Instalación Instalación de Logon Monitor 3 Para una instalación nueva de Logon Monitor, haga clic en Generate Self Signed Certificate (Generar certificado autofirmado) en la ficha Configuration (Configuración) de la ventana McAfee Logon Monitor Configuration (Configuración de McAfee Logon Monitor). El certificado es necesario para comunicar con Logon Collector. Si se trata de una reinstalación de Logon Monitor, el certificado de la instalación anterior permanece en el almacén y puede continuar utilizándolo. 4 Finalice los cambios de configuración y haga clic en OK (Aceptar). Véase también Configuración de Logon Monitor en la página 47 Descarga del software en la página 14 Desinstalación de Logon Monitor Siga los pasos que se indican a continuación para desinstalar Logon Monitor. Asegúrese de que el monitor Logon Monitor que desea desinstalar no se esté utilizando para supervisar algún controlador de dominio para algún Logon Collector. 1 En el servidor de Windows, en el menú Inicio, seleccione el menú Panel de control y haga clic en Agregar o quitar programas. 2 Haga clic en McAfee Logon Monitor y, a continuación, en Quitar. 3 Cuando aparezca el mensaje del asistente InstallShield para McAfee Logon Monitor, haga clic en Siguiente para comenzar el proceso de desinstalación. 4 En la ventana Mantenimiento del programa, haga clic en Quitar y, a continuación, en Siguiente. 5 Haga clic en Quitar. 6 Haga clic en Finalizar. Si tiene pensado reinstalar Logon Monitor, tenga en cuenta que el certificado de la instalación anterior permanece en el almacén y puede continuar utilizándolo. Véase también Instalación delogon Collector en la página 13 Instalación de Logon Monitor en la página McAfee Logon Collector 2.1 Guía de administración

27 3 Ampliación En esta sección se analiza la ampliación de Logon Collector 1.x.x o 2.0 a Logon Collector 2.1. Contenido Consideraciones clave para una ampliación de versión Ampliación del software de 1.x.x a 2.1 con el instalador Ampliación del software de 2.0 a 2.1 con el archivo zip de ampliación Verificación de la ampliación Consideraciones clave para una ampliación de versión Puede realizar una instalación de Logon Collector 2.1 desde cero o bien ampliar la versión de Logon Collector 1.x.x o 2.0 a Logon Collector 2.1. Cuando se realiza una ampliación de versión, toda la configuración de Logon Collector junto con la siguiente información se mantiene en el servidor de Logon Collector: Dominios configurados Certificados agregados Logon Monitor local configurado Monitores Logon Monitor remotos Como en cualquier ampliación de versión, McAfee recomienda encarecidamente que realice siempre primero una prueba de la ampliación en un entorno de prueba. La ampliación de 1.x.x no se admite en Windows Server 2008 R2. Debe desinstalar y volver a instalar para ampliar de la versión de Logon Collector 1.x.x a Logon Collector 2.1. Opciones de ampliación Puede realizar la ampliación de Logon Collector 1.x.x, 2.0 a Logon Collector x.x a 2.1: Utilice el instalador de Logon Collector para realizar la ampliación de Logon Collector 1.x.x a a 2.1: Utilice el archivo zip de ampliación Logon Collector para realizar la ampliación de Logon Collector 2.0 a 2.1 En Logon Collector 2.1, se ha eliminado la página Dashboards (Paneles). Por lo tanto, en una instalación desde cero, no se mostrará la página Dashboards (Paneles). Sin embargo, después de realizar una ampliación de 1.x.x o 2.0 a 2.1, sí se muestra el panel y puede borrarse de forma manual. McAfee Logon Collector 2.1 Guía de administración 27

28 3 Ampliación Ampliación del software de 1.x.x a 2.1 con el instalador Ampliación del software de 1.x.x a 2.1 con el instalador Antes de empezar Las siguientes versiones de sistemas operativos de Microsoft son compatibles con la ampliación: Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Siga estos pasos para realizar la ampliación de Logon Collector 1.x.x a Vaya a la carpeta de su directorio local que contenga el instalador de Logon Collector que ha descargado. Haga doble clic en Setup.exe e inicie el programa de instalación de Logon Collector Lea y acepte la licencia, y continúe con la instalación. 3 Confirme la carpeta de destino. Haga clic en Next (Siguiente). Debe ser la misma que la de la instalación anterior (Logon Collector 1.x.x). 4 Introduzca el nombre de usuario y la contraseña del administrador de Logon Collector. Verifique la contraseña. Debe ser la misma que la de la instalación anterior (Logon Collector 1.x.x). 5 Confirme los números de puerto. Puesto que ya tiene una base de datos, las opciones de Microsoft SQL Server se desactivarán. 6 Compruebe que la opción Database Server (Servidor de base de datos) en la ventana Database Information (Información de base de datos) conserva la misma información que en la instalación de Logon Collector 1.x.x. Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar el programa). 7 Haga clic en Install (Instalar) para empezar la ampliación. Obtendrá uno de los siguientes resultados: Resultado 1 Se abre la ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector). Resultado 2 Se muestra la ventana Files in Use (Archivos en uso) si amplía el software en Windows Server 2008 (32 bits). Seleccione la opción Automatically close and attempt to restart applications (Cerrar automáticamente e intentar reiniciar las aplicaciones) y haga clic en OK (Aceptar) para continuar. 8 Haga clic en Finish (Finalizar) para terminar el proceso de ampliación. Véase también Instalación del software en Windows Server en la página McAfee Logon Collector 2.1 Guía de administración

29 Ampliación Ampliación del software de 2.0 a 2.1 con el archivo zip de ampliación 3 Ampliación del software de 2.0 a 2.1 con el archivo zip de ampliación Si desea realizar una ampliación de Logon Collector 2.0 a 2.1, necesitará instalar el archivo zip de ampliación de Logon Collector como una extensión. Si dispone de Logon Collector 2.0 con alta disponibilidad activada, realice lo siguiente: desactive la alta disponibilidad, amplíe Logon Collector en ambos sistemas y, a continuación, active la alta disponibilidad para completar correctamente la ampliación. La alta disponibilidad es incompatible con dos servidores Logon Collector en los que se ejecuten distintas versiones de Logon Collector. Lleve a cabo estos pasos para ampliar de Logon Collector 2.0 a Descargue el archivo mlc upgrade extensions.zip en su directorio local. 2 Seleccione Menu Software Extensions (Menú, Software, Extensiones). Se muestra la página Extensions (Extensiones). 3 Haga clic en Install Extension (Instalar extensión) en la esquina inferior izquierda para comenzar la instalación. 4 Haga clic en Browse (Explorar) para seleccionar el archivo mlc upgrade extensions.zip que va a instalarse desde su directorio local. Haga clic en OK (Aceptar). Descargue el archivo zip desde su ubicación como se describe en la sección Descarga del software de esta guía. Se muestra la ventana Install Package (Instalar paquete). 5 Haga clic en OK (Aceptar) para volver a la ventana Extensions (Extensiones). Compruebe que Logon Collector aparece en la lista como una extensión en el panel izquierdo. Si desea quitar la extensión Logon Collector, haga clic en Remove (Quitar) en el panel derecho. Verificación de la ampliación Seleccione Menu Configuration About (Menú, Configuración, Acerca de) para verificar que la ampliación se haya realizado de manera correcta. McAfee Logon Collector 2.1 Guía de administración 29

30 3 Ampliación Verificación de la ampliación 30 McAfee Logon Collector 2.1 Guía de administración

31 4 Recopilación 4 de identidades En esta sección se ofrecen los detalles de la recopilación de identidades. Contenido Acerca de la recopilación de identidades Adición de un dominio al monitor Adición de Logon Monitor Administración de servidores Exchange Acerca de la recopilación de identidades Las identidades pueden recopilarse mediante uno de los siguientes modos: Supervisar un dominio con un monitor Logon Monitor local: Todas las instalaciones de Logon Collector contienen Logon Monitor. Debe agregar un dominio desde el que Logon Collector recopile la información. Supervisar un dominio con un monitor Logon Monitor remoto: Puede agregar supervisores de inicio de sesión remotos a Logon Collector. Consulte la sección Despliegue para obtener información sobre cuándo utilizar los monitores Logon Monitor para controlar un dominio. Véase también Adición de un dominio al monitor en la página 31 Adición de un certificado de Logon Collector a un monitor Logon Monitor en la página 33 Despliegue en la página 8 Adición de un dominio al monitor Antes de empezar Introduzca las credenciales para los dominios que se controlarán directamente mediante Logon Collector. Obtenga acceso de administración al cliente que sondea las identidades de un dominio determinado. Instale y configure Logon Collector. Adquiera las credenciales del dominio adecuado de su administrador de dominio de Windows. McAfee Logon Collector 2.1 Guía de administración 31

32 4 Recopilación de identidades Adición de Logon Monitor La cuenta de administrador que pretende utilizar para acceder al controlador de dominio debe estar en el mismo dominio desde donde quiere obtener las identidades. Si desea utilizar una cuenta distinta a la del administrador, consulte la sección Creación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en una sección del controlador de dominio. Siga los pasos que se indican a continuación para agregar un dominio supervisado: 1 Seleccione Menu Configuration Monitored Domains (Menú, Configuración, Dominios supervisados). 2 Haga clic en New Domain (Dominio nuevo). 3 Escriba el nombre del dominio y las credenciales necesarias en los campos pertinentes. 4 Haga clic en Next (Siguiente). Se realizan las conexiones con cada controlador de dominio perteneciente a este dominio en particular. Si la conexión no es correcta con alguno de los controladores de dominio, se muestra un mensaje de error con los detalles del fallo. 5 Para cada uno de los controladores de dominio de la lista, seleccione un monitor Logon Monitor principal y, opcionalmente, otro de copia de seguridad. Para agregar un monitor Logon Monitor como copia de seguridad a la lista desplegable, haga clic en New Logon Monitor (Nuevo Logon Monitor). a Haga clic en la lista desplegable en Primary (Principal) y seleccione un monitor Logon Monitor. b c [Opcional] Haga clic en la lista desplegable bajo Backup (Copia de seguridad) y seleccione un monitor Logon Monitor que entrará en funcionamiento en caso de que el principal no esté disponible. Haga clic en Next (Siguiente). 6 Solo se mostrarán en esta pantalla los controladores de dominio para los que se haya seleccionado Logon Collector. Especifique el orden en que se realizan las consultas de LDAP a los controladores de dominio para obtener la información de usuario y grupo. En general los controladores de dominio más cercanos se situarán en la parte superior de la lista para aumentar los tiempos de respuesta y reducir el ancho de banda de la red. Haga clic en las flechas arriba y abajo para desplazar los controladores de dominio por la lista. 7 Haga clic en Save (Guardar). s Adición de un monitor Logon Monitor en la página 33 Véase también Acerca de la recopilación de identidades en la página 31 Adición de Logon Monitor En esta sección se describe cómo agregar el monitor Logon Monitor remoto a Logon Collector. Contenido Adición de un certificado de Logon Collector a un monitor Logon Monitor 32 McAfee Logon Collector 2.1 Guía de administración

33 Recopilación de identidades Adición de Logon Monitor 4 Adición de un monitor Logon Monitor Eliminación de un monitor Logon Monitor Adición de un certificado de Logon Collector a un monitor Logon Monitor Antes de agregar un monitor Logon Monitor remoto a un dominio supervisado en Logon Collector, debe proporcionar la información de certificado de Logon Collector a Logon Monitor. 1 Instale Logon Monitor y ejecute la aplicación de McAfee Logon Monitor Configuration (Configuración del monitor Logon Monitor). 2 En el equipo donde ha instalado Logon Monitor, abra un navegador web. Va a intercambiar información entre Logon Monitor y Logon Collector. Tener un navegador web abierto con la interfaz web de Logon Collector facilita la realización de esta tarea. 3 Inicie sesión en la interfaz web de Logon Collector y haga clic en Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor). 4 Haga clic en Identity Replication Certificate (Certificado de Identity Replication) de la lista Setting Categories (Configuración de categorías). 5 En la aplicación McAfee Logon Monitor Configuration, haga clic en la ficha Remote (Remoto). 6 En caso necesario, haga clic en New (Nuevo) para agregar un certificado nuevo a Logon Monitor. 7 Copie el valor del nombre común (CN) en Logon Collector al campo Common Name (Nombre común) de Logon Monitor. 8 En la interfaz web de Logon Collector, desplácese hasta el campo Logon Monitor Fingerprint (Huella digital de Logon Monitor). 9 Copie el valor de Logon Monitor Fingerprint (Huella digital de Logon Monitor) de Logon Collector en el campo Certificate Hash (Hash de certificado) de Logon Monitor. 10 Haga clic en OK (Aceptar). 11 Repita estos pasos en todas las instancias de Logon Collector con las que se comunicará Logon Monitor. Con los certificados de Logon Collector en Logon Monitor, puede agregar Logon Monitor a cualquier instancia de Logon Collector para recopilar los inicios de sesión de un dominio supervisado. Véase también Acerca de la recopilación de identidades en la página 31 Ficha Remote (Remoto) en la página 48 Adición de un monitor Logon Monitor 1 Seleccione Menu Configuration Logon Monitors (Menú, Configuración, Logon Monitors). 2 Haga clic en New Logon Monitor (Nuevo Logon Monitor). 3 Escriba un nombre para Logon Monitor remoto. El nombre es una etiqueta arbitraria que se utiliza en Logon Collector para identificar Logon Monitor. McAfee Logon Collector 2.1 Guía de administración 33

34 4 Recopilación de identidades Administración de servidores Exchange 4 Escriba el nombre del host o la dirección IP del Logon Monitor remoto. 5 Escriba el número de puerto, o acepte el valor predeterminado de Haga clic en Next (Siguiente) o en OK (Aceptar) en función del modo en que está agregando Logon Monitor. Se intenta establecer una conexión con Logon Monitor. Si la conexión es correcta, se muestra el certificado. Para aceptar el certificado, haga clic en Save (Guardar) o en OK (Aceptar) en función del modo en que está agregando Logon Monitor. Si la conexión no es correcta, se muestra un mensaje de error. Eliminación de un monitor Logon Monitor Si desea quitar un monitor Logon Monitor remoto, debe asegurarse de que no esté supervisando ningún controlador de dominio. Siga estos pasos para quitar un monitor Logon Monitor. 1 Seleccione Menu Configuration Monitored Domains (Menú, Configuración, Dominios supervisados). 2 Seleccione un dominio y haga clic en Manage Domain Controllers (Administrar servidores Exchange/ controladores de dominio). 3 Para cada controlador de dominio, asegúrese de que el monitor Logon Monitor que vaya a eliminar no conste como Logon Monitor Primary (Principal) ni Backup (Copia de seguridad). Si el monitor Logon Monitor consta en la lista, haga clic en la lista desplegable y seleccione uno diferente. 4 Repita los pasos 2 y 3 hasta que esté seguro de que el monitor Logon Monitor que va a eliminar no se esté utilizando. 5 Seleccione Menu Configuration Logon Monitors (Menú, Configuración, Logon Monitors). 6 Seleccione el monitor Logon Monitor que va a eliminar y haga clic en Delete Logon Monitor (Eliminar Logon Monitor). 7 Haga clic en OK (Aceptar) para confirmar la eliminación. Administración de servidores Exchange Logon Collector puede supervisar los servidores Exchange. Logon Collector admite eventos de inicio de sesión de usuarios que inicien sesión mediante un cliente pesado de Microsoft Outlook u Outlook Web Access (OWA) desde navegadores de Internet que se ejecuten en sistemas Windows o MAC. Los clientes POP3 e IMAP no se admiten. Adición de un servidor Exchange a un dominio supervisado Puede agregar un servidor Exchange y supervisar eventos de inicio de sesión de usuarios de Outlook. Consulte la página Status (Estado) para ver los servidores Exchange agregados. Solo puede agregar un servidor Exchange a un dominio supervisado existente. 34 McAfee Logon Collector 2.1 Guía de administración

