McAfee Data Loss Prevention Endpoint 9.3.0 Guía del

Transcripción

Guía del producto
Revisión A
McAfee Data Loss Prevention Endpoint
9.3.0
COPYRIGHT
Copyright © 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa.
ATRIBUCIONES DE MARCAS COMERCIALES
McAfee, el logotipo de McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM,
Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
Total Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas
filiales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener información
sobre los productos y las funciones más recientes.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2
McAfee Data Loss Prevention Endpoint 9.3.0
Guía del producto
Contenido
1
Prefacio
7
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . .
7
7
7
8
Introducción
9
Cómo funciona McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . .
Clasificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proteger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del producto y su interacción . . . . . . . . . . . . . . . . . . . . . . .
Acerca del software cliente de McAfee Data Loss Prevention Endpoint . . . . . . . . . .
10
10
11
12
13
14
15
Despliegue
2
Escenarios y opciones de despliegue
19
Selección de una opción de producto de endpoint . . . . . . . . . . . . . . . . . . . . . 19
Explicación de la compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . . . 20
Instalación recomendada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
3
Planificación del despliegue
23
Verificación de requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabajo en un entorno de clúster . . . . . . . . . . . . . . . . . . . . . . . . . . .
Preparación del clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prueba del clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación y configuración de carpetas de repositorio . . . . . . . . . . . . . . . . . . . .
Configuración de carpetas en Windows Server 2008 . . . . . . . . . . . . . . . . .
Configuración de carpetas en Windows Server 2003 . . . . . . . . . . . . . . . . .
Lista de comprobación para la instalación . . . . . . . . . . . . . . . . . . . . . . . .
24
26
27
27
28
28
29
30
31
Instalación
4
Instalación del software McAfee DLP Endpoint
Instalación de la extensión de McAfee Data Loss Prevention Endpoint . .
Inicialización de la consola de directivas de McAfee DLP Endpoint .
Ampliación de la licencia . . . . . . . . . . . . . . . . .
Incorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator .
5
35
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. . . 35
. . 36
. . . 38
. .
39
Instalación de una ampliación de versión
41
Ampliación del software McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . .
Ampliación por fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
44
Guía del producto
3
Contenido
Restauración de la directiva después de la ampliación . . . . . . . . . . . . . . . . . . .
6
45
Despliegue de McAfee DLP Endpoint
47
Despliegue del software cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de una regla predeterminada . . . . . . . . . . . . . . . . . . . . . .
Despliegue del cliente de McAfee DLP Endpoint con ePolicy Orchestrator . . . . . . . .
Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . .
Despliegue de directivas con ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . .
Aplicación de la directiva del sistema . . . . . . . . . . . . . . . . . . . . . . .
Asignación de una directiva o de la configuración de los agentes . . . . . . . . . . . .
Importación de directivas y edición de descripciones de directivas . . . . . . . . . . .
Actualización de la directiva . . . . . . . . . . . . . . . . . . . . . . . . . .
47
47
48
50
50
51
52
52
53
Configuración y uso
7
Configuración de los componentes del sistema
Configuración de los agentes . . . . . . . . . . . . . . . . . .
Aplicación de la configuración global de los agentes . . . . . .
Importación de la configuración global de los agentes . . . . .
Restablecimiento de los valores de configuración de los agentes .
Configuración de operación en modo seguro . . . . . . . . . . . .
8
57
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Clasificación del contenido confidencial
57
58
58
58
58
61
Clasificación por contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Utilización de diccionarios para clasificar el contenido . . . . . . . . . . . . . . . . 61
Clasificación del contenido con propiedades de documentos o extensiones de archivos . . . 63
Definiciones de patrones de texto . . . . . . . . . . . . . . . . . . . . . . . . 63
Lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . . . . .
70
Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . 71
Definición de recursos compartidos de archivos de red . . . . . . . . . . . . . . . . 79
Definición de parámetros de red . . . . . . . . . . . . . . . . . . . . . . . . . 80
Definición de repositorios de documentos registrados . . . . . . . . . . . . . . . . 82
Clasificación por destino de archivo . . . . . . . . . . . . . . . . . . . . . . . . . .
