Worry-Free Business Security Advanced5

Transcripción

1 TM Worry-Free Business Security Advanced5 for Small Business Manual del administrador

2

3 Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a utilizar el software, consulte los archivos Léame, las notas de la versión y la última versión de la Guía de introducción, documentos que encontrará disponibles en el sitio Web de Trend Micro, en: NOTA: una licencia de Trend Micro Software otorga derecho a actualizaciones de productos, de archivos de patrones y a asistencia técnica básica durante un (1) año a partir de la fecha de compra exclusivamente. Por todo ello, deberá renovar el servicio de mantenimiento anualmente mediante el abono de las cuotas de mantenimiento pertinentes de Trend Micro si desea seguir recibiendo actualizaciones del producto y de los archivos de patrones, así como recibir asistencia técnica. Para solicitar la renovación del mantenimiento, deberá descargar y cumplimentar el Contrato de mantenimiento de Trend Micro que encontrará en el siguiente sitio Web: Trend Micro, el logotipo en forma de pelota de Trend Micro, TrendLabs, Trend Micro Damage Cleanup Services, TrendSecure, Worry-Free, Worry-Free Business Security Advanced, Worry-Free Business Security, OfficeScan, PC-cillin y ScanMail son marcas comerciales de Trend Micro Incorporated y están registradas en algunas jurisdicciones. El resto de las marcas y los nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivas empresas u organizaciones. Copyright Trend Micro Incorporated. Reservados todos los derechos. Nº de documento: WAEM53520 Fecha de publicación: Mayo de 2008

4 El objetivo del Manual del administrador de Trend Micro Worry-Free Business Security Advanced consiste en presentar las funciones principales del software y las instrucciones de instalación específicas para cada entorno de producción. Es recomendable leerlo antes de instalar o utilizar el software. También encontrará información pormenorizada sobre cómo utilizar funciones específicas del software en el archivo de Ayuda en línea y en la Base de conocimientos del sitio Web de Trend Micro.

5 Contenido Contenido Prefacio Capítulo 1: Público... xiv Documentación del producto... xiv Qué información puedo encontrar en el Manual del administrador?... xvi Convenciones y términos del documento...xvii Introducción a Worry-Free Business Security Advanced Información general de Worry-Free Business Security Advanced Novedades de esta versión Security Server Client/Server Security Agent Messaging Security Agent Novedades incluidas en Worry-Free Business Security Advanced Consola Web Security Server Client/Server Security Agent Messaging Security Agent Motor de exploración Archivo de patrones de virus Motor de limpieza de virus Controlador del cortafuegos habitual Archivo de patrones de virus de red Archivo de patrones de vulnerabilidades Descripción de las amenazas Virus/Malware Spyware/Grayware Virus de red Spam Intrusiones Comportamiento malicioso Puntos de acceso falsos Contenido explícito/restringido en las aplicaciones de MI Servicios de escucha de pulsaciones de teclas en línea Packers iii

6 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Incidentes de phishing Ataques de correo masivo Cómo protege Worry-Free Business Security Advanced sus equipos y la red Acerca de los componentes Otros productos complementarios de Trend Micro Otras funciones de Worry-Free Business Security Advanced Administrar la seguridad desde una sola consola Analizar la protección de la red Aplicar políticas de seguridad Actualizar la protección Poner en cuarentena los archivos infectados Controlar las epidemias de la red Administrar grupos de Worry-Free Business Security Advanced Proteger los clientes de ataques de hackers con el cortafuegos Proteger mensajes de correo electrónico Filtrar contenido de la mensajería instantánea Controlar la configuración de seguridad dependiendo de la ubicación Supervisión de comportamiento Impedir a los clientes que visiten sitios Web maliciosos Permitir transacciones en línea seguras Programas de spyware/grayware permitidos Comunicación segura Componentes que pueden actualizarse Archivos Hotfix, parches y Service Pack Capítulo 2: Trabajar con la consola Web Explorar la consola Web Características de la consola Web Utilizar el estado de actividad y las notificaciones Configurar notificaciones Utilizar la pantalla Estado de actividad Estado de la amenaza Estado del sistema iv

7 Contenido Capítulo 3: Capítulo 4: Instalar agentes Elegir un método de instalación Instalar, actualizar o migrar equipos con Client/Server Security Agent Requisitos del sistema agente Realizar una instalación nueva Instalar desde una página Web interna Instalar con Configuración de inicio de sesión Instalar con las secuencias de comandos Windows 2000/Server 2003/Server Instalar con Client Packager Instalar con un archivo MSI Instalar con Instalación remota Instalar con Vulnerability Scanner Instalar MSA desde la consola Web Comprobar la instalación, actualización o migración del agente Utilizar Vulnerability Scanner para comprobar la instalación del cliente Probar la instalación del cliente mediante la secuencia de comandos de prueba EICAR Quitar agentes Eliminar Client/Server Security Agent mediante su propio programa de desinstalación Quitar Client/Server Security Agent mediante la consola Web Quitar Messaging Security Agent de servidores Microsoft Exchange Quitar Messaging Security Agent mediante su programa de desinstalación Trabajar con grupos Información general sobre los grupos Ver los clientes de un grupo Barra de herramientas de configuración de seguridad Agregar grupos Eliminar grupos Agregar clientes a grupos Mover clientes Replicar la configuración de un grupo v