35 Recopilación de identidades Administración de servidores Exchange 4 1 Seleccione Menu Configuration Monitored Domains (Menú, Configuración, Dominios supervisados). Se mostrará la página Domains (Dominios). 2 Seleccione un dominio y haga clic en Manage Exchange Servers / Domain Controllers (Administrar servidores Exchange/controladores de dominio). 3 En la zona de Exchange Servers (Servidores Exchange), haga clic en Add Exchange Server (Agregar servidor Exchange). 4 En Exchange Server (Servidor Exchange), introduzca el nombre de dominio completo (FQDN) en el servidor Exchange. Le recomendamos añadir una dirección IP del servidor Exchange a IP Ignore List (Lista Ignorar IP). Vaya a Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor). Seleccione MLC Group / IP Ignore List (Lista Ignorar IP/Grupo MLC) e introduzca la dirección IP del servidor. 5 En Logon Monitor, vaya a la lista desplegable Primary (Principal) y seleccione localhost si desea utilizar el supervisor de inicio de sesión local del servidor Logon Collector o seleccione un supervisor de inicio de sesión remoto si Logon Monitor se encuentra instalado en un sistema diferente. 6 [Condicional] Si cuenta con más de un supervisor de inicio de sesión, puede seleccionar una copia de seguridad de Logon Monitor de la lista desplegable Backup (Copia de seguridad). Puede seleccionar un supervisor de inicio de sesión como principal y uno remoto como copia de seguridad o viceversa. Si lo prefiere, puede seleccionar distintos supervisores de inicio de sesión remotos como principales y como copias de seguridad. El servidor Logon Collector utiliza el supervisor de inicio de sesión que funciona como copia de seguridad si el principal falla. 7 Haga clic en Save (Guardar). 8 Haga clic en Status <domain name> Controller Logon Collecting (Estado, <nombre de dominio>, Recopilar inicios de sesión del controlador). Asegúrese de que en el área Message (Mensaje), Status (Estado) muestra Collecting logons from <exchange server> (Recopilando inicios de sesión de <servidor Exchange>). Eliminación de un servidor Exchange Puede eliminar y dejar de supervisar eventos de inicio de sesión de un servidor Exchange. 1 Seleccione Menu Configuration Monitored Domains (Menú, Configuración, Dominios supervisados). 2 Seleccione un dominio y haga clic en Manage Exchange Servers / Domain Controllers (Administrar servidores Exchange/controladores de dominio). 3 De entre los Exchange Servers (Servidores Exchange) existentes, decida cuál quiere borrar y haga clic en Delete Exchange Server (Borrar servidor Exchange). McAfee Logon Collector 2.1 Guía de administración 35

36 4 Recopilación de identidades Administración de servidores Exchange 36 McAfee Logon Collector 2.1 Guía de administración

37 5 Configuración 5 del servidor En esta sección se ofrece información detallada sobre la configuración y las distintas funciones de la ventana Server Settings (Configuración del servidor). Contenido Acerca de la configuración del servidor Acerca de la configuración personal Configuración de Logon Monitor Acerca de la configuración del servidor Utilice la ventana Server Settings (Configuración del servidor) para configurar diversos parámetros. Para editar un parámetro en concreto: 1 Seleccione Configuration Server Settings (Configuración, Configuración del servidor). 2 Seleccione una categoría de configuración y haga clic en Edit (Editar) en la esquina inferior derecha de la ventana. 3 Agregue información o actualícela y haga clic en Save (Guardar). s Configuración avanzada de MLC en la página 40 En esta sección se describen las opciones de configuración avanzadas del servidor de McAfee Logon Collector. El archivo de configuración de Logon Collector contiene los parámetros para configurar el servidor de Logon Collector. Lista Ignorar IP/Grupo MLC en la página 43 Logon Collector le ofrece la opción de ignorar las direcciones IP de los usuarios y los nombres de grupos de usuarios en función de sus necesidades de supervisión. Véase también Inicio de sesión de usuario de Active Directory en la página 38 Paneles en la página 38 Servidor de correo electrónico en la página 38 Certificado de replicación de identidad en la página 38 Parámetros de Logon Monitor local en la página 39 Impresión y exportación en la página 46 Certificado del servidor en la página 47 McAfee Logon Collector 2.1 Guía de administración 37

38 5 Configuración del servidor Acerca de la configuración del servidor Inicio de sesión de usuario de Active Directory Seleccione esta opción para permitir que los usuarios de Active Directory se conecten al Logon Collector si tienen establecido al menos un permiso. Véase también Acerca de la configuración del servidor en la página 37 Administración de conjuntos de permisos en la página 80 Paneles La opción de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.1. Véase también Acerca de la configuración del servidor en la página 37 Servidor de correo electrónico Especifique el servidor de correo electrónico (SMTP) que se utilizará para enviar informes por correo electrónico. Opción SMTP server name (Nombre del servidor SMTP) SMTP server port (Puerto del servidor SMTP) Authentication (Autenticación) From address (Dirección del remitente) Definición Nombre del servidor SMTP Número de puerto del servidor SMTP, suele ser el puerto 125 El método de autenticación, si lo hay, para el servidor SMTP Seleccione Authenticate (Autenticar) y especifique las credenciales necesarias en caso de que el servidor SMTP requiera autenticación. La dirección de correo electrónico que se incluirá en el campo From (De) Véase también Acerca de la configuración del servidor en la página 37 Exportación del registro de auditoría en la página 86 Definición de criterios de exportación en la página 91 Certificado de replicación de identidad El certificado de replicación de identidad identifica Logon Collector con relación a las demás entidades con las que se comunica y establece una conexión de confianza. Por ejemplo: Se proporciona el valor de la identificación por huellas digitales de Logon Monitor a uno de los monitores Logon Monitor. Se proporciona el valor Base 64 a los clientes, por ejemplo, a McAfee Firewall Enterprise Control Center. Puede generar un certificado con firma automática nuevo o utilizar un certificado y la clave privada proporcionados desplazándose a sus ubicaciones. También tendrá que facilitar la frase de contraseña (si la hay) si utiliza un certificado proporcionado. El cambio del certificado puede conllevar cualquiera de los siguientes problemas: Es posible que un cliente actual no pueda volver a conectarse. El clúster de alta disponibilidad puede romperse. 38 McAfee Logon Collector 2.1 Guía de administración

39 Configuración del servidor Acerca de la configuración del servidor 5 Véase también Acerca de la configuración del servidor en la página 37 Parámetros de Logon Monitor local Configure los parámetros de Logon Monitor local. Opción Distinguished Name (Nombre distintivo) Store Name (Nombre de almacén) Store Type (Tipo de almacén) Server Port (Puerto de servidor) Certificate Checking (Comprobación de certificado) Connection Type (Tipo de conexión) Debug Level (Nivel de depuración) File Location (Ubicación de archivo) Definición El nombre distintivo contiene el nombre común y otros atributos necesarios para que Logon Monitor local pueda identificar el certificado que se encuentra en su almacén (consulte la opción Store Name (Nombre de almacén) más adelante) y que debe utilizarse para la autenticación en el servidor de Logon Collector. Por ejemplo, cn=dlc.centserv.org,o=centserv,c=us puede ser el nombre distintivo, compuesto por el nombre común (cn), nombre de la organización (o) y país de origen (c) del certificado. Para utilizar un certificado con firma automática, solo necesita usar el nombre común (agregándole el prefijo cn=) como identificación. El nombre del almacén o el nombre del almacén de certificados es el lugar en el que Logon Monitor local busca sus certificados. La configuración predeterminada del nombre de almacén es McAfeeLogonMonitor\MY. Utiliza el tipo de almacén CERT_SYSTEM_STORE_SERVICES. Los almacenes de certificados están organizados por tipo. El tipo predeterminado (CERT_SYSTEM_STORE_SERVICES) debería ser suficiente en la mayoría de los casos. El puerto en el que escucha el servicio de Logon Monitor local. Siempre que no haya ningún otro servicio escuchando en el puerto especificado, puede utilizar el puerto que desee. El valor predeterminado del puerto es Los números de puerto válidos están comprendidos entre 1 y Especifica el tipo de comprobación que debe llevarse a cabo para cualquiera de los certificados remotos aceptados. Certificate Hash (Hash del certificado): [Recomendado] verifica que el hash configurado para el nombre común proporcionado coincida con el hash almacenado. Certificate Store (Almacén de certificados): la comprobación del almacén de certificados es donde una autoridad de certificación firma el certificado encontrado en el almacén de certificados. Certified Not Required (No se requiere certificado): no se comprueba ningún certificado. Esta opción no ofrece comunicaciones seguras para acceder a Logon Collector. McAfee recomienda utilizar el hash de certificado como método más seguro. Especifica si la conexión de Logon Collector está cifrada o no. Esta opción solo está diseñada para solucionar problemas. Dicha opción debe estar configurada a su valor predeterminado (Encrypted (TLS) (Cifrado (TLS)) o es posible que Logon Collector no funcione correctamente. La cantidad de información escrita en el archivo de registro. El nivel de detalle aumenta con el nivel de depuración. El valor predeterminado es cero (0), que no registra ningún tipo de información detallada adicional. El lugar en el sistema donde se guarda el archivo de registro. De forma predeterminada, la ubicación de la instalación de Logon Collector es C:\Program Files\McAfee\McAfee Logon Collector\Logon Collector. McAfee Logon Collector 2.1 Guía de administración 39

40 5 Configuración del servidor Acerca de la configuración del servidor Opción File Size (Tamaño de archivo) Authentication Type (Tipo de autenticación) CPU Disconnect Threshold (Umbral de desconexión de la CPU) Maximum Backlog Records (Entradas máximas del registro anterior) Allow Backlog Queries (Permitir consultas del registro anterior) Accepted Remote Certificates (Certificados remotos aceptados) Definición El tamaño máximo en kilobytes que puede alcanzar el archivo de registro antes de que se produzca una rotación. El sistema conserva un máximo de cinco archivos de registro en la ubicación seleccionada. LoginMonitor.log es el archivo más reciente; le siguen cronológicamente los archivos LoginMonitor.log.1 a LoginMonitor.log.4. El tipo de autenticación para la conexión entre el servicio Logon Monitor local y los controladores de dominio. Se admiten la autenticación de Kerberos y la de NTLM; Kerberos es la predeterminada. Especifica el momento en el que Logon Monitor local introduce una limitación de flujos de tráfico si los servicios en un controlador de dominio supervisado consumen demasiada CPU con excesiva rapidez. Si se supera el umbral de la CPU, Logon Monitor local deja de realizar el sondeo del dominio en cuestión durante veinte minutos. Transcurrido el período de veinte minutos, tiempo que debería ser suficiente para que la CPU procese su carga, Logon Monitor local vuelve a conectarse. Si observa que Logon Monitor local recurre con frecuencia a la limitación de flujos de tráfico, intente desactivar la opción Allow Backlog Queries (Permitir consultas del registro anterior). El número máximo de entradas de registro para el que se ejecutará una consulta del registro anterior. Especifica si Logon Monitor local comprueba los registros de eventos de seguridad del controlador de dominio para eventos relativos a la identidad que puedan haberse producido mientras no estaba conectado. Si esta opción está activada, Logon Monitor local puede hacer consultas retroactivas para el período de tiempo durante el que ha estado desconectado en lugar de tan sólo reanudar su labor en el momento en que vuelve a conectarse. Tenga en cuenta que las consultas del registro anterior no pueden tener lugar si Logon Monitor local se conecta primero al controlador de dominio. La consulta se realiza hasta alcanzar el valor de la opción Maximum Backlog Records (Entradas máximas del registro anterior) o bien hasta el momento de la última conexión, aquello que ocurra antes. Es muy probable que las consultas del registro anterior repercutan en el rendimiento de equipos heredados o que soportan mucha carga y, por consiguiente, no se recomiendan. Si observa que Logon Monitor local recurre con frecuencia a la limitación de flujos de tráfico, intente desactivar esta función. Los certificados de servicios de Logon Collector remotos aceptados por este servicio de Logon Collector. Los certificados deben cumplir los criterios definidos en la opción Certificate Checking (Comprobación de certificado). Véase también Acerca de la configuración del servidor en la página 37 Configuración de Logon Monitor en la página 47 Configuración avanzada de MLC En esta sección se describen las opciones de configuración avanzadas del servidor de McAfee Logon Collector. El archivo de configuración de Logon Collector contiene los parámetros para configurar el servidor de Logon Collector. Puede utilizar la opción MLC Advanced Settings (Configuración avanzada de MLC) o editar el archivo mlc config.xml para realizar la configuración. 40 McAfee Logon Collector 2.1 Guía de administración

41 Configuración del servidor Acerca de la configuración del servidor 5 Domain Controller Backoff Time (Tiempo de interrupción del controlador del dominio): Logon Collector detiene el envío de consultas de WMI al controlador de dominio si el uso de la CPU de este último supera el umbral de CPU configurado. Logon Collector espera de forma predeterminada 20 minutos antes de enviar las consultas de WMI a ese controlador de dominio. No se recomienda configurar un valor demasiado bajo para controllerbackofftime, ya que ello puede aumentar la carga en el controlador de dominio. McAfee recomienda un valor mínimo de 10 minutos. Logon Collector V1 Compatibility (Compatibilidad de Logon Collector V1): Logon Collector 1.0 y Logon Collector no propagan los cambios en el nombre de usuario o de grupo en Active Directory a los clientes. Sin embargo, Logon Collector 2.1 sí propaga la información de cambios en el nombre de usuario y de grupo a los clientes. Esto hace que McAfee Firewall ACLD deje de ser el núcleo ya que depende de esta funcionalidad de Logon Collector. Mediante el modo de compatibilidad de v1 de Logon Collector, la versión 2.1 se comporta exactamente igual que Logon Collector 1.0 en lo que respecta a esta funcionalidad. Como consecuencia, Firewall ACLD no pierde su papel central en el momento en que se produce una ampliación a Logon Collector 2.1. De forma predeterminada, Logon Collector 2.1 se ejecuta en el modo de compatibilidad. Remove White Space from Unique Name (Eliminar espacios de los nombres exclusivos): Logon Collector 1.x utilizaba un algoritmo para generar el uniquename (nombre exclusivo) para objetos de usuario o grupo que eliminaba los espacios. Como consecuencia, el algoritmo responsable de la generación de nombres exclusivos no creaba un uniquename (nombre exclusivo). Ejemplo: Grupo 1 cn: ProductServices un: ProductServices@DistributionLists.scur.com Grupo 2 cn: Product Services un: ProductServices@DistributionLists.scur.com Se genera el mismo "un" (nombre exclusivo) para el Grupo 1 y el Grupo 2 aunque sus "cn" (nombres comunes) son distintos. McAfee epo Users and Groups Limit (Límite de usuarios y grupos de McAfee epo): Si Logon Collector funciona como una extensión de McAfee epo, de forma predeterminada se establece un límite de objetos de directorio en Logon Collector Identity Data Store (IDDS). El valor predeterminado del parámetro es No se recomienda establecer un valor superior a McAfee recomienda instalar Logon Collector en un servidor independiente si el dominio que se va a supervisar tiene más de usuarios y grupos. McAfee Logon Collector 2.1 Guía de administración 41