84
Cómo se controla el contenido de carácter confidencial en el correo electrónico . . . . . . 85
Definición de impresoras de red y locales . . . . . . . . . . . . . . . . . . . . . 87
Control de la información cargada en sitios web . . . . . . . . . . . . . . . . . . 90
Clasificación en uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Cómo categoriza las aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . .
92
Aplicaciones y modo de uso . . . . . . . . . . . . . . . . . . . . . . . . . .
93
Adición y eliminación de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . 98
Definición de tipos de archivos . . . . . . . . . . . . . . . . . . . . . . . . . 99
Reglas de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Vinculación de categorías a contenido mediante reglas de clasificación . . . . . . . . . 101
Creación y definición de reglas de clasificación . . . . . . . . . . . . . . . . . . 102
9
Seguimiento de contenido con marcas y clasificaciones
107
Utilización de marcas y categorías de contenido para clasificar contenido . . . . . . . . . . .
Creación de marcas, categorías de contenido, catálogos y grupos . . . . . . . . . . .
Vinculación de marcas al contenido mediante reglas de marcado . . . . . . . . . . . . . .
Creación y definición de reglas de marcado . . . . . . . . . . . . . . . . . . . .
Marcas manuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicación manual de marcas a los archivos . . . . . . . . . . . . . . . . . . .
Eliminación de marcas manuales del contenido . . . . . . . . . . . . . . . . . .
10
4
Aplicación de la protección de McAfee DLP
107
108
110
111
113
114
114
115
Guía del producto
Contenido
Protección de medios extraíbles . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Categorización de dispositivos con clases de dispositivos . . . . . . . . . . . . . . 116
Control de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . 119
Reglas de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Parámetros de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 135
Funcionamiento de Data Loss Prevention con gestión de derechos . . . . . . . . . .
137
Usuarios de Adobe Rights Management . . . . . . . . . . . . . . . . . . . . . 138
Definición del servidor de Adobe RM y sincronización de directivas . . . . . . . . . . 139
Definición de un servidor de Microsoft Rights Management Service y sincronización de plantillas
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
139
Definición de un servidor Seclore y sincronización de directivas . . . . . . . . . . . . 140
Control del contenido de carácter confidencial con reglas de protección . . . . . . . . . . .
141
Reglas de protección del Portapapeles mejoradas . . . . . . . . . . . . . . . . . 142
Funcionamiento de las reglas de protección . . . . . . . . . . . . . . . . . . . . 142
Definiciones y cómo definen las reglas . . . . . . . . . . . . . . . . . . . . . . 146
Eliminación de reglas, definiciones, clases de dispositivos o grupos de usuarios . . . . . 164
Utilización de definiciones predefinidas . . . . . . . . . . . . . . . . . . . . .
164
Limitación de reglas con grupos de asignación . . . . . . . . . . . . . . . . . . . . .
165
Asignación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Grupos de asignación de equipos . . . . . . . . . . . . . . . . . . . . . . . . 168
Supervisión y generación de informes
11
171
Recopilación y administración de datos . . . . . . . . . . . . . . . . . . . . . . . .
Administrador de incidentes de DLP/Eventos operativos de DLP . . . . . . . . . . .
Tareas de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Edición del ejecutor de tareas . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funcionamiento con la base de datos . . . . . . . . . . . . . . . . . . . . . .
Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . .
Redacción y control de acceso según funciones . . . . . . . . . . . . . . . . . . . . .
Protección de la confidencialidad con la redacción . . . . . . . . . . . . . . . . .
Control de acceso según funciones . . . . . . . . . . . . . . . . . . . . . . .
12
Conjuntos de permisos y usuarios
171
172
176
177
178
182
182
185
185
188
189
Conjuntos de permisos sobre DLP . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación y definición de administradores de McAfee DLP . . . . . . . . . . . . . . . . .
Creación y definición de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . .
189
190
191
Solución de problemas
13
Solución de problemas y operaciones no estándar
195
Herramientas del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Omisión de agente y funciones relacionadas . . . . . . . . . . . . . . . . . . . . . .
Solicitud de una clave de omisión . . . . . . . . . . . . . . . . . . . . . . . .
Despliegue manual de los productos de software del endpoint de McAfee . . . . . . . . . .
Creación de un paquete de instalación . . . . . . . . . . . . . . . . . . . . . .
Creación de un anuncio . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación del paquete de desinstalación de SMS . . . . . . . . . . . . . . . . . .