8 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Capítulo 5: Capítulo 6: vi Configurar grupos de equipos de sobremesa y servidores Información general de las opciones que pueden configurarse en grupos de equipos de sobremesa y servidores Antivirus/Antispyware Configurar la exploración en tiempo real Cortafuegos Configurar el cortafuegos Reputación Web Configurar la reputación Web Supervisión de comportamiento Variables de entorno Configurar la supervisión de comportamiento TrendSecure Configurar TrendSecure POP3 Mail Scan Configurar la exploración de correo Derechos del cliente Configurar los derechos del cliente Poner en cuarentena Configurar el directorio de cuarentena Configurar los servidores Microsoft Exchange Acerca de Messaging Security Agent Opciones que pueden configurarse en grupos de servidores Microsoft Exchange Configuración predeterminada de Messaging Security Agent Antivirus Configurar la exploración real de los agentes Messaging Security Agent Antispam Reputación del correo electrónico Exploración del contenido Configurar la reputación de correo electrónico Exploración del contenido Filtrado de contenidos Palabras clave Expresiones regulares Ver reglas de filtrado de contenidos Agregar/Editar reglas de filtrado de contenidos Reordenar las reglas

9 Contenido Bloqueo de archivos adjuntos Configurar el bloqueo de archivos adjuntos Poner en cuarentena Directorios de cuarentena Configurar directorios de cuarentena Consultar directorios de cuarentena Mantener directorios de cuarentena Administrar la herramienta End User Quarantine Configurar la carpeta de spam Operaciones Configuración de la notificación Mantenimiento del spam Asistencia/Depurador de Trend Capítulo 7: Capítulo 8: Utilizar la función Defensa frente a epidemias Estrategia de la defensa frente a epidemias Acciones de la defensa frente a epidemias Estado actual Prevención frente a amenazas Protección frente a amenazas Limpieza de amenazas Amenazas potenciales Configurar Defensa frente a epidemias Configuración de la defensa frente a epidemias Definir la configuración de la valoración de vulnerabilidades Configurar las exploraciones manuales y programadas Exploraciones de Worry-Free Business Security Advanced Exploración manual Exploración programada Exploración en tiempo real Explorar clientes Configurar opciones de exploración para grupos Configurar opciones de exploración para servidores Microsoft Exchange Programar exploraciones vii

10 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Capítulo 9: Actualizar los componentes Actualizar los componentes Acerca de ActiveUpdate Componentes que se pueden actualizar Horas de actualización predeterminadas Actualizar Security Server Fuentes de actualización Configurar una fuente de actualización Utilizar agentes de actualización Actualizaciones manual y programada Actualizar manualmente los componentes Programar actualizaciones de componentes Recuperar o sincronizar componentes Capítulo 10: Ver e interpretar registros e informes Registros Informes Interpretar informes Utilizar la consulta al registro Generar informes Administrar los registros y los informes Mantener informes Eliminar registros automáticamente Eliminar registros manualmente Capítulo 11: Trabajar con notificaciones Acerca de las notificaciones Sucesos de amenazas Sucesos del sistema Configurar notificaciones Personalizar las alertas de notificación Definir la configuración de las notificaciones Capítulo 12: Definir la configuración general Opciones del proxy de Internet Opciones del servidor SMTP Opciones del equipo de sobremesa/servidor Conocimiento de ubicación Configuración de la exploración general viii

11 Contenido Configuración de la exploración antivirus Configuración de la exploración antispyware/grayware Reputación Web Supervisión de comportamiento Filtrado de contenido de MI Configuración de las alertas Configuración del servicio guardián Desinstalación del agente Descarga del agente Opciones del sistema Eliminar agentes Client/Server Security Agent inactivos Comprobar la conectividad entre cliente y servidor Mantener la carpeta de cuarentena Capítulo 13: Realizar tareas administrativas adicionales Cambiar la contraseña de la consola Web Trabajar con Plug-in Manager Ver los detalles de la licencia del producto Consecuencias de una licencia caducada Cambiar la licencia Participar en el Programa de seguimiento antivirus mundial Cambiar el idioma de la interfaz del agente Desinstalar Trend Micro Security Server Capítulo 14: Utilizar herramientas administrativas y de cliente Tipos de herramientas Herramientas administrativas Configuración de inicio de sesión Vulnerability Scanner Herramientas de cliente Client Packager Restaurar virus cifrados Herramienta Touch Client Mover ix

12 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Capítulo 15: Preguntas más frecuentes, solución de problemas y asistencia técnica Preguntas más frecuentes Qué protección adicional puedo proporcionar a mis clientes? Registro Instalación, actualización y compatibilidad Protección de software Intuit Definir la configuración Documentación Solución de problemas Entornos con conexiones restringidas No se crea la carpeta de spam del usuario Confusión entre remitente/destinatario interno Error al reenviar un mensaje en cuarentena Error al replicar la configuración Guardar y restaurar la configuración del programa para recuperar o volver a instalar Algunos componentes no están instalados No se puede acceder a la consola Web Número de clientes incorrecto en la consola Web Error al instalar mediante instalación remota o página Web El icono del cliente no aparece en la consola Web después de la instalación Problemas durante la migración desde otro software antivirus Firmas digitales no válidas/caducadas Centro de información de seguridad de Trend Micro Problemas conocidos Ponerse en contacto con Trend Micro Asistencia de Trend Micro Base de conocimientos Ponerse en contacto con la Asistencia técnica Enviar archivos sospechosos a Trend Micro Acerca de TrendLabs Acerca de Trend Micro Apéndice A: Listas de comprobación del sistema Lista de comprobación de puertos...a-1 Lista de comprobación de la dirección del servidor...a-2 x