42 5 Configuración del servidor Acerca de la configuración del servidor Configuración de Logon Collector con la configuración avanzada de MLC Seleccione Server Settings MLC Advanced Settings (Configuración del servidor, Configuración avanzada de MLC) para realizar la configuración avanzada de Logon Collector. Si lo prefiere, puede realizar esta configuración con el archivo xml. 1 Seleccione Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor). 2 Seleccione MLC Advanced Settings (Configuración avanzada de MLC) y haga clic en Edit (Editar). Se muestra la página Edit MLC Advanced Settings (Edición de la configuración avanzada de MLC). 3 [Ajuste de Logon Collector] En el campo Domain Controller Backoff Time (Tiempo de interrupción del controlador de dominio), introduzca el tiempo en minutos. 4 [Para clientes] Active o desactive la casilla de verificación MLC V1 Compatibility (Compatibilidad de MLC V1). Esta casilla está activada de forma predeterminada. 5 [Para clientes] Active o desactive la casilla de verificación Remove White Space from Unique Name (Eliminar espacios de los nombres exclusivos). Esta casilla está desactivada de forma predeterminada. En Logon Collector, los nombres de este usuario y de los grupos de usuarios permanecen igual. 6 [Para la extensión MLC en epolicy Orchestrator] En el campo (epo) Users and Groups Limit [(epo) Límite de usuarios y grupos], introduzca el número máximo de usuarios y de grupos de usuarios. 7 Haga clic en Save (Guardar). 8 Reinicie el servicio Logon Collector. Configuración avanzada de Logon Collector con el archivo xml Siga los pasos que se indican a continuación para configurar las opciones avanzadas en el archivo xml si quiere configurar el servidor de Logon Collector. 1 Detenga el servicio Logon Collector. 2 Vaya a <MLC_INSTALL_FOLDER>/server/conf/mlc config.xml. 3 Edite el archivo xml. Domain Controller Backoff Time (Tiempo de interrupción del controlador de dominio) Cambie el valor del parámetro (en minutos): <config name="controllerbackofftime" value="20" type="common" /> Logon Collector V1 Compatibility (Compatibilidad de Logon Collector V1) Cambie el valor del parámetro (verdadero o falso): <config name="enable v1 compatibility" value="true type="common"/> 42 McAfee Logon Collector 2.1 Guía de administración

43 Configuración del servidor Acerca de la configuración del servidor 5 Remove White Space from Unique Name (Eliminar espacios de los nombres exclusivos) Cambie el valor del parámetro (verdadero o falso): <config name="removewhitespacefromuniquename" value="false" /> McAfee epo Users and Groups Limit (Límite de usuarios y grupos de McAfee epo) Cambie el valor del parámetro (número): <config name="idds.epo.limit.directory_object_count" value="10000" /> 4 Reinicie el servicio Logon Collector. Si el servicio de Logon Collector tarda más de lo esperado en detenerse, abra el Task Manager (Administrador de tareas), seleccione la ficha Processes (Procesos), localice el proceso Tomcat y haga clic en End Process (Finalizar proceso). Lista Ignorar IP/Grupo MLC Logon Collector le ofrece la opción de ignorar las direcciones IP de los usuarios y los nombres de grupos de usuarios en función de sus necesidades de supervisión. Muchas organizaciones cuentan con servidores Exchange. Cuando los usuarios inician sesión en OWA, el controlador de dominio obtiene la dirección IP del servidor Exchange. El administrador del sistema puede añadir la dirección IP del servidor Exchange a IP Ignore List (Lista Ignorar IP). De igual forma, muchos sistemas están configurados para llevar a cabo tareas automatizadas. Estos sistemas inician sesión continuamente en el controlador de dominio con credenciales de usuario bot. El administrador del sistema puede crear un grupo de usuarios y agregar estos usuarios bot al grupo. Este grupo puede agregarse a Group Ignore List (Lista Ignorar grupo). IP Ignore List (Lista Ignorar IP): Si un usuario inicia sesión desde una dirección IP y esa misma dirección se añade a IP Ignore List (Lista Ignorar IP), se ignorarán todos los eventos de inicio de sesión de esa dirección IP. Group Ignore List (Lista Ignorar grupo): Si un usuario es miembro de un grupo y el nombre de ese grupo de usuarios (o uno de los del grupo principal) se añade a Group Ignore List (Lista Ignorar grupo), se ignorarán todos los eventos de inicio de sesión de ese usuario. Omisión de direcciones IP de usuario y nombres de grupos de usuarios Puede seleccionar Server Settings MLC Group / IP Ignore List (Configuración del servidor, Lista Ignorar IP/ Grupo MLC) para ignorar las direcciones IP de usuario y los nombres de grupos de usuarios. 1 Seleccione Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor). 2 Seleccione MLC Group / IP Ignore List (Lista Ignorar IP/Grupo MLC) y haga clic en Edit (Editar). Se muestra la página Edit MLC Group / IP Ignore List (Editar lista Ignorar IP/Grupo MLC). 3 En Group Ignore List (Lista Ignorar grupo), introduzca los nombres de grupos de usuario separados por comas. 4 En IP Ignore List (Lista Ignorar IP), introduzca las direcciones de IP de usuarios separadas por comas. 5 Haga clic en Save (Guardar). Configuración de direcciones IP para la comunicación cliente servidor de Logon Collector Cuando existen varias direcciones IP en el servidor de Logon Collector, este las escucha todas. McAfee Logon Collector 2.1 Guía de administración 43

44 5 Configuración del servidor Acerca de la configuración del servidor Durante una conmutación en caso de error de alta disponibilidad, cuando el servidor principal está inactivo o inaccesible, el secundario cambia del modo en espera a activo. Este último continúa estableciendo comunicación con el principal. Una vez que el servidor principal está activo, el secundario cambia su estado a en espera (o pasivo) y el primer servidor retoma su estado activo. Cuando el servidor principal está inaccesible, los clientes de Logon Collector tienen que reintentar todas las direcciones IP del servidor principal antes de cambiar al secundario. Esto retrasa el proceso de conmutación en caso de error para el cliente. Para solucionar este problema, Logon Collector le permite seleccionar las direcciones IP para comunicarse. El puerto HTTPS de Logon Collector continuará escuchando todas las direcciones IP. La comunicación de los clientes y de alta disponibilidad tendrá lugar a través de la dirección IP seleccionada. Cuando el servidor principal está inaccesible, los clientes de Logon Collector tienen que reintentar solo la dirección IP principal configurada antes de cambiar al secundario. Configuración de la dirección IP para la comunicación de MLC Para configurar MLC Communication IP Address (Dirección IP para la comunicación de MLC), realice lo siguiente: 1 Seleccione Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor). 2 Haga clic en MLC Communication IP Address (Dirección IP para la comunicación de MLC). 3 Haga clic en Edit (Editar) en la esquina inferior derecha para seleccionar una dirección IP de la lista desplegable. Figura 5-1 Edición de la dirección IP para la comunicación de MLC 4 Haga clic en Save (Guardar). MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC) Logon Collector proporciona una opción para modificar la duración del evento de inicio de sesión en el servidor de Logon Collector. El evento de inicio de sesión se almacena en el servidor de Logon Collector durante seis horas de forma predeterminada. 44 McAfee Logon Collector 2.1 Guía de administración

45 Configuración del servidor Acerca de la configuración del servidor 5 Configuración de MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC) Para configurar MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC): 1 Seleccione Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor). 2 Haga clic en MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC). Figura 5-2 MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC) McAfee Logon Collector 2.1 Guía de administración 45

46 5 Configuración del servidor Acerca de la configuración del servidor 3 Haga clic en Edit (Editar) en la esquina inferior derecha para modificar el tiempo. El evento de inicio de sesión se guardará en el servidor de Logon Collector conforme al tiempo configurado. Figura 5-3 Edit MLC User Login Timeout (Edición del tiempo de espera de inicio de sesión de usuario en MLC) 4 Haga clic en Save (Guardar). Impresión y exportación Defina la configuración para los documentos exportados. Figura 5-4 Opción Printing and Exporting (Impresión y exportación) Véase también Acerca de la configuración del servidor en la página McAfee Logon Collector 2.1 Guía de administración

47 Configuración del servidor Acerca de la configuración personal 5 Certificado del servidor En esta sección se explica cómo configurar el certificado que utiliza Logon Monitor para autenticarse en Logon Collector. Asegúrese de que posee un certificado para Logon Monitor, ya sea un certificado con firma automática de nueva generación (por Logon Monitor) o uno generado por una autoridad de certificación. Logon Monitor no operará sin un certificado. Sin embargo, en el caso de un monitor Logon Monitor local no es necesario un certificado con firma automática. Distinguished Name (Nombre distintivo): el nombre distintivo contiene el nombre común y otros atributos necesarios para que Logon Monitor pueda identificar el certificado que se encuentra en su almacén (consulte la opción Store Name (Nombre de almacén) más adelante) que debe utilizarse para autenticar el servidor. Por ejemplo, la cadena cn=dlc.centserv.org,o=centserv,c=us podría ser el Nombre distintivo, compuesto por el nombre común (cn), nombre de la organización (o) y país de origen (c) del certificado. Para utilizar un certificado con firma automática, solo necesita usar el nombre común (agregándole el prefijo cn=) como identificación. Store Name (Nombre de almacén): el nombre del almacén o el nombre del almacén de certificados es el lugar en el que Logon Monitor busca sus certificados. La configuración predeterminada del nombre de almacén es McAfeeLogonMonitor\MY. Utiliza el tipo de almacén CERT_SYSTEM_STORE_SERVICES. Si Logon Monitor se ejecuta en modo independiente, utilice el nombre de almacén MY. Este utiliza el tipo de almacén CERT_SYSTEM_STORE_CURRENT_USER. Generate Self Signed Certificate (Generar certificado con firma automática): solo disponible cuando el campo de nombre distintivo no está en blanco, el botón Generate Self Signed Certificate (Generar certificado con firma automática) genera un certificado con firma automática y lo coloca en el almacén de certificados identificado por el nombre de almacén. Si Logon Monitor se instala de forma independiente, debe generar un certificado a fin de poder conectar Logon Monitor a Logon Collector. View Certificate (Ver certificado): solo disponible cuando el campo de nombre distintivo no está en blanco, el botón View Certificate (Ver certificado) muestra un visor de certificados estándar de Windows en el que aparece el certificado que coincide con el nombre distintivo, en caso de que exista alguno en el almacén. Véase también Acerca de la configuración del servidor en la página 37 Acerca de la configuración personal Utilice la ventana Personal Settings (Configuración personal) para editar la contraseña del usuario que se encuentre conectado y el periodo en minutos para que se actualicen las tablas no pertenecientes a paneles si se han configurado para que se actualicen automáticamente. Seleccione Menu Configuration Personal Settings (Menú, Configuración, Configuración personal). Configuración de Logon Monitor Logon Monitor se ejecuta como un servicio de Windows y se inicia automáticamente después de cada ciclo de energía (apagado y encendido). En esta sección se describe la configuración del software Logon Monitor. McAfee Logon Collector 2.1 Guía de administración 47

48 5 Configuración del servidor Configuración de Logon Monitor Logon Monitor se configura con una aplicación denominada Logon Monitor Configuration en el equipo con Windows en el que se haya instalado el software Logon Monitor. Si la configuración de Logon Monitor no se lleva a cabo como parte de la instalación, vaya al menú Start (Inicio) y seleccione Logon Monitor Configuration (Configuración de Logon Monitor) (por ejemplo, de forma predeterminada en Start Programs McAfee Logon Monitor Logon Monitor Configuration (Inicio, Programas, McAfee Logon Monitor, Configuración de Logon Monitor)) para que aparezca la ventana McAfee Logon Monitor Configuration (Configuración de McAfee Logon Monitor). No es necesario reiniciar el servicio Logon Monitor cuando se hacen cambios de configuración. Los cambios surten efecto tras hacer clic en OK (Aceptar). La información de configuración de Logon Monitor se guarda en el Registro de Windows. Véase también Instalación de un monitor Logon Monitor en la página 25 Parámetros de Logon Monitor local en la página 39 Ficha Configuration (Configuración) La ficha Configuration (Configuración) contiene la configuración de Logon Monitor. Figura 5-5 Ficha Configuration (Configuración) Ficha Remote (Remoto) La ficha Remote (Remoto) contiene el nombre común del certificado y el hash de certificado de cualquier Logon Collector al que se conecte este monitor Logon Monitor. 48 McAfee Logon Collector 2.1 Guía de administración

49 Configuración del servidor Configuración de Logon Monitor 5 Logon Monitor acepta cualquier número de certificados en la ficha Remote (Remoto). Figura 5-6 Ficha Remote (Remoto) Véase también Adición de un certificado de Logon Collector a un monitor Logon Monitor en la página 33 Uso de MMC para administrar certificados de Logon Monitor Logon Monitor utiliza el almacén de certificados de Microsoft para administrar los certificados que genera. Después de instalar Logon Monitor, el modo más sencillo de ver los certificados es utilizar Microsoft Management Console (MMC) para visualizar el almacén de certificados para el servicio de Logon Monitor. Para utilizar MMC: 1 Inicie MMC (Inicio Ejecutar MMC). 2 Vaya a Archivo Agregar o quitar complementopara mostrar la ventana Agregar o quitar complemento. 3 Haga clic en Agregar para mostrar la ventana Agregar un complemento independiente. 4 Seleccione Certificados y haga clic en Agregar para abrir la ventana Complemento Certificados. McAfee Logon Collector 2.1 Guía de administración 49

50 5 Configuración del servidor Configuración de Logon Monitor 5 Seleccione Cuenta de servicio en la ventana Certificates snap in (Complemento Certificados) y haga clic en Siguiente. 6 Seleccione Equipo local y haga clic en Siguiente. 7 Seleccione Logon Collector de la lista de servicios y haga clic en Finalizar. 8 Haga clic en Cerrar en la ventana Agregar un complemento independiente. 9 Haga clic en Aceptar en la ventana Agregar o quitar complemento para cerrarla. MMC muestra la información de certificado para Logon Monitor. 10 Haga clic con el botón derecho sobre un certificado o un almacén para importar las listas de certificados en la pantalla. Importar o quitar un certificado de CA de servidor o cliente para Logon Monitor Consulte el complemento de certificados para MMC en la documentación de Microsoft para obtener información sobre la importación de un certificado como autoridad de certificación (CA, Certificate Authority) para Logon Monitor. Esto solo es de utilidad cuando Logon Monitor utiliza la comprobación de certificados. Uso de NTLMv2 con monitores Logon Monitor McAfee recomienda utilizar Kerberos como tipo de autenticación. Si va a utilizar NTLM, es conveniente que use NTLMv2 como se describe en esta sección. El método de autenticación predeterminado en Windows, hash de Lan Manager (LM), genera una respuesta débil que puede utilizar un atacante para llevar a cabo un ataque por fuerza bruta, sin conexión a la red, con el objetivo de averiguar la contraseña real. Lea esta sección para obtener información sobre cómo utilizar el método de autenticación NTLMv2 y lograr una conexión más segura entre un monitor Logon Monitor y un controlador de dominio. McAfee recomienda el uso del método de autenticación NTLMv2 en servidores con Windows 2003 y Windows 2008 si se ejecuta un monitor Logon Monitor. De este modo, Logon Monitor puede utilizar NTLMv2 para autenticarse en los controladores de dominio. Ello únicamente puede conseguirse si se modifica el Registro; no es necesario realizar ningún cambio en los controladores de dominio. El procedimiento requiere modificar el Registro de Windows Server. La edición inadecuada del Registro puede provocar que el sistema quede inutilizable o que su estado sea inestable. Haga una copia de seguridad del Registro por si el sistema queda inutilizable o en un estado inestable. Antes de continuar, haga una copia de seguridad del Registro. Para obtener más información, consulte el artículo técnico de Microsoft ( Si Windows Server proporciona otros servicios y existen clientes que no admiten NTLMv2 (por ejemplo, Windows 95 o Windows 98), este cambio impedirá que los clientes antiguos puedan utilizar el servidor. Para forzar el uso de NTLMv2: 1 Inicie sesión en el servidor con Windows Server en el que se ejecuta Logon Monitor. 2 Inicie el Editor del Registro (Inicio Ejecutar regedit). 3 Vaya a la clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 50 McAfee Logon Collector 2.1 Guía de administración