Creación de un paquete de desinstalación de SMS para su ejecución desde una línea de
comando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos .
195
196
197
198
199
200
200
201
202
Guía del producto
5
Contenido
Índice
6
203
Guía del producto
Prefacio
Contenido
Acerca de esta guía
Búsqueda de documentación de productos
Acerca de esta guía
Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos
utilizados, además de cómo está organizada.
Destinatarios
La documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios.
La información de esta guía va dirigida principalmente a:
•
Administradores: personas que implementan y aplican el programa de seguridad de la empresa.
•
Responsables de seguridad: personas encargadas de determinar qué información es confidencial
y definir la directiva corporativa que protege la propiedad intelectual de la empresa.
Convenciones
En esta guía se utilizan los siguientes iconos y convenciones tipográficas.
Título de libro, término o
énfasis
Título de un libro, capítulo o tema; introducción de un nuevo término;
énfasis.
Negrita
Texto que se enfatiza particularmente.
Datos introducidos por
el usuario, código,
mensajes
Comandos u otro texto que escribe el usuario; un ejemplo de código;
un mensaje que aparece en pantalla.
Texto de la interfaz
Palabras de la interfaz del producto, como los nombres de opciones,
menús, botones y cuadros de diálogo.
Azul hipertexto
Un vínculo a un tema o a un sitio web externo.
Nota: Información adicional, como un método alternativo de acceso a
una opción.
Sugerencia: Sugerencias y recomendaciones.
Importante/atención: Consejo importante para proteger el sistema,
la instalación del software, la red, la empresa o los datos.
Advertencia: Consejo especialmente importante para prevenir daños
físicos cuando se usa un producto de hardware.
Guía del producto
7
Prefacio
McAfee le proporciona la información que necesita en cada fase del proceso de implementación del
producto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de un
producto, su información se introduce en la base de datos online KnowledgeBase de McAfee.
Procedimiento
1
Vaya a McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.
2
En Self Service (Autoservicio), acceda al tipo de información que necesite:
Para acceder a...
Haga lo siguiente...
Documentación de
usuario
1 Haga clic en Product Documentation (Documentación del producto).
2 Seleccione un producto, después seleccione una versión.
3 Seleccione un documento del producto.
KnowledgeBase
• Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) para
encontrar respuestas a sus preguntas sobre el producto.
• Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para ver
los artículos clasificados por producto y versión.
8
Guía del producto
1
Introducción
McAfee® Data Loss Prevention (McAfee DLP) protege a las empresas frente a los riesgos asociados con
la transferencia de datos sin autorización desde dentro o fuera de la organización.
McAfee Data Loss Prevention Endpoint (El software McAfee DLP Endpoint) es una solución de agente
basada en contenido que supervisa las acciones de los usuarios de la empresa que afectan al
contenido de carácter confidencial en su propio entorno de trabajo, es decir, sus equipos.
El software McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada, reconocimiento de
patrón de texto y diccionarios predefinidos para la identificación de este contenido de carácter
confidencial e incorpora la administración de dispositivos y el cifrado de capas adicionales de control.
Funciona con software de protección de terceros como Adobe LiveCycle Rights Management, Microsoft
Rights Management Service, Seclore FileSecure y Titus Message Classification para ampliar la
seguridad de sus datos. Las directivas y reglas pueden configurarse de modo que se apliquen tanto
dentro como fuera de la red de la empresa o en ambos sitios.
Esta guía proporciona toda la información necesaria para instalar, desplegar y usar el software McAfee
DLP Endpoint: configuración de los agentes, creación de las reglas de dispositivos, marcado y
protección del contenido y supervisión de las directivas para evitar la pérdida de datos.
El software McAfee DLP Endpoint versión 9.3 se ejecuta en McAfee® ePolicy Orchestrator® (McAfee
ePO™), el administrador de directivas centralizado para sistemas y productos de seguridad. La versión
9.3 puede instalarse en ePolicy Orchestrator 4.5, 4.6 o 5.0.
Contenido
Cómo funciona McAfee DLP Endpoint
Componentes del producto y su interacción
Guía del producto
9
1
Introducción
McAfee DLP Endpoint protege la información confidencial de la empresa mediante el despliegue de
directivas compuestas por reglas de clasificación, reglas de marcado, reglas de protección, reglas de
dispositivos y asignaciones de grupos y usuarios.