13 Contenido Apéndice B: Lista de exclusión de productos Trend Micro Lista de exclusión de servidores Microsoft Exchange... B-4 Apéndice C: Servicios de Trend Micro Política de prevención de epidemias de Trend Micro... C-2 Trend Micro Damage Cleanup Services... C-2 La solución Damage Cleanup Services... C-2 Valoración de vulnerabilidades de Trend Micro... C-4 Trend Micro IntelliScan... C-4 Trend Micro ActiveAction... C-5 Configuración predeterminada de ActiveAction... C-6 Trend Micro IntelliTrap... C-6 Tipo de archivo verdadero... C-7 Trend Micro Reputation Services... C-8 Trend Micro Web Reputation Services... C-9 Apéndice D: Información del cliente Clientes en modo roaming...d-2 Clientes de 32 y 64 bits...d-4 Apéndice E: Tipos de spyware/grayware Apéndice F: Glosario de términos Índice xi

14 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 xii

15 Prefacio Prefacio Bienvenido al Manual del administrador de Trend Micro Worry-Free Business Security Advanced 5.0. Este documento contiene información sobre las tareas que necesita para instalar y configurar Worry-Free Business Security Advanced. Este capítulo incluye los siguientes temas: Público en la página xiv Documentación del producto en la página xiv Convenciones y términos del documento en la página xvii xiii

16 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Público Este manual está diseñado tanto para administradores noveles como experimentados de Worry-Free Business Security Advanced (WFBS) que desean configurar, administrar y utilizar el producto. Documentación del producto El Worry-Free Business Security Advanced paquete consta de dos componentes: un servicio alojado/a distancia de protección del correo electrónico (InterScan Messaging Hosted Security) y en-software de protección para el servidor, el escritorio y el correo electrónico de sus oficinas. Los documentos de InterScan Messaging Hosted Security se encuentran disponibles en la ubicación siguiente: La documentación de Worry-Free Business Security Advanced se compone de los siguientes elementos: Ayuda en línea Se trata de documentación basada en Web a la que se puede acceder desde la consola Web. La Ayuda en línea de Worry-Free Business Security Advanced describe las características del producto y da instrucciones sobre su uso. Contiene información detallada sobre la personalización de la configuración y la ejecución de tareas de seguridad. Haga clic en el icono para abrir la ayuda contextual. Quién debería utilizar la Ayuda en línea? Los administradores de WFBS que necesitan ayuda sobre una pantalla concreta. Guía de introducción La Guía de introducción incluye instrucciones para instalar o actualizar el producto y familiarizarse con su uso. Ofrece una descripción de las características básicas y de la configuración predeterminada de Worry-Free Business Security Advanced. Puede acceder a la Guía de introducción desde el CD SMB de Trend Micro o bien puede descargarla desde el Centro de actualizaciones de Trend Micro: xiv

17 Prefacio Quién debe leer esta guía? Administradores de WFBS que desean instalar Worry-Free Business Security Advanced y familiarizarse con su uso. Manual del administrador El Manual del administrador proporciona información completa sobre la configuración y mantenimiento del producto. El Manual del administrador está disponible en el CD SMB de Trend Micro. También puede descargarse desde el Centro de actualizaciones de Trend Micro: Quién debe leer esta guía? Administradores de WFBS que deben personalizar, mantener o utilizar Worry-Free Business Security Advanced. Archivo Léame El archivo Léame contiene la información más reciente del producto que no está disponible en la documentación impresa o en línea. Entre sus temas se incluyen: una descripción de las nuevas funciones, consejos para la instalación, problemas conocidos, información sobre la licencia, etc. Base de conocimientos La Base de conocimientos es una base de datos en línea que contiene información para solucionar problemas. Incluye la información más reciente acerca de los problemas conocidos de los productos. Para acceder a la Base de conocimientos, vaya al siguiente sitio Web: Nota: esta guía parte de la base de que se utiliza la versión Worry-Free Business Security Advanced del producto. Si utiliza la versión Worry-Free Business Security Advanced, la información de esta guía sigue siendo válida, pero no podrá utilizar todas las funciones de Messaging Security Agent. xv

18 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Qué información puedo encontrar en el Manual del administrador? Este documento se divide en cuatro apartados principales: planificación de la instalación, instalación del producto y los componentes, configuración posterior a la instalación y obtención de ayuda. Capítulos 1 y 2. En estos capítulos se ofrece información general sobre las principales funciones y características de Worry-Free Business Security Advanced. Capítulo 3. En este capítulo se describen los pasos necesarios para instalar y actualizar los agentes. También se facilita información sobre cómo eliminar el agente. Capítulo 4. En este capítulo se describe el concepto y el uso de grupos en Worry-Free Business Security Advanced. Capítulos 5 y 6. En estos capítulos se describen los pasos necesarios para configurar grupos. Capítulo7. En este capítulo se explica la estrategia de la Defensa frente a epidemias, cómo configurar la función Defensa frente a epidemias y cómo utilizarla para proteger las redes y los clientes. Capítulo 8. En este capítulo se describe cómo utilizar las exploraciones manuales y programadas para proteger la red y los clientes de virus/malware y otras amenazas. Capítulo 9. En este capítulo se explica cómo utilizar y configurar las actualizaciones manual y programada. Capítulo 10. En este capítulo se describe cómo utilizar los registros y los informes para supervisar el sistema y analizar la protección. Capítulo 11. En este capítulo se explica cómo utilizar las distintas opciones de notificación. Capítulo 12. En este capítulo se explica cómo utilizar la configuración general. Capítulo 13. En este capítulo se explica cómo utilizar las tareas administrativas adicionales, como la visualización de la licencia del producto, el funcionamiento con Plug-in Manager y la desinstalación de Security Server. xvi