51 Configuración del servidor Configuración de Logon Monitor 5 4 Haga clic con el botón derecho en el valor LmCompatibilityLevel. Consulte: mspx 5 Haga clic en Modify (Modificar). 6 Escriba el número 5 (únicamente utilice la autenticación NTLMv2 y negocie la seguridad de sesión NTLMv2 si el servidor lo admite) y haga clic en OK (Aceptar). 7 Reinicie Windows Server. 8 Asegúrese de que el estado de IAM en Logon Collector sea UP (Operativo) transcurridos 10 minutos. McAfee Logon Collector 2.1 Guía de administración 51

52 5 Configuración del servidor Configuración de Logon Monitor 52 McAfee Logon Collector 2.1 Guía de administración

53 6 Alta 6 disponibilidad (clústeres) En este capítulo se explica la función de alta disponibilidad (HA). Los términos alta disponibilidad y clúster se utilizan indistintamente en todo el capítulo. Contenido Descripción general Conceptos básicos de configuración Replicación de datos de configuración Replicación de eventos de inicio de sesión Limitaciones Desactivación de un clúster Reconfiguración de un clúster Descripción general La función de alta disponibilidad permite la existencia de McAfee Logon Collector en la forma de servidor principal y secundario. En este escenario, cuando el servidor principal está inactivo o inaccesible, el secundario cambia del modo en espera a activo. Este último continuará sondeando el servidor principal para comprobar cuándo vuelve a estar disponible. Una vez que el servidor principal vuelve a estar activo, el secundario cambia al estado en espera. Los clientes que estaban conectados al servidor principal cambian al secundario cuando el principal está inaccesible. Una vez que el servidor principal vuelve a estar activo, los clientes vuelven a conectarse a este. Logon Collector puede presentarse en los siguientes modos: Independiente Clúster Logon Collector puede presentarse en los siguientes estados: Activo En espera Conceptos básicos de configuración En esta sección se ofrece información sobre los conceptos básicos de configuración de la función de alta disponibilidad. McAfee Logon Collector 2.1 Guía de administración 53

54 6 Alta disponibilidad (clústeres) Conceptos básicos de configuración Requisitos para la alta disponibilidad A continuación se enumeran los requisitos para la función de alta disponibilidad: Debe haber dos servidores (principal y secundario) de Logon Collector disponibles. Los controladores de dominio que van a supervisarse deben estar siempre accesibles desde ambos servidores de Logon Collector. Ambos servidores, principal y secundario, deben comunicarse entre sí. Tanto el servidor principal como el secundario deben tener el certificado con firma automática o el certificado firmado por CA común. 54 McAfee Logon Collector 2.1 Guía de administración

55 Alta disponibilidad (clústeres) Conceptos básicos de configuración 6 Configuración de alta disponibilidad Para configurar un clúster: 1 Instale Logon Collector en dos servidores distintos (Windows Server 2003 o Windows Server 2008). 2 En el servidor que prevé seleccionar como principal, seleccione Menu Configuration Cluster Configuration (Menú, Configuración, Configuración de clúster). Figura 6-1 Opción Cluster Configuration (Configuración de clúster) Se abre la ventana Cluster Configuration (Configuración de clúster). McAfee Logon Collector 2.1 Guía de administración 55

56 6 Alta disponibilidad (clústeres) Conceptos básicos de configuración 3 Haga clic en Edit (Editar). Se abre la ventana Edit Cluster Configuration (Editar configuración de clúster). Figura 6-2 Ventana Cluster Configuration (Configuración de clúster) 4 Marque la casilla Enable clustering (Activar clústeres) y seleccione Primary (Principal). Haga clic en Save (Guardar). Figura 6-3 Ventana Edit Cluster Configuration (Editar configuración de clúster) para la configuración del servidor principal 5 En el servidor que prevé seleccionar como secundario, seleccione Menu Configuration Cluster Configuration (Menú, Configuración, Configuración de clúster) para abrir la ventana Cluster Configuration (Configuración de clúster). 56 McAfee Logon Collector 2.1 Guía de administración

57 Alta disponibilidad (clústeres) Conceptos básicos de configuración 6 6 En la ventana Edit Cluster Configuration (Editar configuración de clúster), marque la casilla Enable Clustering (Activar clústeres) y seleccione Secondary (Secundario). Introduzca los siguientes detalles: Primary Server (<IP Address>:<Https port>) (Servidor principal (<dirección IP>:<puerto https>)) Admin username for primary server (Nombre de usuario del administrador para el servidor principal) Admin password for primary server (Contraseña del administrador para el servidor principal) Figura 6-4 Ventana Edit Cluster Configuration (Editar configuración de clúster) para la configuración del servidor secundario Haga clic en Next (Siguiente). Se abre la ventana Enable Cluster Task (Activar tarea de clúster). McAfee Logon Collector 2.1 Guía de administración 57

58 6 Alta disponibilidad (clústeres) Conceptos básicos de configuración 7 Haga clic en Yes (Sí) para mostrar el certificado del puerto HTTPS del servidor principal. Solo se formará el clúster si acepta el certificado. El mensaje informa sobre las opciones de configuración una vez terminada la formación del clúster. Figura 6-5 Ventana Enable Cluster Task (Activar tarea de clúster) Si no desea sobrescribir las opciones de configuración, haga clic en No. 8 En la ventana Primary MLC Certificate (Certificado de MLC principal), haga clic en Accept Certificate and Enable Clustering (Aceptar certificado y activar clústeres). Se inicia el intercambio de certificados entre los servidores principal y secundario, y se activa el establecimiento de confianza. Figura 6-6 Ventana Primary MLC Certificate (Certificado de MLC principal) Se abre la ventana Cluster Configuration (Configuración de clúster). 58 McAfee Logon Collector 2.1 Guía de administración

59 Alta disponibilidad (clústeres) Conceptos básicos de configuración 6 9 La ventana Cluster Configuration (Configuración de clúster) muestra los siguientes detalles: MLC Cluster Configuration Enabled (Configuración de clúster de MLC activada): estado de la configuración del clúster Status (Estado): estado del servidor Primary Server IP address (Dirección IP del servidor principal): dirección IP del servidor principal Https port number of primary server (Número del puerto https del servidor principal): número del puerto https que utiliza el servidor del mismo nivel durante la creación del clúster JMS port number of primary server (Número del puerto JMS del servidor principal): número del puerto JMS de servicios de mensajería de Java (Java Messaging Services) que utiliza el servidor del mismo nivel y los clientes para transferir datos Figura 6-7 Ventana Cluster Configuration (Configuración de clúster) después de la formación del clúster Véase también Reconfiguración de un clúster en la página 64 Configuración de alta disponibilidad en la instalación de la infraestructura de clave pública (PKI) La función de alta disponibilidad se puede configurar también en la instalación de la infraestructura de clave pública (PKI, Public Key Infrastructure). Los pasos para configurar el clúster en este contexto son los mismos que los descritos anteriormente. Requisitos previos para la alta disponibilidad en la instalación de la infraestructura de clave pública (PKI) McAfee Logon Collector 2.1 Guía de administración 59

60 6 Alta disponibilidad (clústeres) Conceptos básicos de configuración Los siguientes pasos son los requisitos previos para la alta disponibilidad en la instalación de la infraestructura de clave pública (PKI): 1 Seleccione Menu Configuration Trusted CAs (Menú, Configuración, CAs de confianza) y agregue el certificado raíz de CA a ambos sistemas del mismo nivel de alta disponibilidad. 2 Seleccione Menu Configuration Server Settings Identity Replication Certificate (Menú, Configuración, Configuración del servidor, Certificado de Identity Replication) para reemplazar el certificado de Identity Replication por el certificado de CA firmado para los respectivos servidores. El certificado raíz de CA y el certificado de CA firmado deben agregarse para los clientes. Escenarios de error Se mostrará un mensaje de error para cada uno de los siguientes escenarios: El certificado que utiliza el servidor principal tiene firma automática, mientras que el certificado que utiliza el servidor secundario está firmado por una CA. El certificado que utiliza el servidor secundario tiene firma automática, mientras que el certificado que utiliza el servidor principal está firmado por una CA. Los certificados que utilizan los servidores principal y secundario tienen firmas de dos CAs distintas. En este caso, la configuración del clúster es correcta pero el estado aparecerá en rojo. En la siguiente figura se muestra el mensaje de error. Figura 6-8 Mensaje de error Comprobación del estado de formación del clúster En esta sección se describe el modo de comprobar el estado de formación del clúster. 60 McAfee Logon Collector 2.1 Guía de administración

61 Alta disponibilidad (clústeres) Conceptos básicos de configuración 6 1 Seleccione Menu Reporting Status (Menú, Generación de informes, Estado) para verificar el estado de formación del clúster. 2 En la ventana Status (Estado), haga clic en Cluster Manager (Administrador de clúster) para ver el mensaje procedente del miembro del clúster. Figura 6-9 Mensaje de estado de formación del clúster en el servidor principal Figura 6-10 Mensaje de estado de formación del clúster en el servidor secundario Importante: El estado general {IAM} está en rojo dado que el estado del componente {LAM} es rojo. Figura 6-11 Ventana de estado McAfee Logon Collector 2.1 Guía de administración 61

62 6 Alta disponibilidad (clústeres) Replicación de datos de configuración Replicación de datos de configuración Cuando se crea un clúster, el servidor principal omite la configuración existente del servidor secundario. El servidor secundario se encuentra en uno de los siguientes estados: Activo: cuando el servidor secundario está desconectado del servidor principal se le denomina servidor secundario activo. En espera: cuando el servidor secundario está conectado al servidor principal se le denomina servidor secundario en espera. El servidor secundario pasivo no permite cambiar la configuración; si lo intenta, aparecerá un mensaje de error. Los cambios de la configuración solo pueden realizarse en el servidor secundario activo. Replicación del servidor principal al secundario: una vez configurado el clúster, las configuraciones se replican del servidor principal al secundario. Replicación del servidor secundario activo al servidor principal: si el servidor principal se desactiva y, transcurrido un tiempo, vuelve a activarse, recibe los detalles de configuración del servidor secundario activo. Cuando el servidor secundario está funcionando en modo de espera, el estado de {LAM} está ROJO en la ventana Status (Estado). Se trata de un comportamiento normal debido a que Logon Collector detiene el {LAM} cuando está funcionando en modo de espera. Logon Collector no debe implementarse en equipos con DHCP: Los servidores de Logon Collector del mismo nivel se comunican entre ellos durante la formación del clúster. Sin embargo, esto puede no ser posible si Logon Collector se ha implementado en un equipo con DHCP. Los productos McAfee que estén conectados al servidor de Logon Collector en una determinada dirección IP también se desconectarán si se producen cambios en la dirección IP debidos a la configuración del protocolo DHCP. Por ello, McAfee recomienda evitar el despliegue de Logon Collector en sistemas con DHCP. Replicación de eventos de inicio de sesión Replicación desde el servidor principal al secundario Los eventos de inicio de sesión en el servidor de Logon Collector activo se replican en el servidor de Logon Collector en espera. Replicación desde el servidor secundario activo al servidor principal Cuando el servidor principal está inaccesible y vuelve a activarse tras un cierto periodo de tiempo, recibe los datos de replicación (eventos de inicio de sesión, usuarios, grupos) del servidor secundario activo. Cuando tanto el servidor principal como el secundario se desactivan, debe volver a activar el servidor que cuente con la configuración más reciente y, a continuación, proceder con el otro servidor. Si no sigue estos pasos, puede que los datos replicados en los servidores no sean los más recientes. 62 McAfee Logon Collector 2.1 Guía de administración

63 Alta disponibilidad (clústeres) Limitaciones 6 Limitaciones La siguiente lista refleja las limitaciones de la función de alta disponibilidad: No se admite el escenario de redes divididas. Es importante garantizar que las comunicaciones entre el servidor principal y el secundario no se interrumpan nunca. Por ejemplo, si la conectividad en la red entre el servidor principal y el secundario está inactiva, el servidor secundario supone que el servidor principal no responde, espera 5 minutos y se activa. Cuando se restablece la comunicación, el servidor principal omite siempre la configuración del servidor secundario. La función de alta disponibilidad funciona en la configuración de infraestructura de clave pública (PKI), pero los certificados del servidor principal y del secundario deben estar firmados por el mismo firmante. No se admiten listas de revocación de certificados (CRL). Otros productos de McAfee que utilizan la biblioteca de cliente de Logon Collector 1.0 no se benefician de esta función; no obstante, pueden continuar funcionando en este escenario. Desactivación de un clúster Para desactivar un clúster: 1 En el servidor secundario, seleccione Menu Configuration Cluster Configuration (Menú, Configuración Configuración de clúster). 2 Desactive la opción Enable clustering (Activar clúster), y haga clic en Save (Guardar). Se abre la ventana Disable Cluster Task (Desactivar tarea de clúster). Haga clic en Yes (Sí) para continuar. Figura 6-12 Ventana Disable Cluster Task (Desactivación de tarea de clúster) para servidor secundario McAfee Logon Collector 2.1 Guía de administración 63

64 6 Alta disponibilidad (clústeres) Reconfiguración de un clúster 3 Vaya a la ventana Cluster Configuration (Configuración del clúster) del servidor principal. 4 Desactive la casilla de validación Enable clustering (Activar clúster), y haga clic en Save (Guardar). Se abre la ventana Disable Cluster Task (Desactivar tarea de clúster). Haga clic en Yes (Sí) para continuar. Figura 6-13 Ventana Disable Cluster Task (Desactivación de tarea de clúster) para servidor principal Cuando el clúster está desactivado, el servidor secundario quita todas las configuraciones, incluidos los monitores de inicio de sesión y dominios, y funciona como servidor independiente. El servidor principal conservará las configuraciones y continuará supervisando los dominios configurados como un servidor independiente. Véase también Reconfiguración de un clúster en la página 64 Reconfiguración de un clúster El clúster puede volver a configurarse si la función de los servidores debe invertirse (por ejemplo, si quiere que el servidor secundario actúe como principal y viceversa). Siga los pasos que se indican a continuación para reconfigurar un clúster: 1 Desactive el clúster. 2 Active el clúster con las nuevas configuraciones de servidor principal y secundario. 64 McAfee Logon Collector 2.1 Guía de administración