Las directivas de McAfee DLP Endpoint se supervisan y las acciones definidas mediante contenido
identificado como confidencial se supervisan o se bloquean, según sea necesario. En ciertos casos, el
contenido de carácter confidencial se cifra antes de permitir la acción. El contenido se almacena como
prueba y se generan informes para facilitar la revisión y el control del proceso.
Figura 1-1
Flujo de trabajo de McAfee DLP Endpoint
Clasificar
Para proteger el contenido de carácter confidencial, el McAfee DLP administrador comienza por definir
y clasificar lo que debe protegerse. El contenido puede clasificarse por:
10
Ubicación
Las ubicaciones pueden definirse de acuerdo al origen del contenido (por ejemplo,
la carpeta Departamento de finanzas) o al destino donde se copia (por ejemplo,
una unidad flash no cifrada). Una categoría especial es el Repositorio de
documentos registrados.
Tipo de
contenido
Entre los tipos de contenido se encuentran el contenido cifrado, el contenido con
propiedades de documentos o tipos de archivos específicos, o el contenido con
marcas o categorías de contenido.
Términos
específicos
Los diccionarios definen listas de palabras sensibles. Por ejemplo, para proteger la
información médica privada, el diccionario de HIPAA incluye términos médicos que
deben conservar su confidencialidad.
Patrones de
texto
Para clasificar información pueden usarse cadenas definidas, como Confidencial de
la empresa, o expresiones regulares que pueden usarse para identificar números
de tarjeta de crédito u otros patrones regulares.
Guía del producto
Introducción
1
El correo electrónico puede clasificarse con la popular aplicación Titus Message Classification. Las
clasificaciones de Titus se reconocen como patrones de texto que se utilizan para crear reglas de
protección de correo electrónico.
Reglas de clasificación
Las reglas de clasificación aplican categorías de contenido según el análisis del contenido y su
correspondencia con patrones o palabras clave predefinidos. Existen dos tipos de reglas de
clasificación:
•
Reglas de clasificación del contenido que comparan el contenido con cadenas predefinidas y
con patrones de texto o diccionarios.
•
Reglas de clasificación de documentos registrados que clasifican todo el contenido
especificado en un grupo de carpetas definido.
Véase también
Creación de una definición de repositorio de documentos registrados en la página 83
Seguimiento
Para realizar un seguimiento del contenido de carácter confidencial, se aplica una marca o una
categoría de contenido al archivo que incluye este tipo de contenido. Las marcas se almacenan en los
atributos extendidos (EA) o los flujos alternativos de datos (ADS, Alternate Data Streams) de un
archivo. Al acceder a estos archivos, el software McAfee DLP Endpoint realiza un seguimiento de la
transformación de los datos y mantiene la clasificación del contenido de carácter confidencial de forma
permanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario abre un documento de
Word marcado, copia unos párrafos del documento en un archivo de texto y adjunta dicho archivo a
un mensaje de correo electrónico, el mensaje saliente tendría la misma marca que el documento
original.
Compatibilidad con información de marcas persistente
En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLP
Endpoint almacena la información de marcas en el disco en forma de metarchivo. Los metarchivos se
almacenan en una carpeta oculta cuyo nombre es ODB$ y que es creada automáticamente por el
software cliente de McAfee DLP Endpoint.
Reglas de marcado
Las reglas de marcado y clasificación, basadas en las necesidades de la empresa, identifican la
información confidencial y sus orígenes. La información se puede clasificar por:
•
Aplicación: las reglas de marcado basadas en la aplicación aplican marcas que, por lo general, se
basan en la aplicación o las aplicaciones que crean un archivo (como se especifica en las
definiciones de la aplicación) o en el tipo o la extensión del archivo.
•
Ubicación: cuando un proceso local accede o copia un archivo, se aplican reglas de marcado
basadas en la ubicación del archivo de origen. Por ejemplo, cuando se copia un archivo de forma
local desde un recurso compartido de un servidor de red.
Puede agregar patrones de texto y diccionarios a una regla de marcado basada en la ubicación o en la
aplicación combinando ambos tipos de reglas.