19 Prefacio Capítulo 14. En este capítulo se explica cómo utilizar las herramientas administrativas y de cliente con Worry-Free Business Security Advanced. Capítulo 15. En este capítulo encontrará las respuestas a las preguntas más frecuentes sobre los procesos de instalación e implementación, descripciones para solucionar los problemas que puedan surgir con Worry-Free Business Security Advanced e información completa para ponerse en contacto con el servicio de asistencia técnica de Trend Micro. Apéndices. En estos capítulos se incluyen las listas de comprobación del sistema y la lista de exclusiones para spyware/grayware, así como información sobre los distintos servicios de Trend Micro, información del cliente, los diferentes tipos de spyware/grayware y un glosario. Convenciones y términos del documento Para ayudarle a encontrar e interpretar la información fácilmente, la documentación de WFBS utiliza las siguientes convenciones: TABLA P-1. Convenciones y términos empleados en el documento CONVENCIÓN/TÉRMINO MAYÚSCULAS Negrita Cursiva Monoespacio Nota: Consejo: ADVERTENCIA: Ruta de navegación DESCRIPCIÓN Acrónimos, abreviaciones y nombre de determinados comandos y teclas del teclado Menús y comandos de menú, botones de comandos, pestañas, opciones y tareas Referencias a otros documentos Líneas de comandos de ejemplo, código de programa, URL de sitios Web, nombres de archivos y mensajes del programa Notas sobre la configuración Recomendaciones Acciones críticas y opciones de configuración Ruta de navegación para acceder a una pantalla concreta. Por ejemplo, para acceder a Exploraciones > Exploraciones manuales, haga clic en Exploraciones y Exploraciones manuales en la interfaz. xvii

20 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 TABLA P-1. Convenciones y términos empleados en el documento (continuación) CONVENCIÓN/TÉRMINO Security Server Consola Web Agente/CSA/MSA Clientes DESCRIPCIÓN Security Server aloja la consola Web, la consola de administración centralizada basada en Web para toda la solución Worry-Free Business Security Advanced. La consola Web es una consola de administración centralizada basada en Web que administra todos los agentes. La consola Web reside en Security Server. El agente Client/Server Security Agent o Messaging Security Agent. El agente protege al cliente donde está instalado. Por cliente se entiende cualquier servidor Microsoft Exchange, equipo de sobremesa, equipo portátil o servidor en el que se haya instalado un agente Messaging Security Agent o un agente Client/Server Security Agent. xviii

21 Introducción a Worry-Free Business Security Advanced Capítulo 1 En este capítulo se ofrece información general sobre las principales funciones y características de Worry-Free Business Security Advanced. Este capítulo incluye los siguientes temas: Información general de Worry-Free Business Security Advanced en la página 1-2 Novedades de esta versión en la página 1-2 Novedades incluidas en Worry-Free Business Security Advanced en la página 1-5 Descripción de las amenazas en la página 1-12 Cómo protege Worry-Free Business Security Advanced sus equipos y la red en la página 1-17 Otras funciones de Worry-Free Business Security Advanced en la página 1-23 Componentes que pueden actualizarse en la página

22 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Información general de Worry-Free Business Security Advanced Trend Micro Worry-Free Business Security Advanced (WFBS) protege su empresa y la reputación de la misma frente al robo de datos, sitios Web de riesgo y colapsos de Spam. Nuestra seguridad inteligente, simple y segura bloquea las amenazas basadas en Web y otros tipos de malware para proteger los activos empresariales y la información de los clientes. Solo Trend Micro ofrece una protección frente a las amenazas de Internet dirigida al crecimiento exponencial de amenazas Web con constantes actualizaciones que no ralentizarán la actividad del equipo. Nuestra base de conocimientos se implementa rápidamente para proteger a todos nuestros clientes como si se tratara de un servicio de vigilancia global. Worry-Free Business Security Advanced incluye InterScan Messaging Hosted Security para bloquear el spam antes de que alcance la red. Worry-Free Business Security Advanced protege los servidores Microsoft Exchange and Small Business Servers, Microsoft Windows, los equipos de sobremesa y los portátiles. Novedades de esta versión Esta versión de Worry-Free Business Security Advanced for Small and Medium Business (SMB) ofrece toda una gama de ventajas para las empresas que carecen de recursos exclusivos para la gestión antivirus. Además de las funciones propias de versiones anteriores, esta versión de Worry-Free Business Security Advanced proporciona las siguientes novedades: 1-2

23 Introducción a Worry-Free Business Security Advanced Security Server Conocimiento de ubicación. Worry-Free Business Security Advanced identifica la ubicación de un cliente por medio de la información de gateway del servidor. Los administradores pueden tener una configuración de seguridad distinta dependiendo de la ubicación del cliente (modo roaming o en la oficina). Estado de la amenaza. Consulte las estadísticas de reputación Web y supervisión del comportamiento en la pantalla Estado de actividad. Plug-in Manager. Agrega o quita los complementos de los agentes. Interfaz de usuario. Security Server incluye ahora una nueva interfaz de usuario mejorada. Client/Server Security Agent Compatibilidad con Windows Vista. Client/Server Security Agent se puede instalar en equipos Windows Vista (de 32 y 64 bits). Consulte Clientes de 32 y 64 bits en la página D-4 para ver una comparación de las funciones de CSA en distintas plataformas. Supervisión de comportamiento. La supervisión de comportamiento protege los clientes de cambios no autorizados en el sistema operativo, las entradas del registro, otro software o los archivos y carpetas. Reputación Web. La reputación Web evalúa el posible riesgo de seguridad de cada URL solicitada mediante una consulta a la base de datos de seguridad de Trend Micro Web en el momento de realizar cada solicitud HTTP. Filtrado de contenidos de mensajes instantáneos. El filtrado de contenidos de mensajes instantáneos puede restringir el uso de algunas palabras o frases mientras se utilizan aplicaciones de mensajería instantánea. Protección de software. Con la protección de software los usuarios pueden restringir las aplicaciones que modifican el contenido de las carpetas de su equipo. POP3 Mail Scan. POP3 Mail Scan protege los clientes frente a riesgos de seguridad y spam transmitidos a través de mensajes de correo electrónico. Nota: POP3 Mail Scan no puede detectar riesgos de seguridad ni spam en mensajes IMAP. Utilice Messaging Security Agent para detectar los riesgos de seguridad y el spam en los mensajes IMAP. 1-3