65 7 7 Actualización bajo demanda de grupos y usuarios En este capítulo se ofrece información detallada sobre la actualización bajo demanda de grupos y usuarios. Puede actualizar la nueva información del usuario en cualquier momento. Ello permite al servidor de Logon Collector sincronizar sus datos de usuarios o grupos con el controlador de dominio. Si el administrador agrega un usuario a un grupo de Active Directory para concederle acceso a un recurso, puede utilizar la actualización bajo demanda de grupos para actualizar Logon Collector y permitir, de este modo, el acceso del usuario al recurso, sin necesidad de esperar a que la actualización del grupo tenga lugar en segundo plano. McAfee recomienda no ejecutar las tareas de actualización de grupos y de usuarios simultáneamente. Ejecute la tarea de actualización de grupos unos 20 minutos antes que la tarea de actualización de usuarios para que la tarea de actualización de grupos tenga tiempo de finalizar. Las demás opciones que aparecen en la interfaz de usuario Server Tasks (Tareas servidor) y que no se explican en este capítulo no tienen relación con Logon Collector. Contenido MFS Scheduler 2.5 Actualización de grupos bajo demanda Actualización de usuarios bajo demanda Registro de tareas servidor McAfee Logon Collector 2.1 Guía de administración 65

66 7 Actualización bajo demanda de grupos y usuarios MFS Scheduler 2.5 MFS Scheduler 2.5 Puede llevar a cabo tareas de actualización bajo demanda de grupos y usuarios si está activado MFS Scheduler 2.5. MFS Scheduler 2.5 está activado de forma predeterminada. Vaya a Menu Software Extensions (Menú, Software, Extensiones) para ver MFS Scheduler 2.5 en la lista de extensiones instaladas. Figura 7-1 MFS Scheduler 2.5 Tanto las actualizaciones de usuarios como las de grupos se implementan mediante MFS Scheduler. El intervalo de las tareas del planificador se guarda en SQL Server y no en mlc config.xml. Ningún cambio en los intervalos de dichas tareas se replicará del servidor principal al secundario. Actualización de grupos bajo demanda Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor) para configurar la tarea de servidor MLC Refresh Groups (Grupos de actualización de MLC). Figura 7-2 Opción MLC Refresh Groups (Grupos de actualización de MLC) 66 McAfee Logon Collector 2.1 Guía de administración

67 Actualización bajo demanda de grupos y usuarios Actualización de grupos bajo demanda 7 Opciones para actualización de grupos En esta sección se proporcionan los detalles de las diferentes opciones de actualización de grupos. Opción 1: Run (Ejecutar) Antes de empezar Utilice esta opción para actualizar manualmente la información de los grupos en la base de datos (IDDS) de Logon Collector mediante la recuperación de la información más reciente de los grupos del almacén de datos del controlador de dominio. Para actualizar manualmente la información de los grupos: 1 Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor). Haga clic en la opción Run (Ejecutar) de MLC Refresh Groups (Grupos de actualización de MLC). 2 En MLC Refresh Groups (Grupos de actualización de MLC), haga clic en Run (Ejecutar). Se abre la página Server Task Log (Registro de tareas servidor). En esta página se ofrecen los resultados de la acción de actualización de los grupos. De forma predeterminada, las entradas del registro se ordenan por hora, siendo la más reciente la primera. Figura 7-3 Resultados de la acción de actualización de los grupos 3 Haga clic en la entrada del registro MLC Refresh Group (Grupo de actualización de MLC) para ver los detalles. Figura 7-4 Página Server Task Log Information (Información del registro de tareas servidor) McAfee Logon Collector 2.1 Guía de administración 67

68 7 Actualización bajo demanda de grupos y usuarios Actualización de grupos bajo demanda Opción 2: Edit (Editar) Utilice esta opción para cambiar la configuración del planificador en una tarea. Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC Refresh Groups (Grupos de actualización de MLC), y haga clic en Edit (Editar). Ficha 1: Description (Descripción) 1 En la página Server Task Builder (Generador de tareas servidor), aparecen los siguientes detalles en la ficha Description (Descripción): Name (Nombre): MLC Refresh Groups (Grupos de actualización de MLC) Notes (Notas): Refresh all groups for all directories (Actualizar todos los grupos de todos los directorios) Schedule status (Estado de planificación): la planificación de la tarea Enabled (Activada): para activar la actualización automática Disabled (Desactivada): para desactivar la actualización automática McAfee no recomienda el uso de la acción Disabled (Desactivada). Figura 7-5 Página Server Task Builder (Generador de tareas servidor) 2 Haga clic en Next (Siguiente). Se abre la ficha Actions (Acciones). 3 Haga clic en Save (Guardar). Ficha 2: Actions (Acciones) Esta ficha muestra las acciones que lleva a cabo Logon Collector. 68 McAfee Logon Collector 2.1 Guía de administración

69 Actualización bajo demanda de grupos y usuarios Actualización de grupos bajo demanda 7 1 En el campo Actions (Acciones), la opción MLC Group Sync (Sincronización de grupos de MLC) está seleccionada de forma predeterminada. Figura 7-6 Ficha Actions (Acciones) 2 Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificación). 3 Haga clic en Save (Guardar). Ficha 3: Schedule (Planificación) La ficha Schedule (Planificación) permite cambiar la configuración del planificador de la tarea. 1 En la ficha Schedule (Planificación), introduzca los siguientes detalles: Schedule Type (Tipo de planificación): seleccione uno de los siguientes tipos de planificación en la lista desplegable: Hourly (Cada hora) Monthly (Mensualmente) Daily (A diario) Yearly (Anualmente) Weekly (Semanalmente) Advanced (Avanzado) McAfee recomienda seleccionar la opción Daily (A diario) para Schedule Type (Tipo de planificación). Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea. End Date (Fecha de finalización): seleccione la fecha en la cual quiere detener la tarea. McAfee recomienda seleccionar la opción No End Date (Sin fecha de finalización) para que no se configure ninguna fecha de finalización para la tarea. McAfee Logon Collector 2.1 Guía de administración 69

70 7 Actualización bajo demanda de grupos y usuarios Actualización de grupos bajo demanda Schedule (Planificación): haga clic en para agregar un horario planificado nuevo. Haga clic en para quitar un horario planificado existente. At (A las): seleccione la opción At (A las) en la lista desplegable para ejecutar la tarea a una hora específica. Between (Entre): seleccione la opción Between (Entre) en la lista desplegable para ejecutar varias tareas en un intervalo de tiempo específico. Figura 7-7 Ficha Schedule (Planificación) McAfee recomienda establecer el horario de planificación de manera que la tarea MLC Group Refresh (Actualización de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh (Actualización de usuarios de MLC). 2 Haga clic en Save (Guardar). Ficha 4: Summary (Resumen) Vaya a la ficha Summary (Resumen) para ver los siguientes detalles: Name (Nombre): el nombre de la tarea Notes (Notas): las notas relacionadas con la tarea. Task Owner (Propietario de la tarea): el propietario de la tarea Schedule Status (Estado de planificación): el estado de la tarea planificada 70 McAfee Logon Collector 2.1 Guía de administración

71 Actualización bajo demanda de grupos y usuarios Actualización de grupos bajo demanda 7 Schedule (Planificación): los detalles sobre la fecha de inicio, fecha de finalización, espacio de tiempo y hora de la siguiente ejecución de la tarea planificada Actions (Acciones): las acciones de la tarea planificada, como MLC Group Sync (Sincronización de grupos MLC) Figura 7-8 Ventana Summary (Resumen) Haga clic en Save (Guardar). Opción 3: View (Visualización) Utilice esta opción para ver la configuración para los grupos de actualización. Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC Refresh Groups (Grupos de actualización de MLC) y haga clic en View (Ver). McAfee Logon Collector 2.1 Guía de administración 71

72 7 Actualización bajo demanda de grupos y usuarios Actualización de usuarios bajo demanda Se abre la página Server Task Details (Detalles de tareas servidor). En esta página se muestran los resultados de la acción de actualización del grupo. Figura 7-9 Página Server Task Details (Detalles de tarea servidor) Actualización de usuarios bajo demanda Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor) para configurar la tarea de servidor MLC Refresh Users (Usuarios de actualización de MLC). Figura 7-10 Opción MLC Refresh Users (Usuarios de actualización de MLC) Opciones de la actualización de usuarios En esta sección se ofrece información detallada sobre las distintas opciones de la actualización de usuarios. Opción 1: Run (Ejecutar) Antes de empezar Utilice esta opción para actualizar manualmente la información de los usuarios en la base de datos de Logon Collector (IDDS) mediante la recuperación de la información más reciente de los usuarios del almacén de datos del controlador de dominio. 72 McAfee Logon Collector 2.1 Guía de administración

73 Actualización bajo demanda de grupos y usuarios Actualización de usuarios bajo demanda 7 Para actualizar manualmente la información de los usuarios: 1 Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor). Haga clic en la opción Run (Ejecutar) de MLC Refresh Users (Usuarios de actualización de MLC). Se abre la página Server Task Log (Registro de tareas servidor). En esta página se ofrecen los resultados de la acción de actualización de los usuarios. De forma predeterminada, las entradas del registro se ordenan por hora, siendo la más reciente la primera. Figura 7-11 Resultados de la acción de actualización de los usuarios 2 Haga clic en la entrada de registro MLC Refresh Users (Usuarios de actualización de MLC) para ver los detalles. Figura 7-12 Página Server Task Log Information (Información del registro de tareas servidor) Opción 2: Edit (Editar) Utilice esta opción para cambiar la configuración del planificador en una tarea. Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC Refresh Users (Usuarios de actualización de MLC), y haga clic en Edit (Editar). McAfee Logon Collector 2.1 Guía de administración 73

74 7 Actualización bajo demanda de grupos y usuarios Actualización de usuarios bajo demanda Ficha 1: Description (Descripción) 1 En la página Server Task Builder (Generador de tareas servidor), aparecen los siguientes detalles en la ficha Description (Descripción): Name (Nombre): MLC Refresh Users (Usuarios de actualización de MLC) Notes (Notas): Refresh all users for all directories (Actualizar todos los usuarios de todos los directorios) Schedule status (Estado de planificación): la planificación de la tarea Enabled (Activada): para activar la actualización automática Disabled (Desactivada): para desactivar la actualización automática McAfee recomienda evitar el uso de la acción Disabled (Desactivada). Figura 7-13 Página Server Task Builder (Generador de tareas servidor) 2 Haga clic en Next (Siguiente) para ir a la ficha Actions (Acciones). 3 Haga clic en Save (Guardar). Ficha 2: Actions (Acciones) Esta ficha muestra las acciones que lleva a cabo Logon Collector. 74 McAfee Logon Collector 2.1 Guía de administración

75 Actualización bajo demanda de grupos y usuarios Actualización de usuarios bajo demanda 7 1 En el campo Actions (Acciones), la opción MLC User Sync (Sincronización de usuarios de MLC) está seleccionada de forma predeterminada. Figura 7-14 Ficha Actions (Acciones) 2 Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificación). 3 Haga clic en Save (Guardar). Ficha 3: Schedule (Planificación) La ficha Schedule (Planificación) permite cambiar la configuración del planificador de la tarea. 1 En la ficha Schedule (Planificación), introduzca los siguientes detalles: Schedule Type (Tipo de planificación): seleccione uno de los siguientes tipos de planificación en la lista desplegable: Hourly (Cada hora) Monthly (Mensualmente) Daily (A diario) Yearly (Anualmente) Weekly (Semanalmente) Advanced (Avanzado) McAfee recomienda seleccionar la opción Daily (A diario) para Schedule Type (Tipo de planificación). Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea. End Date (Fecha de finalización): seleccione la fecha en la cual quiere detener la tarea. McAfee recomienda seleccionar la opción No End Date (Sin fecha de finalización) para que no se configure ninguna fecha de finalización para la tarea. McAfee Logon Collector 2.1 Guía de administración 75

76 7 Actualización bajo demanda de grupos y usuarios Actualización de usuarios bajo demanda Schedule (Planificación): haga clic en para agregar el horario planificado nuevo. Haga clic en para quitar el horario planificado existente. At (A las): seleccione la opción At (A las) en la lista desplegable para ejecutar la tarea a una hora específica. Between (Entre): seleccione la opción Between (Entre) en la lista desplegable para ejecutar varias tareas en un intervalo de tiempo específico. Figura 7-15 Ficha Schedule (Planificación) McAfee recomienda establecer el horario de planificación de manera que la tarea MLC Group Refresh (Actualización de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh (Actualización de usuarios de MLC). 2 Haga clic en Save (Guardar). Ficha 4: Summary (Resumen) Vaya a la página Summary (Resumen) para ver los siguientes detalles: Name (Nombre): el nombre de la tarea Notes (Notas): las notas relacionadas con la tarea. Task Owner (Propietario de la tarea): el propietario de la tarea Schedule Status (Estado de planificación): el estado de la tarea planificada 76 McAfee Logon Collector 2.1 Guía de administración

77 Actualización bajo demanda de grupos y usuarios Actualización de usuarios bajo demanda 7 Schedule (Planificación): los detalles sobre la fecha de inicio, fecha de finalización, espacio de tiempo y hora de la siguiente ejecución de la tarea planificada Actions (Acciones): las acciones de la tarea planificada, como MLC User Sync (Sincronización de usuarios MLC) Figura 7-16 Summary (Resumen) Haga clic en Save (Guardar). Opción 3: View (Visualización) Utilice esta opción para ver la configuración para los usuarios de actualización. Seleccione Menu Automation Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC Refresh Users (Usuarios de actualización de MLC), y haga clic en View (Ver). McAfee Logon Collector 2.1 Guía de administración 77

78 7 Actualización bajo demanda de grupos y usuarios Registro de tareas servidor Se abre la página Server Task Details (Detalles de tareas servidor). En esta página se muestran los resultados de la acción de actualización del usuario. Figura 7-17 Página Server Task Details (Detalles de tarea servidor) Registro de tareas servidor Seleccione Menu Automation Server Task Log (Menú, Automatización, Registro de tareas servidor) para ver los resultados de la actualización de grupos y usuarios de ejecuciones anteriores. Figura 7-18 Página Server Task Log (Registro de tareas servidor) 78 McAfee Logon Collector 2.1 Guía de administración

79 8 Administración 8 de usuarios En esta sección se ofrecen los detalles sobre la administración de usuarios para el acceso administrativo a Logon Collector. Para agregar usuarios a Active Directory, utilice los mecanismos de configuración de Active Directory usuales en Windows. Contenido Administración de los usuarios Administración de conjuntos de permisos Administración de contactos Administración de los usuarios Puede agregar usuarios a Logon Collector y especificar el tipo de acceso que tienen al sistema. Adición o modificación de un usuario Para agregar o modificar un usuario: 1 Seleccione Menu User Management Users (Menú, Administración de usuarios, Usuarios). 2 Haga clic en New User (Usuario nuevo) para agregar uno, o bien haga clic en Actions Edit (Acciones, Editar) para modificarlo. 3 Defina el usuario. a Escriba el nombre del usuario, o cambie el existente. b c Especifique si el usuario puede iniciar sesión. No puede desactivar el estado de inicio de sesión del último administrador global restante. Seleccione un tipo de autenticación. Si está modificando un usuario, haga clic primero en Change Authentication or Credentials (Cambiar autenticación o credenciales). Para la autenticación de Logon Collector, escriba una contraseña y confírmela. Para la autenticación de Windows, escriba el nombre de usuario y dominio. d [Opcional] Proporcione otros detalles para el usuario: nombre completo, dirección de correo electrónico, número de teléfono y notas. McAfee Logon Collector 2.1 Guía de administración 79