Además de usar reglas de marcado, pueden aplicarse marcas manualmente o durante el proceso de
descubrimiento
Guía del producto
11
1
Introducción
Reglas de descubrimiento
McAfee Data Loss Prevention Discover es un robot de rastreo (crawler) que se ejecuta en equipos
gestionados. Las reglas de descubrimiento de almacenamiento de correo electrónico y del sistema de
archivos pueden definir el contenido que se busca, ya sea para supervisarlo, ponerlo en cuarentena o
marcarlo, y tanto si se deben almacenar pruebas como si no. Las reglas de descubrimiento del sistema
de archivos también pueden utilizarse para cifrar archivos o aplicarles directivas de gestión de
derechos. Los ajustes de la configuración global del agente determinan cuándo y dónde se efectúa la
búsqueda.
Proteger
La protección se define con las reglas de dispositivos y de protección que pueden filtrarse por grupos
de usuarios (aplicaciones). Las reglas se aplican con directivas. Las excepciones se definen con listas
blancas.
Reglas de protección
Las reglas de protección impiden la distribución no autorizada de datos marcados. Cuando un usuario
intenta copiar o adjuntar datos marcados, las reglas de protección determinan si estas acciones deben
permitirse, supervisarse o bloquearse. Además de las marcas y categorías de contenido, las reglas de
protección se definen con aplicaciones o grupos de aplicaciones, asignaciones de usuarios y
definiciones como destinos de correo electrónico, propiedades de documento o patrones de texto.
Reglas de dispositivos
Las reglas de dispositivos supervisan y, en caso necesario, impiden que el sistema cargue dispositivos
físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi‑Fi y otros dispositivos Plug and
Play. Las clases y definiciones de dispositivos se utilizan para definir las reglas de dispositivos.
Grupos de asignación
Los grupos de asignación aplican reglas de protección específicas a distintos grupos, usuarios y
equipos de la empresa.
Directivas y despliegue de directivas
Una directiva es la combinación de reglas de marcado, reglas de protección, definiciones y grupos de
asignación. Las directivas se despliegan mediante el software ePolicy Orchestrator en los equipos
gestionados de la empresa (equipos con McAfee Agent instalado).
Listas blancas
Las listas blancas son recopilaciones de elementos que el sistema debe ignorar. McAfee DLP Endpoint
utiliza cuatro tipos de listas blancas:
12
•
Aplicación: las reglas de dispositivos pueden bloquear aplicaciones ejecutadas desde dispositivos
extraíbles. Para permitir las aplicaciones necesarias como el software de cifrado, se pueden crear
definiciones de aplicación en lista blanca para que dichas aplicaciones se excluyan de la regla de
bloqueo. Las definiciones se aplican sólo a dispositivos de almacenamiento extraíbles.
•
Contenido: la carpeta de la lista blanca contiene archivos de texto que definen contenidos
(normalmente repetitivos) que no están marcados ni restringidos. Su propósito principal es mejorar
la eficiencia del proceso de marcado ignorando el contenido estándar que no necesita protección.
Guía del producto
Introducción
1
•
Dispositivos Plug and Play: algunos dispositivos Plug and Play no llevan a cabo la administración
de dispositivos de forma óptima. El intento de gestionarlos puede provocar una interrupción en la
respuesta del sistema u otros problemas graves. Los dispositivos Plug and Play de la lista blanca se
excluyen automáticamente cuando se aplica una directiva.
•
Impresoras: para impedir la impresión de datos confidenciales, McAfee DLP Endpoint sustituye el
controlador original de la impresora por un controlador proxy que intercepta las operaciones de
impresión y las transfiere al controlador original. En algunos casos, los controladores de impresora
no funcionan en esta arquitectura, por lo que la impresora deja de responder. Las impresoras de
lista blanca están excluidas del proceso de instalación del controlador proxy.
Supervisar
Cuando la aplicación de una regla bloquea, supervisa o provoca otro tipo de acción, se genera un
evento que se envía al Analizador de eventos de ePolicy Orchestrator y se almacena en una base de
datos. El evento puede contener evidencia de la infracción de la regla. Además, los eventos de sistema
generan eventos administrativos como el despliegue de directivas o los análisis de descubrimiento. La
función de supervisión de directivas incluye:
•
Supervisión de incidentes: la página Administrador de incidentes de DLP en ePolicy Orchestrator
permite a los administradores ver los eventos de los agentes y las pruebas en el momento en el
que se reciben.
•
Supervisión de eventos administrativos: la página Eventos operativos de DLP en ePolicy
Orchestrator permite a los administradores ver los eventos administrativos.