24 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 TrendSecure. TrendSecure consta de un conjunto de herramientas basadas en explorador (TrendProtect y Transaction Protector) que permiten a los usuarios navegar por Internet de forma segura. TrendProtect advierte a los usuarios sobre sitios Web maliciosos y de phishing. Transaction Protector determina la seguridad de las conexiones inalámbricas comprobando la autenticidad de los puntos de acceso, e incluye una herramienta para cifrar la información personal que los usuarios escriben en las páginas Web. Intuit Protection. Proteja todos sus archivos y carpetas QuickBook de los cambios no autorizados realizados por otros programas. Compatibilidad con Plug-in Manager. Gestione los complementos adicionales de Client/Server Security Agent desde Security Server. Interfaz de usuario. Client/Server Security Agent incluye ahora una nueva interfaz de usuario mejorada. Messaging Security Agent Reputación del correo electrónico. Active Trend Micro Reputation Service para bloquear los mensajes de orígenes de spam conocidos y sospechosos. 1-4

25 Introducción a Worry-Free Business Security Advanced Novedades incluidas en Worry-Free Business Security Advanced La consola Web gestiona todos los agentes desde una sola ubicación. Security Server, que aloja la consola Web, descarga las actualizaciones desde el servidor ActiveUpdate de Trend Micro, recopila y almacena los registros y le ayuda a controlar las epidemias de virus/malware. Client/Server Security Agent, que protege los equipos Windows Vista/2000/XP/ Server 2003/Server 2008 frente a virus/malware, spyware/grayware, troyanos y otras amenazas. Messaging Security Agent, que protege a los servidores Microsoft Exchange, filtra el spam y bloquea el contenido. Internet Cortafuegos Gateway Servidor Windows Servidor Exchange Red local FIGURA 1-1. Worry-Free Business Security Advanced protege equipos de sobremesa, servidores y servidores de Microsoft Exchange 1-5

26 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 TABLA 1-1. Leyenda Símbolo Descripción A MSA SS Client/Server Security Agent instalado en clientes Messaging Security Agent instalado en un servidor Exchange Security Server instalado en un servidor Windows Consola Web La consola Web es una consola de administración centralizada basada en Web que se utiliza para configurar los agentes. La consola Web se instala junto con Trend Micro Security Server y utiliza tecnologías de Internet como ActiveX, CGI, HTML y HTTP/HTTPS. La consola Web también se utiliza para: Implementar agentes en servidores, equipos de sobremesa y portátiles Combinar los equipos de sobremesa, portátiles y servidores en grupos lógicos para llevar a cabo una configuración y una administración simultáneas Definir configuraciones de exploración antivirus y antispyware e iniciar la exploración manual en uno o varios grupos Recibir notificaciones y ver informes de registro sobre actividades de virus/ malware Recibir notificaciones y enviar alertas de epidemias a través de mensajes de correo electrónico, la captura SNMP o el registro de sucesos de Windows cuando se detectan virus en los clientes Controlar las epidemias mediante la configuración y activación de la prevención de epidemias 1-6

27 Introducción a Worry-Free Business Security Advanced Security Server Security Server es el componente principal de Worry-Free Business Security Advanced (indicado mediante SS en Ilustración 1-1). Security Server aloja la consola Web, la consola de gestión centralizada basada en Web para Worry-Free Business Security Advanced. Security Server instala los agentes en los clientes de la red y, en combinación con los agentes, establece una relación de cliente-servidor. Security Server permite consultar información de seguridad, ver los agentes, configurar la seguridad del sistema y descargar componentes desde una ubicación centralizada. Security Server también contiene la base de datos donde almacena los registros de las amenazas de Internet detectadas comunicadas por los agentes de Security Agent. Trend Micro Security Server lleva a cabo las siguientes funciones importantes: Instala, supervisa y gestiona los agentes de la red. Descarga las actualizaciones de los archivos de patrones de virus, los archivos de patrones de spyware, el motor de exploración y el programa del servidor de actualizaciones de Trend Micro y las distribuye entre los agentes. Internet Trend Micro Security Server descarga el archivo de patrones y el motor de exploración desde la fuente de actualización. Trend Micro Security Server con servidor Web HTTP Consola Web Gestiona Trend Micro Security Server y agentes desde la consola Web. Client/Server Security Agent y Messaging Security Agents FIGURA 1-2. Funcionamiento de la comunicación cliente/servidor a través del protocolo HTTP 1-7