80 8 Administración de usuarios Administración de conjuntos de permisos e Asigne un conjunto de permisos. Seleccione el administrador global para permitir el acceso completo a Logon Collector. Seleccione un conjunto o conjuntos de permisos haciendo clic en ellos. 4 Haga clic en Save (Guardar). Véase también Administración de conjuntos de permisos en la página 80 Eliminación de un usuario Para eliminar un usuario: 1 Seleccione Menu User Management Users (Menú, Administración de usuarios, Usuarios). 2 Seleccione uno o varios usuarios activando la casilla de verificación junto al nombre del contacto. 3 Seleccione Actions Delete (Acciones, Eliminar). Administración de conjuntos de permisos Un conjunto de permisos es un grupo de permisos, dividido en secciones, que puede concederse a cualquier usuario mediante la asignación a su cuenta de usuario. Pueden asignarse uno o más conjuntos de permisos a cualquier usuario que no sea administrador global. Los administradores globales tienen todos los permisos para todas las funciones. Los conjuntos de permisos sólo conceden permisos; nunca los quitan. Véase también Inicio de sesión de usuario de Active Directory en la página 38 Adición o modificación de un usuario en la página 79 Creación de un grupo de consultas en la página 87 Creación de conjuntos de permisos Utilice esta tarea para crear un conjunto de permisos. 1 Seleccione Menu User Management Permission Sets (Menú, Administración de usuarios, Conjuntos de permisos) y haga clic en New Permission Set (Nuevo conjunto de permisos). 2 Escriba el nombre del conjunto de permisos y seleccione los usuarios a los que se asigna el conjunto. 3 Haga clic en Save (Guardar). 4 Seleccione el nuevo conjunto de permisos en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 5 Haga clic en Edit (Editar) junto a las secciones desde las que desea conceder permisos. 6 En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opciones adecuadas y haga clic en Save (Guardar). 7 Repita la tarea para todas las secciones que desee del conjunto de permisos. 80 McAfee Logon Collector 2.1 Guía de administración

81 Administración de usuarios Administración de contactos 8 Eliminación de conjuntos de permisos Este procedimiento permite eliminar un conjunto de permisos. Si el conjunto de permisos tiene usuarios asignados, dichos usuarios perderán los permisos concedidos. Es necesario ser administrador global para realizar esta tarea. 1 Haga clic en Menu User Management Permission Sets (Menú, Administración de usuarios, Conjuntos de permisos) y seleccione el conjunto de permisos que desee eliminar en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 2 Haga clic en Actions Delete (Acciones, Eliminar). El panel Action (Acción) le informa si algún usuario está asignado al conjunto de permisos y le da la oportunidad de cancelar la acción. 3 Haga clic en OK (Aceptar) en el panel Action (Acción). El conjunto de permisos ya no aparece en la lista Permission Sets (Conjuntos de permisos). Duplicación de conjuntos de permisos Esta tarea permite duplicar un conjunto de permisos. Al duplicar un conjunto de permisos se crea una copia en memoria del conjunto de permisos seleccionado, que se puede modificar y guardar con otro nombre. Es necesario ser administrador global para realizar esta tarea. 1 Seleccione Menu User Management Permission Sets (Menú, Administración de usuarios, Conjuntos de permisos) y seleccione el conjunto de permisos que va a editar en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 2 Haga clic en Actions Duplicate (Acciones, Duplicar), escriba un nombre en New name (Nuevo nombre) del panel Actions (Acciones) y, a continuación, haga clic en OK (Aceptar). 3 Seleccione el nuevo duplicado en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 4 Haga clic en Edit (Editar) junto a las secciones para las que desea conceder permisos. 5 En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opciones adecuadas y haga clic en Save (Guardar). 6 Repita el procedimiento para todas las secciones del conjunto de permisos para las que desea conceder permisos. Administración de contactos Para que la selección de los destinatarios de los informes y los datos sea más fácil, Logon Collector proporciona una función Contacts (Contactos) en la que puede definir los nombres y las direcciones de correo electrónico de los contactos. McAfee Logon Collector 2.1 Guía de administración 81

82 8 Administración de usuarios Administración de contactos Véase también Definición de criterios de exportación en la página 91 Adición o modificación de un contacto Para agregar o modificar un contacto: 1 Haga clic en Menu User Management Contacts (Menú, Administración de usuarios, Contactos). 2 Haga clic en New contact (Contacto nuevo) para agregar uno, o bien haga clic en Actions Edit (Acciones, Editar) para modificarlo. 3 Escriba el nombre del usuario, o cambie el existente. El contacto debe incluir un nombre, y puede seleccionar solo el nombre, solo el apellido, o ambos. 4 Introduzca una dirección de correo electrónico. 5 Haga clic en Save (Guardar). Eliminación de un contacto Para eliminar un contacto: 1 Haga clic en Menu User Management Contacts (Menú, Administración de usuarios, Contactos). 2 Seleccione uno o varios usuarios activando la casilla de verificación junto al nombre del contacto. 3 Haga clic en Actions Delete (Acciones, Eliminar). 82 McAfee Logon Collector 2.1 Guía de administración

83 9 9 Generación de informes En esta sección se ofrecen detalles sobre el estado del producto para verificar que los componentes funcionen según lo previsto. Contenido Acerca de la ventana Status (Estado) Visualización de usuarios conectados Visualización del registro de auditoría Administración de consultas del registro de auditoría Definición de criterios de filtrado Definición de criterios de exportación Visualización de paneles Acerca de la ventana Status (Estado) Utilice la ventana Status (Estado) para comprobar si los componentes se están ejecutando según lo previsto. Junto a cada componente se encuentra un indicador de estado circular. En la siguiente tabla se describen los componentes y sus estados. En todos los sistemas, un indicador de estado verde indica que el sistema funciona correctamente. McAfee Logon Collector 2.1 Guía de administración 83

84 9 Generación de informes Acerca de la ventana Status (Estado) Tabla 9-1 Componentes del sistema El componente de sistema Informa sobre El estado amarillo indica El estado verde indica El estado rojo indica ID Manager {iam} estado general de los sistemas. uno o varios estados de los componentes están en amarillos. No aplicable uno o varios estados de los componentes están en rojo: Login Acquisition Manager Id Replication Manager Login State Manager Id Data Store Compruebe los componentes específicos para identificar la causa del fallo en el componente. Compruebe los componentes específicos para identificar la causa del fallo en el componente. Login Acquisition Manager lam estado actual de las consultas a los controladores de dominio. uno o varios dominios están en amarillo o rojo. No aplicable Todos los dominios están en rojo. ID Acquisition Manager Login State Manager {lsm} el estado de Identitiy Replication para los clientes. si Login State Manager se inicializó correctamente. estado amarillo. No aplicable Se ha producido una excepción. sin estado amarillo. No aplicable Se proporciona un breve mensaje que describe la excepción. Compruebe los registros de Logon Collector para identificar la causa del fallo. Fallo en la inicialización. Compruebe los registros de Logon Collector para identificar la causa del fallo. ID Data Store {idds} estadísticas sobre el número de objetos almacenados. sin estado amarillo. No aplicable Fallo en la inicialización. Compruebe los registros de Logon Collector para identificar la causa del fallo. 84 McAfee Logon Collector 2.1 Guía de administración

85 Generación de informes Visualización de usuarios conectados 9 Tabla 9-1 Componentes del sistema (continuación) El componente de sistema ID Resolution {pnd} Logon Flow {logons} Cluster Manager {cluster} Informa sobre si las consultas de información de usuario procedentes de Active Directory han entrado en servicio tras detectarse un inicio de sesión. el número de inicios de sesión detectados en el último minuto. el estado del clúster y los mensajes intercambiados entre los miembros del clúster. El estado amarillo indica hay más de inicios de sesión en la cola pendiente, a la espera de que se resuelva la información de usuario. no se han detectado inicios de sesión durante la última hora. No aplicable El estado verde indica No aplicable No aplicable el administrador del clúster funciona correctamente. El estado rojo indica Sin estado rojo. No se han detectado inicios de sesión durante las últimas doce horas. La comunicación entre los miembros del clúster está inactiva, o bien uno de los miembros del clúster no está disponible. Véase también Visualización de paneles en la página 92 Visualización de usuarios conectados Logon Collector proporciona un informe de las direcciones IP que está utilizando un usuario. Para ver quién está actualmente conectado y con qué dirección IP: 1 Seleccione Menu Reporting Logon Report (Menú, Generación de informes, Informe de inicio de sesión). 2 [Opcional] Para buscar una dirección IP o nombre de usuario determinado, escriba el valor en el campo Quick find (Búsqueda rápida) y haga clic en Apply (Aplicar). 3 [Opcional] Configure la presentación de las columnas: a b Haga clic en Actions Choose Columns (Acciones, Elegir columnas). Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. c Quite una columna haciendo clic en el botón X. Restablezca los cambios haciendo clic en Use Default (Usar predeterminados). s Exportación de informes de usuarios que han iniciado sesión en la página 85 Exportación de informes de usuarios que han iniciado sesión Antes de empezar Puede guardar informes de usuarios que han iniciado sesión y enviarles un mensaje de correo electrónico. McAfee Logon Collector 2.1 Guía de administración 85

86 9 Generación de informes Visualización del registro de auditoría Para enviar un informe por correo electrónico a los usuarios que han iniciado sesión: 1 Seleccione Menu Reporting Logon Report (Menú, Generación de informes, Informe de inicio de sesión). 2 Especifique el contenido del informe mediante la aplicación de los filtros pertinentes. 3 Seleccione Actions Export Table (Acciones, Exportar tabla). Visualización del registro de auditoría Antes de empezar Logon Collector ofrece un informe del registro de auditoría que enumera los cambios hechos en la configuración del servidor. Para ver el registro de auditoría: 1 Seleccione Menu User Management Audit Log (Menú, Administración de usuarios, Registro de auditoría). 2 [Opcional] Defina un filtro avanzado. 3 [Opcional] Seleccione un filtro predefinido en la lista desplegable. 4 [Opcional] Haga clic en una entrada del registro de auditoría para ver la información de una sola fila mostrada como filas en lugar de columnas. 5 [Opcional] Configure la presentación de las columnas: a Haga clic en Actions Choose Columns (Acciones, Elegir columnas). b Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. c Quite una columna haciendo clic en el botón X. Restablezca los cambios haciendo clic en Use Default (Usar predeterminados). s Exportación del registro de auditoría en la página 86 Véase también Definición de criterios de filtrado en la página 90 Exportación del registro de auditoría Puede guardar vistas específicas del registro de auditoría y enviarlas por correo electrónico. 86 McAfee Logon Collector 2.1 Guía de administración

87 Generación de informes Administración de consultas del registro de auditoría 9 Para enviar por correo electrónico un registro de auditoría: 1 Seleccione Menu User Management Audit Log (Menú, Administración de usuarios, Registro de auditoría). 2 Especifique el contenido mediante la aplicación de los filtros pertinentes. 3 Seleccione Actions Export Table (Acciones, Exportar tabla). Véase también Servidor de correo electrónico en la página 38 Definición de criterios de filtrado en la página 90 Definición de criterios de exportación en la página 91 Administración de consultas del registro de auditoría Las consultas del registro de auditoría permiten recuperar vistas específicas del registro de auditoría en lugar de la vista más sencilla que hay disponible. Las consultas en los registros de auditoría se agrupan por grupos privados y compartidos. Creación de un grupo de consultas 1 Seleccione Menu Reporting Queries (Menú, Generación de informes, Consultas). 2 Seleccione Group Actions New Group (Acciones de grupos, Nuevo grupo). 3 Escriba un nombre para identificar el grupo. 4 Especifique la visibilidad del grupo. Grupo privado: aparece en My Groups (Mis grupos) Grupo público: aparece en Shared Groups (Grupos compartidos). Por conjunto de permisos: aparece en Shared Groups (Grupos compartidos) pero solo es accesible para quienes tengan asignados los conjuntos de permisos seleccionados. Véase también Administración de conjuntos de permisos en la página 80 Eliminación de un grupo de consultas 1 Haga clic en el nombre de un grupo. 2 Seleccione Group Actions Delete Group (Acciones de grupo, Eliminar grupo). 3 Haga clic en OK (Aceptar) para confirmar la eliminación. McAfee Logon Collector 2.1 Guía de administración 87

88 9 Generación de informes Administración de consultas del registro de auditoría Edición de un grupo de consultas 1 Haga clic en el nombre de un grupo. 2 Seleccione Group Actions Edit Group (Acciones de grupos, Editar grupo). 3 Cambie el nombre del grupo y, si lo desea, la visibilidad del grupo. 4 Haga clic en Save (Guardar). Creación de consultas de registro de auditoría Para crear una consulta de registro de auditoría: 1 Seleccione Menu Reporting Queries (Menú, Generación de informes, Consultas). 2 Haga clic en New Query (Consulta nueva) y,a continuación, en Next (Siguiente) para iniciar el asistente de consultas. 3 Defina el tipo de gráfico. a Seleccione el tipo de gráfico haciendo clic en él. b c Configure el gráfico. Las opciones disponibles diferirán en función del tipo de gráfico seleccionado. Haga clic en Next (Siguiente) para avanzar por el asistente. 4 Configure la presentación de las columnas. a Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. b Quite una columna haciendo clic en el botón X. c Haga clic en Next (Siguiente) para avanzar por el asistente. 5 [Opcional] Configure filtros. 6 Haga clic en Run (Ejecutar). Se ejecuta la consulta y se muestran los resultados. 7 [Opcional] Haga clic en Edit Query (Editar consulta) para ajustar los criterios. 8 Cuando considere que el informe está listo, haga clic en Save (Guardar). 9 Termine de configurar la consulta: a Escriba un nombre para identificar la consulta. b c [Opcional] Introduzca notas que describan la consulta. Asigne la consulta a un grupo de consultas. Defina un grupo nuevo o seleccione uno de la lista de los ya existentes. 10 Haga clic en Save (Guardar). La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campo de texto Quick find (Búsqueda rápida). 88 McAfee Logon Collector 2.1 Guía de administración

89 Generación de informes Administración de consultas del registro de auditoría 9 Importación de consultas de registro de auditoría Antes de empezar Puede guardar las consultas de registro de auditoría fuera de Logon Collector como archivos e importarlas después en Logon Collector. Para importar una consulta como archivo: 1 Seleccione Menu Reporting Queries (Menú, Generación de informes, Consultas). 2 Haga clic en Actions Import Query (Acciones, Importar consulta). 3 Haga clic en Browse (Examinar) para acceder al archivo que contiene su consulta de registro de auditoría. 4 Asigne la consulta a un grupo de consultas. Defina un grupo nuevo o seleccione uno de la lista de los ya existentes. 5 Haga clic en Save (Guardar). La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campo de texto Quick find (Búsqueda rápida). Acciones de consulta Antes de empezar Para aplicar Actions (Acciones) a las consultas: McAfee Logon Collector 2.1 Guía de administración 89