•
Recopilación de pruebas: si hay reglas de protección definidas para recopilar pruebas, se guarda
una copia de los datos marcados y se vincula al evento específico. Esta información ayuda a
determinar la gravedad o la exposición del evento. La prueba se cifra mediante el algoritmo AES
antes de que se guarde.
•
Subrayado de coincidencias: se puede guardar la prueba resaltando el texto que ha provocado
el evento. La prueba resaltada se guarda como un archivo HTML cifrado independiente.
Además, pueden aparecer tendencias de eventos en los paneles de ePolicy Orchestrator.
Guía del producto
13
1
Introducción
McAfee DLP Endpoint consta de varios componentes. Cada uno de ellos desempeña un papel concreto
en la defensa de su red frente a la fuga de datos.
Figura 1-2
Software McAfee DLP Endpoint
Consola de directivas
La consola de directivas de McAfee DLP Endpoint es la interfaz en la que el administrador define y
aplica la directiva de seguridad de la información de la empresa. Se utiliza para crear la directiva de
seguridad de la información, así como para administrar los componentes del software McAfee DLP
Endpoint.
A la consola de directivas de McAfee DLP Endpoint se accede desde el ePolicy Orchestrator al
seleccionar Menú | Protección de datos | Directiva de DLP.
Supervisión de eventos
La supervisión de DLP ahora es una función nativa del ePolicy Orchestrator. Los eventos generados por
las directivas de DLP ahora se conocen como "incidentes" para diferenciarlos de los eventos
administrativos generados por el ePolicy Orchestrator.
Los incidentes se muestran en la página Administrador de incidentes de DLP | Lista de incidentes. Los eventos de
DLP se muestran en la página Eventos operativos de DLP Lista. A estas páginas se accede desde Menú |
Protección de datos en ePolicy Orchestrator. Todos los eventos se pueden filtrar y ordenar según criterios
como reglas de protección, gravedad, fecha, hora, usuario, nombre de equipo o versión de directiva. El
administrador puede etiquetar los eventos para facilitar su seguimiento.
Al definir conjuntos de permisos de ePolicy Orchestrator, puede configurar permisos para ver la lista
de eventos o incidentes y así poder asignar revisores a los distintos conjuntos de eventos. Puede
disponer de un revisor distinto encargado de revisar la información redactada.
Véase también
Creación y definición de conjuntos de permisos en la página 191
14
Guía del producto
1
Introducción
Acerca del software cliente de McAfee Data Loss Prevention
Endpoint
El software cliente de McAfee DLP Endpoint se despliega como un complemento de McAfee® Agent, y
aplica las directivas definidas en la directiva de McAfee DLP Endpoint. El software cliente de McAfee
DLP Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los
usuarios no autorizados copien o transfieran información confidencial. A continuación, genera eventos
que se registran mediante el Analizador de eventos de ePolicy Orchestrator.
Funcionamiento con conexión/sin conexión
Las reglas de dispositivos y de protección pueden supervisar o proteger información de carácter
confidencial en un equipo gestionado con conexión, sin conexión o en ambos casos. Se considera que
un equipo tiene conexión cuando está conectado al servidor de ePolicy Orchestrator.
Múltiples sesiones de usuarios
El software cliente de McAfee DLP Endpoint es compatible con la función de cambio rápido de usuario
(FUS) en Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 y
Windows Server 2012 con múltiples sesiones de usuarios. La compatibilidad con equipos de
sobremesa virtuales puede dar lugar a múltiples sesiones de usuarios desde un único equipo host.
Puede ver las sesiones de usuario en la página de ePolicy Orchestrator Árbol de sistemas | Sesiones de
usuarios de DLP.
Analizador de eventos
Los eventos generados por el software cliente de McAfee DLP Endpoint se envían al Analizador de
eventos de ePolicy Orchestrator y se registran en tablas dentro de la base de datos de ePolicy
Orchestrator. Estos eventos se almacenan en la base de datos para su análisis posterior y se utilizan
en otros componentes del sistema.
Guía del producto
15
1
Introducción
16
Guía del producto
Despliegue
En este apartado se describen las opciones para planificar el despliegue de
software McAfee DLP Endpoint.