28 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Client/Server Security Agent Client/Server Security Agent (indicado mediante A en Ilustración 1-1) informa al servidor Trend Micro Security Server desde el que se ha instalado. Para proporcionar al servidor la información de clientes más reciente, el agente envía datos de estado de sucesos en tiempo real. Algunos sucesos de los que informan los agentes son la detección de amenazas, el inicio del agente, su desconexión, el inicio de una exploración o la finalización de una actualización. Client/Server Security Agent ofrece dos métodos de exploración: exploración en tiempo real, programada y manual. Defina la configuración de exploración en los agentes desde la consola Web. Para aplicar una protección para equipos de sobremesa uniforme en toda la red, puede optar por no conceder derechos a los clientes para evitar que modifiquen la configuración de exploración o eliminen el agente. Messaging Security Agent Proteja los servidores Microsoft Exchange frente a las amenazas instalando Messaging Security Agent (indicado mediante MSA en la Ilustración 1-1) en cada servidor Microsoft Exchange. Messaging Security Agent protege el servidor Microsoft Exchange frente a virus/malware, troyanos, gusanos y otras amenazas. Proporciona además bloqueo de spam, filtrado de contenidos y bloqueo de archivos adjuntos para una mayor seguridad. Messaging Security Agent proporciona tres métodos de exploración: en tiempo real, programada y manual. Messaging Security Agent informa a Security Server desde el que se ha instalado. Messaging Security Agent envía sucesos e información de estado a Security Server en tiempo real. Puede ver los sucesos y la información de estado desde la consola Web. 1-8

29 Introducción a Worry-Free Business Security Advanced Motor de exploración En el núcleo de todos los productos de Trend Micro se encuentra un motor de exploración. Originalmente desarrollado en respuesta a los primeros virus/malware informáticos basados en archivos, el motor de exploración es en la actualidad muy sofisticado y puede detectar gusanos de Internet, virus de envío de correo masivo, amenazas de troyanos, sitios phishing y explotaciones de la red, además de virus/ malware. El motor de exploración detecta dos tipos de amenazas: En circulación. Amenazas que están en circulación en Internet. Conocidas y bajo control. Virus/Malware controlados que no se encuentran en circulación pero que se desarrollan y utilizan para la investigación. En vez de explorar todos los bytes de cada archivo, el motor y el archivo de patrones trabajan conjuntamente para identificar no solo las características delatoras del código de virus, sino también la ubicación exacta dentro del archivo donde se esconde el virus/malware. Si Worry-Free Business Security Advanced detecta un virus/malware, puede eliminarlo y restaurar la integridad del archivo. El motor de exploración recibe progresivamente archivos de patrones (para reducir el ancho de banda) de Trend Micro. El motor de exploración puede descifrar todos los formatos de cifrado principales (como MIME y BinHex). Reconoce y explora los formatos de compresión habituales, como ZIP, ARJ y CAB. Worry-Free Business Security Advanced también puede explorar varias capas de compresión dentro de un archivo (seis como máximo). Es importante que el motor de exploración esté actualizado para hacer frente a las nuevas amenazas. Trend Micro garantiza su actualización de dos formas: Actualizaciones frecuentes del archivo de patrones de virus. Actualizaciones del software del motor originadas por un cambio en la naturaleza de las amenazas de virus/malware, tales como un aumento de las amenazas mixtas como SQL Slammer. El motor de exploración de Trend Micro recibe anualmente la certificación de empresas de seguridad informáticas internacionales, incluida ICSA (International Computer Security Association). 1-9

30 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Actualizaciones del motor de exploración Al almacenar la información más reciente sobre virus/malware en el archivo de patrones de virus, Trend Micro puede minimizar el número de actualizaciones del motor de exploración al tiempo que mantiene la protección actualizada. No obstante, Trend Micro publica regularmente nuevas versiones del motor de exploración. Trend Micro pone en circulación los motores nuevos cuando: Se incorporan nuevas tecnologías de exploración y detección en el software. Se descubre un nuevo virus/malware potencialmente dañino. Se mejora el rendimiento de la exploración. Se añade una compatibilidad con formatos de archivo adicionales, lenguajes de secuencias de comandos y formatos de cifrado o compresión. Para ver el número de versión más actual del motor de exploración, visite el sitio Web de Trend Micro: Archivo de patrones de virus El motor de exploración de Trend Micro utiliza un archivo de datos externos llamado archivo de patrones de virus. Contiene información que ayuda a Worry-Free Business Security Advanced a identificar los virus/malware más recientes y otras amenazas de Internet como los troyanos, virus de envío masivo, gusanos y ataques mixtos. Los archivos de patrones de virus nuevos se crean y publican varias veces a la semana y en cualquier momento en que se descubre una amenaza concreta. Todos los programas antivirus de Trend Micro que utilizan la función ActiveUpdate pueden detectar la disponibilidad de un archivo de patrones de virus nuevo en el servidor de Trend Micro. Los administradores pueden programar el programa antivirus para que sondee el servidor cada semana, día u hora con el fin de obtener el archivo más actualizado. Consejo: Trend Micro recomienda programar actualizaciones automáticas al menos cada hora. La configuración predeterminada en todos los productos de Trend Micro es cada hora. 1-10

31 Introducción a Worry-Free Business Security Advanced Descargue los archivos de patrones de virus del siguiente sitio Web, donde también podrá encontrar la versión actual, la fecha de publicación y una lista de todas las nuevas definiciones de virus que incluye el archivo: El motor de exploración trabaja junto con el archivo de patrones de virus para realizar el primer nivel de detección mediante un proceso denominado coincidencia de patrones. Nota: las actualizaciones del archivo de patrones, del motor de exploración y de la base de datos solo están disponibles para usuarios registrados con un contrato de mantenimiento en vigor. Motor de limpieza de virus WFBS utiliza una herramienta de exploración y limpieza denominada motor de limpieza de virus (DCE) para buscar y reparar los daños provocados por virus/ malware y otras amenazas de Internet. El motor de limpieza de virus puede buscar y limpiar virus/malware, troyanos y otras amenazas. El motor de limpieza de virus utiliza una base de datos para buscar equipos de destino y evaluar si se han visto afectados por amenazas. El motor de limpieza de virus reside en un solo equipo y se implementa en el cliente de destino en la red en el momento de la exploración. El motor de limpieza de virus utiliza el patrón de limpieza de virus para restaurar los daños provocados por las últimas amenazas. WFBS actualiza periódicamente estas plantillas. Trend Micro recomienda actualizar inmediatamente los componentes después de instalar y activar WFBS. Trend Micro actualiza periódicamente el patrón de limpieza de virus. Controlador del cortafuegos habitual El controlador del cortafuegos habitual, junto con la configuración del cortafuegos definida por el usuario, bloquea los puertos durante una epidemia. Además, utiliza el archivo de patrones de virus de red para detectar virus de red. 1-11