90 9 Generación de informes Definición de criterios de filtrado 1 Active la casilla de verificación junto a la consulta deseada o haga clic en la casilla de verificación Queries (Consultas) en la parte superior para aplicar una acción a todas las consultas. 2 Seleccione una acción de la lista Seleccione esta acción Delete (Eliminar) Duplicate (Duplicar) Edit (Editar) Export Data (Exportar datos) Export Query Definition (Exportar definición de consulta) Para hacer esto Elimina las consultas seleccionadas. Solo para consultas simples, cree un duplicado de la consulta seleccionada. En la ventana Duplicate (Duplicar), escriba un nombre nuevo para la consulta y asigne la copia de la consulta a un grupo de consultas. Solo para consultas simples, le permite modificar las propiedades que afectan a los resultados de la consulta seleccionada. Exporte los resultados de las consultas seleccionadas como datos adjuntos de correo electrónico. Solo para consultas simples, exporte la definición de consulta como un archivo XML. En la ventana Opening query (Abrir consulta) especifique si desea abrir el archivo con una aplicación XML o guardarlo. El archivo se guarda de acuerdo con la ruta de acceso definida para el navegador web. Import Query (Importar consulta) Move to Different Group (Mover a otro grupo) New Query (Nueva consulta) Run (Ejecutar) View Query SQL (Ver código SQL de la consulta) Importe una consulta almacenada como un archivo. Mueva las consultas seleccionadas a un grupo distinto. Cree una consulta nueva. Ejecute la consulta y vea los resultados. Solo para consultas simples, consulte la consulta seleccionada como una sentencia SQL. s Importación de consultas de registro de auditoría en la página 89 Creación de consultas de registro de auditoría en la página 88 Véase también Definición de criterios de exportación en la página 91 Definición de criterios de filtrado Los criterios de filtrado están disponibles cuando selecciona: El tipo de gráfico de sectores booleano Next (Siguiente) después del paso 3 del asistente de consultas. El filtro avanzado para el registro de auditoría 90 McAfee Logon Collector 2.1 Guía de administración

91 Generación de informes Definición de criterios de exportación 9 Las propiedades disponibles son: Action (Acción), Completion Time (Hora de finalización), Details (Detalles), Priority (Prioridad), Start Time (Hora de inicio), Success (Correcto) y User Name (Nombre de usuario). Para administrar los criterios del filtro: 1 Haga clic en la flecha derecha de la columna Available Properties (Propiedades disponibles) para activar esa propiedad. 2 [Opcional] Haga clic en el signo más al final de la fila Property (Propiedades) para crear un elemento de comparación adicional. 3 De forma predeterminada, cualquier elemento adicional se evalúa con un operador "OR". Haga clic en and (y) en la casilla and/or (y/o) para cambiar este valor. 4 [Opcional] Haga clic en la flecha izquierda junto a la Property (Propiedades) para dejar de tenerla en consideración. 5 Haga clic en OK (Aceptar) o Update Filter (Actualizar filtro) en función del modo en que haya llegado a los criterios de filtrado. Véase también Visualización del registro de auditoría en la página 86 Exportación del registro de auditoría en la página 86 Definición de criterios de exportación Cuando decide exportar datos o una tabla, debe definir el formato del archivo exportado. 1 Seleccione una acción de exportación: Para una consulta, seleccione Export Data (Exportar datos): Para un informe de inicios de sesión o un registro de auditoría, seleccione Export Table (Exportar tabla). 2 Revise la información que se va a exportar. Para las consultas, se presenta una lista de las consultas. Para el informe de inicios de sesión, se muestran un identificador exclusivo y el número de elementos de datos. 3 [Opcional] Seleccione Zip the output files (Comprimir los archivos de salida) para comprimir el informe. 4 Seleccione un formato de archivo CSV, XML, HTML o PDF. En el caso de PDF, especifique también un tamaño y orientación de página y, si lo desea, seleccione mostrar criterios de filtro. Puede además especificar el texto de la portada. McAfee Logon Collector 2.1 Guía de administración 91

92 9 Generación de informes Visualización de paneles 5 Configure el correo electrónico. Debe tener ya un servidor de correo electrónico configurado. a b c Especifique los destinatarios escribiéndolos o seleccionándolos del cuadro de diálogo. Escriba una línea de asunto. Agregue el texto para el cuerpo del mensaje de correo electrónico. 6 Haga clic en Export (Exportar). Véase también Exportación del registro de auditoría en la página 86 Acciones de consulta en la página 89 Servidor de correo electrónico en la página 38 Administración de contactos en la página 81 Visualización de paneles La opción de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.1. Véase también Acerca de la ventana Status (Estado) en la página McAfee Logon Collector 2.1 Guía de administración

93 10 Integración con otros productos McAfee En este capítulo se describe la integración de McAfee Logon Collector con otros productos de McAfee. Cada cliente (producto) que se conecte a Logon Collector debe contar con certificados diferentes con un Common Name (Nombre común) exclusivo. Esto garantiza que más de dos clientes puedan conectarse sin problemas a Logon Collector. Contenido Integración con McAfee Firewall Enterprise Integración con McAfee Firewall Enterprise Control Center Integración con McAfee Network Security Manager Integración con McAfee Data Loss Prevention Integración con McAfee Firewall Enterprise Puede utilizar Passive Passport en McAfee Firewall Enterprise para permitir que los usuarios coincidentes se conecten sin necesidad de autenticarse. Si su organización utiliza Microsoft Active Directory, cada usuario se define como un objeto de Active Directory. El firewall supervisa el estado de autenticación, asociación de grupo y dirección IP actual de cada usuario comunicándose con el software de McAfee Logon Collector que está instalado en un servidor Windows. Los usuarios se autentican mediante el servidor de Active Directory. De este modo, el firewall no solicita su autenticación. Requisitos de integración En la siguiente lista constan los detalles de los requisitos de integración: Versión de Logon Collector: 2.1 Versión de Firewall Enterprise: 8.0 o posterior Ruta de ampliación Si es usted usuario de Firewall Enterprise y desea realizar una ampliación a Logon Collector 2.1, siga estos pasos de alto nivel: 1 Amplíe el servidor Logon Collector 1.x al servidor Logon Collector Amplíe Firewall Enterprise a la nueva versión del cliente Logon Collector 2.1. Validación de identidad pasiva Puede utilizar Passive Passport para permitir que los usuarios coincidentes se conecten sin necesidad de autenticarse. McAfee Logon Collector 2.1 Guía de administración 93

94 10 Integración con otros productos McAfee Integración con McAfee Firewall Enterprise Control Center Para utilizar Passive Passport deben realizarse las siguientes tareas de alto nivel: 1 Defina los usuarios en un servidor de Active Directory. 2 Instale Logon Collector en un servidor Windows. Puede optar por omitir este paso si ya tiene instalado Logon Collector. 3 En la ventana Firewall Enterprise Passport, active Passive Passport y configure la conexión entre Firewall Enterprise y Logon Collector. 4 En la ventana Rule Properties (Propiedades de reglas) para las reglas de control de acceso o reglas SSL, permita las conexiones para usuarios y grupos seleccionados en función de los criterios organizativos. Véase también Instalación delogon Collector en la página 13 Configuración de Passive Passport Configure Passive Passport con la consola de administración Firewall Enterprise Admin Console. Consulte McAfee Firewall Enterprise Product Guide para obtener más detalles. Integración con McAfee Firewall Enterprise Control Center Si se integra con McAfee Firewall Enterprise Control Center, Logon Collector realiza sondeos de los controladores de dominio de Active Directory para obtener las características de los usuarios y envía esta información a uno de los dispositivos o a ambos a fin de poner en correlación el tráfico de la red y el comportamiento de los usuarios. Además, para minimizar la carga que suponen las consultas del registro de eventos de seguridad (mediante WMI) para el controlador de dominio, Logon Collector o Logon Monitor se ponen en contacto con el controlador de dominio en nombre de los dispositivos McAfee que requieren información del registro de eventos de seguridad. Requisitos de integración En la siguiente lista constan los detalles de los requisitos de integración: Versión de Logon Collector: 2.1 Versión de Firewall Enterprise Control Center: 5.0 o posterior Ruta de ampliación Si es usted usuario de Control Center y desea realizar una ampliación a Logon Collector 2.1, siga estos pasos de alto nivel: 1 Amplíe el servidor Logon Collector 1.x al servidor Logon Collector Amplíe Control Center a la nueva versión del cliente Logon Collector 2.1. Consulte la sección McAfee Logon Collector en McAfee Firewall Enterprise Control Center Product Guide para integrar Logon Collector y Control Center. 94 McAfee Logon Collector 2.1 Guía de administración

95 Integración con otros productos McAfee Integración con McAfee Network Security Manager 10 Integración con McAfee Network Security Manager McAfee Network Security Manager es una interfaz de usuario basada en el navegador que se utiliza para ver, configurar y administrar los despliegues de dispositivos de McAfee Network Security Sensor. Junto con Sensor y Manager, McAfee Network Security Platform ofrece una detección total de intrusiones en la red y puede bloquear o evitar ataques en tiempo real, convirtiéndolo en un verdadero sistema de prevención de intrusiones (IPS). Se basa en la detección y prevención precisa de las intrusiones, ataques de denegación de servicio (DoS), ataques de denegación de servicios distribuidos (DDoS) y uso inapropiado de la red. Manager puede mostrar gran variedad de información sobre los visitantes de dentro y fuera de la red. Logon Collector se integra con Manager para mostrar los nombres de los usuarios de los hosts en sus despliegues de IPS y NTBA. Logon Collector proporciona un método fuera de banda para obtener los nombres de usuario desde Active Directory. Ventajas Esta integración ayuda a proporcionar la información sobre los usuarios de origen y destino sin ninguna dependencia del módulo NAC. Es de utilidad en escenarios donde no pueden desplegarse sensores NAC. Términos importantes En esta sección se describen los términos importantes asociados a esta integración. Identity Acquisition Agent (IAA) Identity Acquisition Agent (IAA) se implementa en el lado de Network Security Platform y sirve de interfaz de escucha del servicio de mensajería en el que el servidor de Logon Collector publica las actualizaciones. McAfee Network Security Manager MLC Listener McAfee Network Security Manager MLC Listener es el sistema de escucha registrado que recibe con regularidad actualizaciones nuevas de Logon Collector a través de IAA. Requisitos de integración En la siguiente lista constan los detalles de los requisitos de integración: Versión de Logon Collector: 2.1 Versión de McAfee Network Security Manager: , y 7.5 Ruta de ampliación Si es usted usuario de McAfee Network Security Manager y desea realizar una ampliación a Logon Collector 2.1, siga estos pasos de alto nivel: 1 Amplíe el servidor Logon Collector 1.x al servidor Logon Collector Amplíe McAfee Network Security Manager a la nueva versión del cliente Logon Collector 2.1. McAfee Logon Collector 2.1 Guía de administración 95

96 10 Integración con otros productos McAfee Integración con McAfee Network Security Manager Funcionamiento de la integración entre Logon Collector y McAfee Network Security Manager Los monitores Logon Monitor de Logon Collector pueden utilizarse para detectar controladores de dominio cercanos y reenviar la información recopilada a Logon Collector, reduciendo así la distancia que debe recorrer la comunicación del controlador de dominio. Identity Acquisition Agent (IAA) se implementa en el lado de McAfee Network Security Manager y sirve de interfaz de escucha del servicio de mensajería en el que el servidor de Logon Collector publica las actualizaciones. IAA escucha el servicio Active Message Queue (MQ) de Logon Collector y recibe con regularidad nuevas actualizaciones desde el servidor de Logon Collector. Junto con IAA se registra un agente de escucha para recibir las actualizaciones. Este agente de escucha registrado recibe regularmente nuevas actualizaciones desde Logon Collector a través de IAA. Todos los datos de enlaces de IP con usuario se cargan en una nueva caché de McAfee Network Security Manager por primera vez. La caché se actualiza posteriormente con las diferencias en las actualizaciones posteriores. Como el resto de componentes de McAfee Network Security Manager pueden consultar la caché de McAfee Network Security Manager, no es necesario comunicar con el servidor de Logon Collector cada vez que se produce una actualización. McAfee Network Security Manager y Logon Collector pueden coexistir en el mismo servidor. Sin embargo, McAfee no recomienda esta coexistencia ya que puede obstaculizar el rendimiento en función del flujo de tráfico. No es necesaria una frase de contraseña especial ni clave de licencia para instalar el software de Logon Collector. Detalles de configuración para la integración de Logon Collector En esta sección se proporcionan los detalles de configuración para la integración entre McAfee Network Security Manager y el servidor de Logon Collector. Configuración de la integración en el nivel de dominio del administrador Puede activar la integración entre McAfee Network Security Manager y el servidor de Logon Collector en el nivel de dominio del administrador. Consulte la documentación de McAfee Network Security Manager para obtener información más detallada. Establecimiento de la confianza entre Network Security Manager y el servidor de Logon Collector Logon Collector se comunica con McAfee Network Security Manager mediante una autenticación SSL en dos direcciones. Esto requiere el intercambio de certificados entre McAfee Network Security Manager y el servidor de Logon Collector. Importación del Certificado de administrador en Logon Collector Exporte el Certificado de administrador, guarde el archivo en su directorio local e importe el archivo en Logon Collector. Consulte la documentación de McAfee Network Security Manager para exportar el Certificado de administrador. 1 En la consola de Logon Collector, seleccione Menu Configuration Trusted CAs (Menú, Configuración, CAs de confianza). 2 Haga clic en New Authority (Autoridad nueva) para abrir la ventana New Trusted Authority (Nueva autoridad de confianza). 96 McAfee Logon Collector 2.1 Guía de administración

97 Integración con otros productos McAfee Integración con McAfee Network Security Manager 10 3 Seleccione Import From File (Importar desde archivo) y haga clic en Browse (Examinar) para agregar el archivo exportado y guardarlo en el directorio local. También puede utilizar la opción Copy/Paste Certificate (Copiar/pegar certificado). 4 Haga clic en Save (Guardar). Importación del certificado de Logon Collector Para importar el certificado de Logon Collector: 1 En la consola de Logon Collector, seleccione Menu Configuration Server Settings (Menú, Configuración, Configuración del servidor. 2 En la sección Settings Categories (Categorías de configuración), haga clic en Identity Replication Certificate (Certificado de Identity Replication). 3 Puede importar el certificado de Logon Collector de una de las siguientes maneras: Cargar el certificado de Logon Collector: 1 Copie el certificado de Logon Collector desde la consola de Logon Collector y péguelo en un archivo nuevo creado a tal fin en el directorio local. 2 En la sección Import Certificate (Importar certificado), haga clic en Upload MLC Certificate (Cargar certificado de MLC) en la opción New MLC Certificate (Nuevo certificado de MLC). 3 Seleccione Upload MLC Certificate (Cargar certificado de MLC) y, a continuación, haga clic en Browse (Examinar) para añadir el certificado de Logon Collector desde el directorio local. Pegar el certificado directamente en Manager: 1 En la sección Import Certificate (Importar certificado), seleccione Paste Certificate (Pegar certificado). 2 Pegue el certificado de Logon Collector que ha copiado en el cuadro Paste Certificate (Pegar certificado). Figura 10-1 Ventana Importar certificado El certificado de Logon Collector importado aparece en la sección Current MLC Certificate (Certificado de MLC actual). McAfee Logon Collector 2.1 Guía de administración 97