Trata sobre las diferencias entre los productos de McAfee Data Loss
Prevention, sobre la instalación recomendada y los problemas de
compatibilidad con versiones anteriores para aquellos que amplíen a una
versión anterior.
Ya que McAfee DLP Endpoint funciona con McAfee ePolicy Orchestrator, en
este apartado también se tratan los problemas de instalación de McAfee ePO
y Microsoft SQL, así como la configuración del servidor para los requisitos
especiales del software McAfee DLP Endpoint.
Una vez haya finalizado este apartado, debería estar listo para instalar la
extensión del softwareMcAfee DLP Endpoint en McAfee ePolicy Orchestrator,
activar el paquete del agente en el repositorioMcAfee ePO y desplegar el
software cliente en sus equipos de endpoint.
Capítulo 2
Capítulo 3
Guía del producto
17
Despliegue
18
Guía del producto
2
La clasificación de la información corporativa en distintas categorías de prevención de fuga de datos
resulta fundamental en el despliegue y la administración del software McAfee Data Loss Prevention
Endpoint. Aunque existen directrices y recomendaciones, el esquema ideal depende de los objetivos y
las necesidades de la empresa, y es propio de cada instalación. Elegir entre las dos opciones de DLP,
McAfee Device Control y la versión completa de McAfee DLP Endpoint, constituye el primer paso a la
hora de determinar el modo en que se satisfarán dichas necesidades.
Dada la dificultad de determinar con antelación y exactitud la naturaleza de sus necesidades
exclusivas, recomendamos el despliegue inicial en un grupo de muestra de entre 15 y 20 usuarios
durante un período de prueba de un mes. Durante este período no se clasifican datos, y se crea una
directiva para supervisar, no bloquear, las transacciones. La supervisión de los datos ayuda a los
responsables de seguridad a tomar las decisiones apropiadas sobre dónde y cómo clasificar los datos
empresariales. Las directivas creadas a partir de esta información se deben someter a prueba en un
grupo de prueba de mayor tamaño (o, en el caso de empresas muy grandes, en una serie de grupos
cada vez de mayor tamaño) antes de desplegarlas en toda la empresa.
Contenido
Selección de una opción de producto de endpoint
Explicación de la compatibilidad con versiones anteriores
Instalación recomendada
Selección de una opción de producto de endpoint
McAfee ofrece dos opciones de prevención de fuga de datos para endpoints: McAfee Device Control y
McAfee DLP Endpoint. Los dos productos utilizan el mismo software instalado y la diferencia se
encuentra en sus licencias.
Explicación de las opciones de DLP para endpoints de McAfee
El software McAfee DLP Endpoint está disponible en dos configuraciones: una configuración sólo para
control de dispositivos y una configuración completa de McAfee DLP Endpoint. Durante la instalación,
se activa la configuración de McAfee Device Control de forma predeterminada. Se puede pasar a la
configuración con todas las funciones ampliando la clave de licencia en el menú Ayuda.
¿Qué es McAfee Device Control?
El software McAfee Device Control impide el uso no autorizado de dispositivos multimedia extraíbles,
que actualmente es la causa de fuga de datos más cara y extendida en muchas empresas. Es la
configuración predeterminada en el momento de la instalación.
El software McAfee Device Control proporciona:
Guía del producto
19
2
•
Persistente protección de datos basada en el contenido para dispositivos que controla los
datos que se pueden copiar a dispositivos extraíbles o, incluso, controla estos dispositivos y los
bloquea por completo o hace que sean de solo lectura; bloquea la ejecución de aplicaciones desde
unidades extraíbles.
•
Protección para dispositivos portátiles para unidades USB, iPods, dispositivos Bluetooth, CD,
DVD y otros medios extraíbles, además de para discos duros que no sean del sistema.
La instalación predeterminada del software McAfee DLP Endpoint incluye una licencia para versión de
prueba de 90 días del software McAfee Device Control. Amplíe a la configuración completa del software
McAfee DLP Endpoint ampliando la licencia. Las opciones de licencia para cualquiera de las versiones
del software son de 90 días de prueba o por tiempo ilimitado. Al realizar la ampliación no es necesario
volver a instalar el software.
¿Qué es la versión completa de McAfee DLP Endpoint?