32 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Archivo de patrones de virus de red El archivo de patrones de virus de red contiene una base de datos de patrones de virus de red en el nivel de paquete que se actualiza periódicamente. Trend Micro actualiza con frecuencia (cada hora como máximo) el archivo de patrones de virus de red para garantizar que Worry-Free Business Security Advanced pueda identificar los nuevos virus de red. Archivo de patrones de vulnerabilidades Worry-Free Business Security Advanced implementa el archivo de patrones de vulnerabilidades después de actualizar los componentes. El archivo de patrones de vulnerabilidades se utiliza en la pantalla Defensa frente a epidemias > Amenazas potenciales cuando se utiliza la herramienta Buscar vulnerabilidades ahora, cuando se activa la valoración de vulnerabilidades programada o siempre que se descarga un nuevo archivo de patrones de vulnerabilidades. Tras descargar el archivo nuevo, Worry-Free Business Security Advanced comienza a explorar los clientes en busca de vulnerabilidades. Descripción de las amenazas La seguridad informática es una materia en constante evolución. Los administradores y los profesionales en seguridad de la información crean y adoptan una serie de términos y frases para describir los posibles riesgos o incidentes no deseados de los equipos y las redes. En las siguientes líneas se facilitan más detalles sobre estos términos y su significado tal como se utiliza a lo largo de la guía. Virus/Malware Un virus/malware informático es un programa (un fragmento de código ejecutable) que tiene la exclusiva habilidad de replicarse. Los virus se pueden adjuntar a cualquier tipo de archivo ejecutable y se propagan cuando los archivos se copian y envían de un usuario a otro. 1-12

33 Introducción a Worry-Free Business Security Advanced Además de replicarse, algunos virus/malware informáticos comparten otra característica común: una rutina de daños que transmite la acción destructiva del virus. Aunque algunas rutinas de daños solo pueden mostrar mensajes o imágenes, también pueden destruir archivos, formatear el disco duro o causar otro tipo de daños. Malware. El malware es un software diseñado para infiltrarse en un sistema informático o dañarlo sin el consentimiento del propietario. Troyanos. Un troyano es un programa con código malicioso que se presenta como una aplicación inofensiva. A diferencia de los virus/malware, los troyanos no se duplican, pero poseen la misma capacidad de destrucción. Un ejemplo de troyano es una aplicación que se supone que puede eliminar los virus/malware del equipo pero que en realidad introduce virus/malware. Gusanos. Un gusano informático es un programa (o conjunto de programas) completo capaz de propagar a otros equipos informáticos copias funcionales de sí mismo o de sus segmentos. La propagación suele efectuarse a través de conexiones de red o archivos adjuntos de correo electrónico. A diferencia de los virus/ malware, los gusanos no necesitan introducirse en un programa host. Puertas traseras. Una puerta trasera es un método para evitar la autenticación normal, garantizar el acceso remoto a un equipo y/u obtener acceso a información mientras intenta pasar desapercibido. Rootkit. Un rootkit es un conjunto de programas diseñados para dañar el control legítimo de un sistema operativo por parte de los usuarios. Normalmente, un rootkit ocultará su instalación e intentará evitar su eliminación mediante una subversión de la seguridad del sistema estándar. Virus de macro. Los virus de macro son específicos de una aplicación. Los virus residen en archivos de aplicaciones como Microsoft Word (.doc) y Microsoft Excel (.xls). Por lo tanto, se pueden detectar en los archivos con extensiones comunes en las aplicaciones que utilizan macros como, por ejemplo,.doc,.xls y.ppt. Los virus de macro se propagan entre los archivos de datos de la aplicación y pueden llegar a infectar cientos de archivos si no se detienen. Client/Server Security Agent y Messaging Security Agent pueden detectar virus/ malware durante la exploración antivirus. La acción recomendada por Trend Micro para el virus/malware es limpiar. 1-13

34 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Spyware/Grayware El grayware es un programa que realiza acciones inesperadas o no autorizadas. Es un término genérico utilizado para hacer referencia a spyware, adware, programas de marcación, programas de broma, herramientas de acceso remoto y a otros archivos y programas no deseados. En función de su categoría, puede incluir código malicioso replicante o no replicante. Spyware. El spyware es software informático que se instala en un equipo sin el conocimiento o consentimiento del usuario y recopila y transmite información personal. Programas de marcación. En el caso de las conexiones que no son de banda ancha son necesarios los programas de marcación para conectarse a Internet. Los programas de marcación maliciosos están diseñados para realizar la conexión a través de números con recargo en lugar de conectar directamente con el proveedor de servicios de Internet. Los proveedores de estos programas de marcación maliciosos se embolsan las ganancias adicionales. Otros usos de los programas de marcación incluyen la transmisión de información personal y la descarga de software malicioso. Herramientas de piratería. Una herramienta de piratería es un programa, o conjunto de programas, diseñado para respaldar la piratería. Adware. El adware, o software publicitario, es un paquete de software que reproduce, muestra o descarga automáticamente material publicitario en un equipo después de instalarse en este o mientras se utiliza la aplicación. Registradores de teclas. Un registrador de teclas es un software informático que registra todas las pulsaciones de teclas del usuario. Posteriormente, un hacker puede recuperar esta información y utilizarla para su uso personal. Redes zombi. Una red zombi es un programa que funciona como un agente para un usuario u otro programa o que simula una actividad humana. Una vez ejecutadas, las redes zombi pueden replicar, comprimir y distribuir copias de sí mismas. Las redes zombi se pueden utilizar para coordinar un ataque automático en equipos conectados en red. Client/Server Security Agent y Messaging Security Agent pueden detectar grayware. La acción recomendada por Trend Micro para el spyware/grayware es limpiar. 1-14