98 10 Integración con otros productos McAfee Integración con McAfee Data Loss Prevention 4 Haga clic en Save (Guardar). 5 Haga clic en Test Connection (Conexión de prueba) para probar la integración. Visualización de los detalles de Logon Collector en Threat Analyzer Puede ver la información de usuario recibida del servidor de Logon Collector en Threat Analyzer. Consulte la documentación de McAfee Network Security Manager para obtener información más detallada. Visualización de los detalles de Logon Collector en los informes de Network Security Manager El administrador de informes muestra la información de usuario recibida para Logon Collector. Consulte la documentación de McAfee Network Security Manager para obtener información más detallada. Integración con McAfee Data Loss Prevention McAfee Data Loss Prevention (NDLP o McAfee DLP) se suministra a través del dispositivo de bajo mantenimiento y la plataforma McAfee epolicy Orchestrator (epo) para simplificar el despliegue, la administración, las actualizaciones y los informes. Ofrece una seguridad de datos completa, protección de los datos fuera de la red y un despliegue y administración sencillos. Históricamente, el administrador de McAfee DLP se asociaba al SAMAccountName como el elemento de identificación de usuario principal. Pero si dicho atributo se aplica a usuarios en el mismo dominio que tengan nombre similares o coincidentes, estos no pueden identificarse correctamente. McAfee DLP se centra ahora en el SID (identificador de seguridad) alfanumérico exclusivo que el controlador de dominio de Windows asigna a cada cuenta de usuario. Por ejemplo, el nombre de usuario jherrera podría pertenecer a Juan Herrera o Julian Herrera, por lo sería necesaria más información para distinguir entre ambos usuarios. Dichas personas podrían incluso utilizar la misma dirección IP, lo que agravaría el problema de descubrir la identidad del usuario real. Pero cada cuenta en un servidor de Active Directory se compone de atributos que identifican a la persona propietaria de la cuenta. Logon Collector compara el SID exclusivo asignado a cada usuario de Active Directory con las direcciones IP y todos los parámetros asociados con ese SID se extraen cuando Logon Collector traslada las actualizaciones de enlaces desde el servidor de Active Directory a McAfee DLP. Debido a que SAMAccountName se ha utilizado para indizar los datos en versiones anteriores, esta información podría perderse durante las búsquedas específicas cuando el usuario cambia a la versión 9.0 o cuando los datos que residen en la base de datos de captura indican una fecha anterior al cambio de versión. Requisitos de integración En la siguiente lista constan los detalles de los requisitos de integración: Versión de Logon Collector: 2.1 Versión de McAfee DLP: 9.x 98 McAfee Logon Collector 2.1 Guía de administración

99 Integración con otros productos McAfee Integración con McAfee Data Loss Prevention 10 Ruta de ampliación Si es usted usuario de McAfee DLP y desea realizar una ampliación a Logon Collector 2.1, siga estos pasos de alto nivel: 1 Amplíe el servidor Logon Collector 1.x al servidor Logon Collector Amplíe McAfee DLP a la nueva versión del cliente Logon Collector 2.1. Uso de elementos de usuario de Active Directory Todos los elementos de Active Directory se tratan como consultas de palabras y pueden dirigirse a servidores LDAP específicos. Al utilizar elementos de este tipo en una consulta, se configuran columnas que admiten el parámetro en la ventana de búsqueda y en el panel. Cada uno de los elementos de usuario recupera la lista de atributos. Parámetros disponibles User Name (Nombre de usuario): el nombre, el alias, el departamento y la ubicación del usuario User Groups (Grupos de usuarios): el grupo del usuario User City (Ciudad del usuario): la ciudad del usuario User Country (País del usuario): el país del usuario User Organization (Organización del usuario): la empresa u organización del usuario Uso de McAfee DLP en servidores LDAP remotos La posibilidad de supervisar el tráfico de usuarios en los servidores de Active Directory se ha ampliado ahora a servidores de directorio, convirtiendo la administración de usuarios global en una realidad. La capacidad de McAfee DLP 9.0 para conectarse a varios controladores de dominio hace que esto sea posible. No solo se capturan los datos en las redes locales, sino que se extiende a todo el tráfico de hasta dos servidores LDAP. Cuando los usuarios pueden reconocerse por nombre, grupo, departamento, ciudad o país, un administrador de McAfee DLP puede extraer una gran cantidad de información importante utilizando unos cuantos hechos fundamentales para recopilar de forma gradual más detalles sobre posibles infracciones. Uso de Logon Collector con McAfee DLP Supongamos que sabe que su empresa ha perdido cierta propiedad intelectual que ha ido a parar a una empresa del país X y sospecha que la fuga de información se debe a un agente interno de su sucursal en la ciudad Y. Debido a que McAfee DLP captura todo el tráfico de la red de la empresa, puede agregar un servidor de Active Directory que contenga la cuenta de usuario de dicho agente interno a McAfee DLP Manager y, a continuación, buscar el nombre de usuario de este individuo para supervisar sus comunicaciones. Acto seguido, puede buscar entre sus comunicaciones el nombre del componente perdido y encontrar así la dirección de correo electrónico y la ubicación geográfica de aquellos usuarios externos a la empresa que pueden haber recibido la información. Es posible que no sepa lo que contienen dichas comunicaciones pero puede utilizar lo que encuentre para hacerse la siguiente pregunta lógica McAfee Logon Collector 2.1 Guía de administración 99

100 10 Integración con otros productos McAfee Integración con McAfee Data Loss Prevention Puede configurar Logon Collector con McAfee DLP Manager para resolver las identidades de usuario mediante la recuperación de recopilaciones de información de las cuentas de usuario de todos los servidores de Active Directory que se hayan añadido al sistema McAfee DLP. Si McAfee DLP Manager se configura con Logon Collector y un servidor de Active Directory, es posible extender la protección de los extremos a los servidores de directorio que administran usuarios en todo el mundo. Si no conoce el nombre del usuario, puede ir revelando paso a paso su identidad mediante la búsqueda de usuarios en la ciudad Y, la búsqueda entre los grupos de usuarios de su departamento técnico y la identificación de un subgrupo que pueda contener al usuario en cuestión. Activación de la identificación de usuarios mediante Logon Collector Logon Collector se utiliza para asignar direcciones IP a identidades de usuario en los servidores de Active Directory. Sin él la identificación de usuarios sería difícil puesto que pueden haber iniciado sesión en varias estaciones de trabajo distintas. Las direcciones IP cambian cuando los servidores DHCP asignan automáticamente direcciones nuevas y es posible que más de un usuario haya iniciado sesión en una misma estación de trabajo. Si Logon Collector se configura con McAfee DLP Manager, las identidades de usuario se resuelven mediante la recuperación de recopilaciones de información de las cuentas de usuario de todos los servidores de Active Directory que se hayan agregado al sistema McAfee DLP. La compatibilidad con varios controladores de dominio significa que las aplicaciones McAfee pueden servir operaciones empresariales a gran escala. En el caso de McAfee DLP significa que, tras activar Logon Collector, los administradores de McAfee DLP pueden configurar consultas y reglas basadas en Active Directory para determinar a qué actividades se dedican los usuarios en la red. Configuración de Logon Collector Antes de empezar Para poder utilizar Logon Collector con McAfee DLP, debe añadirse un servidor de Active Directory a McAfee DLP Manager. El siguiente paso es el de establecer comunicaciones seguras entre McAfee DLP y Logon Collector. Para realizar las conexiones SSL: 1 Exporte un certificado desde Logon Collector. 2 Importe el certificado de Logon Collector a McAfee DLP Manager. 3 Exporte un certificado desde McAfee DLP. 4 Importe el certificado de McAfee DLP a Logon Collector. 5 Reinicie Logon Collector. Una vez llevados a cabo estos pasos, las comunicaciones seguras entre McAfee DLP y Logon Collector estarán activadas y los datos de los servidores de Active Directory estarán disponibles para realizar búsquedas y construir reglas. 100 McAfee Logon Collector 2.1 Guía de administración

101 Integración con otros productos McAfee Integración con McAfee Data Loss Prevention 10 Autenticación del administrador de McAfee DLP y Logon Collector Antes de empezar Utilice este método para conectar McAfee DLP a Logon Collector de modo que puedan intercambiar certificados, autenticándose entre sí. Cuando el proceso se complete, se establecerá una conexión SSL entre ellos. 1 Abra un navegador web e inicie sesión en Logon Collector. 2 En el servidor de Logon Collector, seleccione Menu Configuration Server Settings Identity Replication Certificate (Menú, Configuración, Configuración del servidor, Certificado de Identity Replication). 3 Desplácese hasta la parte inferior de la página. 4 Seleccione y copie todo el texto del campo Base Abra un navegador web e inicie sesión en el administrador McAfee DLP Manager. 6 Seleccione System Directory Services (Sistema, Servicios de directorio). 7 Seleccione Add a McAfee Logon Collector (Agregar McAfee Logon Collector) del menú Actions (Acciones). 8 Escriba la dirección IP de Logon Collector. 9 Haga clic en el botón de opción de pegar y pegue el texto en la casilla. Guarde estos datos de Base 64 en un archivo en el equipo de sobremesa para poder volver a utilizarlos. 10 Haga clic en Apply (Aplicar). 11 Haga clic en Export (Exportar) para guardar el certificado de red de McAfee DLP en el equipo de sobremesa. 12 Abra un navegador web y escriba la dirección de Logon Collector. 13 Seleccione Menu Configuration Trusted CA (Menú, Configuración, CA de confianza). 14 Haga clic en New Authority (Nueva autoridad). 15 Vaya al archivo netdlp_certificate.cer que guardó en el equipo de sobremesa. 16 Haga clic en Open (Abrir). 17 Haga clic en Save (Guardar). De este modo se agrega McAfee DLP Manager a Logon Collector. 18 Abra una sesión de escritorio remoto en el servidor de Logon Collector. 19 Apague y reinicie el servidor de Logon Collector. La conexión se ha completado. McAfee Logon Collector 2.1 Guía de administración 101

102 10 Integración con otros productos McAfee Integración con McAfee Data Loss Prevention 102 McAfee Logon Collector 2.1 Guía de administración

103 11 Escalabilidad En este capítulo se describen los detalles de los límites de rendimiento que admite Logon Collector. Detalles de la escalabilidad A continuación se enumeran los límites de rendimiento de Logon Collector: Campos Cifras Usuarios hasta Grupos hasta Dominios 10 Velocidad de inicios de sesión hasta 800 eventos de inicio de sesión por minuto Clientes hasta 150 McAfee Logon Collector 2.1 Guía de administración 103

104 11 Escalabilidad Detalles de la escalabilidad 104 McAfee Logon Collector 2.1 Guía de administración

105 12 Solución de problemas En este capítulo se ofrece información que puede ayudarle a resolver algún problema. Contenido Verificación de las credenciales de dominio Creación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio Registros de Logon Monitor Registros de Logon Collector Error durante la instalación de Logon Collector 2.0 en Windows Server 2008 R2 Error al desinstalar la instancia de la base de datos SQL para Logon Collector Página de configuración de bases de datos para conectar al servidor de SQL Elevado consumo de memoria de Isass.exe de recuperación para la restricción de objetos de directorios de McAfee epo Verificación de las credenciales de dominio En esta sección se describe cómo verificar que las credenciales que se especifican para un dominio sean correctas y tengan los suficientes privilegios para conectarse a un controlador de dominio por medio de Logon Collector. Los controladores de dominio a los que se acceda deben registrar los eventos de seguridad. Pruebe sus credenciales mediante la herramienta wbemtest.exe para conectarse a un controlador de dominio y ejecutar varias consultas. Si no puede especificar las credenciales de una cuenta de administrador, puede utilizar una cuenta de usuario no administrador en el controlador de dominio. ES NECESARIO que la cuenta de administrador que vaya a utilizar para acceder al controlador de dominio esté en el mismo dominio desde donde quiere obtener identidades. Una ejecución correcta de las consultas verifica que las credenciales que ha especificado tengan suficientes privilegios para obtener acceso a los siguientes elementos en el controlador de dominio: Registro de eventos de seguridad Rendimiento de la CPU Conexión WMI Conexión DCOM McAfee Logon Collector 2.1 Guía de administración 105

106 12 Solución de problemas Verificación de las credenciales de dominio Conexión a un controlador de dominio Siga los pasos que se indican a continuación para utilizar la herramienta wbemtest.exe y conectar a un controlador de dominio. Estas instrucciones solo funcionan si Logon Collector se ejecuta en un equipo remoto, pero no lo harán si Logon Collector se ejecuta en un controlador de dominio local. 1 Abra una ventana de símbolo del sistema y vaya a \Windows\System32\WBEM. 2 Ejecute wbemtest.exe: C:\Windows\System32\WBEM> wbemtest Aparece la ventana Herramienta de comprobación del instrumental de administración de Windows. Figura 12-1 Ventana Herramienta de comprobación del instrumental de administración de Windows 106 McAfee Logon Collector 2.1 Guía de administración

107 Solución de problemas Verificación de las credenciales de dominio 12 3 Haga clic en Connect (Conectar) para abrir la ventana Connect (Conectar). Figura 12-2 Ventana Connect (Conectar) 4 Especifique la siguiente información: Opción unlabeled connection (conexión no etiquetada) User (Usuario) password (contraseña) Authority (Entidad emisora) Locale (Configuración regional) Impersonation level (Nivel de representación) How to interpret empty password (Interpretación de contraseña vacía) Authentication Level (Nivel de autenticación) Definición \\<dc_name>\root\cimv2 El nombre de usuario para autenticar en el controlador de dominio La contraseña asociada. Deje en blanco este campo. Deje en blanco este campo. Seleccione Impersonate (Suplantar). Seleccione NULL (NULA). Seleccione Packet privacy (Privacidad de paquete). McAfee Logon Collector 2.1 Guía de administración 107

108 12 Solución de problemas Verificación de las credenciales de dominio 5 Haga clic en Connect (Conectar) para continuar. Si se muestra el mensaje Access Denied (Acceso denegado), cabe la posibilidad de que haya escrito erróneamente las credenciales, o que la cuenta de usuario no tenga los privilegios necesarios. Vuelva a escribir las credenciales y compruebe que la cuenta de usuario se haya configurado de manera correcta. Si no está utilizando una cuenta de administrador, puede utilizar una cuenta de usuario no administrador en el controlador de dominio. La ventana Herramienta de comprobación del instrumental de administración de Windows cambia para mostrar IWbemServices y Opciones de llamada de métodos. Figura 12-3 Herramienta de comprobación del instrumental de administración de Windows La autenticación correcta del controlador de dominio y la visualización de la ventana anterior significan que Logon Collector ha accedido a las conexiones WMI y DCOM. 6 Ejecute cada una de las siguientes consultas: Consulta del rendimiento de la CPU Un resultado correcto de esta consulta significa que Logon Collector ha accedido al rendimiento de la CPU en el controlador de dominio. Consulta de registro anterior Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro de eventos de seguridad. Consulta de notificación de registro posterior Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro de eventos de seguridad. Debe ejecutar correctamente la consulta de rendimiento de la CPU y una de las consultas del registro para comprobar que tiene las credenciales correctas y, por tanto, suficientes privilegios de acceso. 108 McAfee Logon Collector 2.1 Guía de administración

109 Solución de problemas Verificación de las credenciales de dominio 12 Ejecución de una consulta de rendimiento de la CPU Siga estas instrucciones para ejecutar una consulta de rendimiento de la CPU. 1 Conéctese a un controlador de dominio. 2 Haga clic en Query (Consulta). 3 Escriba la siguiente consulta: SELECT * FROM Win32_PerfRawData_PerfOS_Processor WHERE Name= _Total Figura 12-4 Consulta del rendimiento de la CPU 4 Haga clic en Apply (Aplicar) para ver los resultados de la consulta. Figura 12-5 Ventana Query Result (Resultado de la consulta) 5 Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo que demuestra que la funcionalidad de consulta es correcta. 6 Ejecute las demás consultas si todavía no lo ha hecho. Ejecución de una consulta del registro anterior Siga estas instrucciones para ejecutar una consulta del registro anterior. McAfee Logon Collector 2.1 Guía de administración 109