35 Introducción a Worry-Free Business Security Advanced Virus de red Un virus que se propaga por una red no es, en sentido estricto, un virus de red. Solo algunas de las amenazas mencionadas en este apartado, como los gusanos, pueden calificarse como virus de red. Concretamente, los virus de red utilizan los protocolos de red como TCP, FTP, UDP y HTTP y los protocolos de correo electrónico para replicarse. El cortafuegos trabaja junto al archivo del patrones de virus de red para identificar y bloquear los virus de red. Spam El spam consta de mensajes de correo electrónico no solicitados (correo electrónico basura), a menudo de tipo comercial, que se envían indiscriminadamente a varias listas de correo, usuarios individuales o grupos de noticias. Hay dos tipos de spam: los mensajes de correo electrónico comercial no solicitado (UCE) y los mensajes de correo electrónico masivo no solicitado (UBE). Intrusiones Una intrusión es la entrada en una red o equipo a la fuerza o sin permiso. También significa eludir la seguridad de una red o equipo. Comportamiento malicioso Se entiende por comportamiento malicioso los cambios no autorizados que realiza un software en el sistema operativo, las entradas del registro, otro software o en los archivos y carpetas. Puntos de acceso falsos Un punto de acceso falso, también conocido como Evil Twin (gemelo malvado), es un punto de acceso Wi-Fi con fines delictivos que parece legítimo en el edificio, pero que en realidad ha sido diseñado por un hacker para escuchar a hurtadillas las comunicaciones inalámbricas. 1-15

36 Manual del administrador Trend Micro Worry-Free Business Security Advanced 5.0 Contenido explícito/restringido en las aplicaciones de MI Contenido de texto explícito o restringido de una organización y que se transmite a través de aplicaciones de mensajería instantánea. Por ejemplo, información confidencial de la empresa. Servicios de escucha de pulsaciones de teclas en línea Es una versión en línea de un registrador de teclas. Consulte Spyware/Grayware en la página 1-14 para obtener más información. Packers Los packers son herramientas para comprimir programas ejecutables. Al comprimir los archivos ejecutables, el código que contienen es más difícil de detectar con los productos de exploración antivirus tradicionales. Un packer puede esconder un troyano o un gusano. El motor de exploración de Trend Micro puede detectar archivos empaquetados y la acción recomendada para este tipo de archivos es Poner en cuarentena. Incidentes de phishing Un incidente de phishing comienza con un mensaje de correo electrónico que afirma falsamente provenir de una empresa existente o legítima. El mensaje a los destinatarios a hacer clic en un enlace que redirecciona el explorador a un sitio Web fraudulento. Aquí el usuario debe facilitar información personal como contraseñas, el número de la Seguridad Social y números de tarjetas de crédito. En estos sitios de phishing se intenta engañar al usuario para que facilite información confidencial que podrá ser utilizada para sustraer identidades. Los agentes Messaging Security Agent utilizan la función antispam para detectar los incidentes de phishing. La acción que recomienda Trend Micro para los incidentes de phishing es Eliminar todo el mensaje donde se ha detectado el incidente de phishing. 1-16

37 Introducción a Worry-Free Business Security Advanced Ataques de correo masivo Los virus/malware de correo electrónico tienen la habilidad de propagarse a través de mensajes de correo electrónico mediante la automatización de los clientes de correo electrónico del equipo infectado o propagando los virus/malware. El correo masivo supone una infección que se propaga rápidamente en un entorno Microsoft Exchange. Trend Micro diseñó el motor de exploración para detectar los comportamientos que suelen tener los ataques de correo masivo. Estos comportamientos se graban en el patrón de virus, el cual se actualiza con los servidores ActiveUpdate de Trend Micro. Los agentes Messaging Security Agent pueden detectar los ataques de correo masivo gracias a la exploración antivirus. La acción predeterminada que se haya definido para el comportamiento de correo masivo tiene preferencia sobre el resto de las acciones. La acción recomendada de Trend Micro contra los ataques de correo masivo es Eliminar todo el mensaje. Cómo protege Worry-Free Business Security Advanced sus equipos y la red En la siguiente tabla se describe el modo en que los distintos componentes de Worry-Free Business Security Advanced protegen una red frente a amenazas. TABLA 1-2. Amenazas y protección de Worry-Free Business Security Advanced Amenaza Virus/Malware. Virus, troyanos, gusanos, puertas traseras y rootkits Spyware/grayware Spyware, programas de marcación, herramientas de piratería, aplicaciones de robo de contraseñas, adware, programas de broma y registradores de teclas Virus/malware y spyware/grayware transmitidos a través de mensajes de correo electrónico y spam Gusanos/Virus de red Protección de Worry-Free Business Security Advanced Motores de exploración antivirus y antispyware junto con archivos de patrones en Client/Server Security Agent y Messaging Security Agent POP3 Mail Scan en Client/Server Security Agent e IMAP Mail Scan en Messaging Security Agent Cortafuegos en Client/Server Security Agent 1-17