El software McAfee DLP Endpoint proporciona:
•
Protección universal contra la fuga de datos a través del amplísimo espectro de canales en los
que puede producirse: dispositivos extraíbles, discos duros que no sean del sistema, correo
electrónico o datos adjuntos de correo electrónico, publicaciones web, portapapeles y capturas de
pantalla, impresión, sistema de archivos, etc.
•
Persistente protección de datos basada en el contenido frente a la fuga de datos con
independencia del formato en que éstos se almacenen o manipulen; aplica la prevención de fuga
de datos sin perturbar las actividades legítimas que realizan los usuarios.
•
Protección para dispositivos portátiles que impide la transmisión de datos confidenciales desde
equipos de sobremesa y desde portátiles, estén o no conectados a la red de la empresa.
¿Qué diferencia hay entre las configuraciones?
Las siguientes definiciones están desactivadas (no disponibles) en el software McAfee Device Control:
•
Descubrimiento
•
Impresoras
•
Destinos de correo electrónico
•
Gestión de derechos
•
Servidores de archivos
•
Destinos web
•
Red
Las siguientes funciones no están disponibles:
•
Reglas de protección (con la excepción de las reglas de almacenamiento extraíble)
•
Marcas y reglas de marcado
Para permitir una ampliación ordenada en grandes empresas que hayan desplegado versiones
anteriores de McAfee DLP Endpoint en su entorno de producción, existe la opción de desplegar
directivas compatibles con versiones anteriores en equipos en los que se sigan ejecutando los agentes
anteriores.
El Host DLP Agent 9.1 es la versión más reciente admitida por esta función. Las empresas que
ejecutan versiones anteriores deben ampliar al Host DLP Agent 9.1 o posterior antes de ampliar a
McAfee DLP Endpoint 9.3.
La opción de compatibilidad con versiones anteriores, que permite la comunicación tanto con agentes
antiguos como nuevos, tiene tres niveles:
20
Guía del producto
•
Sin compatibilidad (todos los endpoints son de la versión 9.3)
•
McAfee DLP Endpoint Agent 9.2 y posteriores
•
Agente de McAfee DLP Endpoint 9.1 y posterior
2
La opción de compatibilidad con agentes se selecciona durante la inicialización de la consola de
directivas de McAfee DLP Endpoint. Se puede modificar en cualquier momento en Herramientas | Opciones.
La instalación recomendada para la implementación simple de McAfee Data Loss Prevention Endpoint
es en un único servidor junto con el software McAfee ePolicy Orchestrator.
Para ver las recomendaciones sobre si utilizar o no un servidor distinto para la base de datos de
ePolicy Orchestrator consulte la Guía sobre el uso del ancho de banda y tamaño del hardware para
ePolicy Orchestrator 4.5 o la Guía sobre el uso del ancho de banda y tamaño del hardware para ePolicy
Orchestrator 4.6.
Figura 2-1
Componentes y relaciones de McAfee DLP Endpoint
Guía del producto
21
2
La arquitectura recomendada incluye:
•
Servidor de ePolicy Orchestrator : alberga la interfaz de la consola de directivas de McAfee DLP
Endpoint incrustada y se comunica con el software McAfee Agent en los equipos de endpoint.
En la versión 9.3, la interfaz incrustada para McAfee DLP Monitor se ha sustituido por dos
componentes de ePolicy Orchestrator: Administrador de incidentes de DLP y Eventos operativos de
DLP. De este modo se optimiza la seguridad ya que se elimina el vínculo de conexión del servicio
WCF.
22
•
Informes de McAfee ePO : una lista de eventos de McAfee DLP Endpoint dentro del servicio de
generación de informes de McAfee ePolicy Orchestrator sustituye a los informes de DLP.
•
Analizador de eventos de ePolicy Orchestrator : se comunica con McAfee Agent y
almacena información de eventos en una base de datos.
•
Analizador de eventos de DLP: recopila eventos de McAfee DLP Endpoint procedentes del
Analizador de eventos de ePolicy Orchestrator y los almacena en tablas de DLP en la base de
datos de SQL.
•
Base de datos de ePO: se comunica con el Distribuidor de directivas de ePolicy Orchestrator
para distribuir las directivas, y con el Analizador de eventos de DLP para recopilar eventos y
pruebas.
•
Estación de trabajo del administrador: accede al ePolicy Orchestrator y a la consola de
directivas de McAfee DLP Endpoint en un navegador.
•
Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente:
•
Cliente de McAfee DLP Endpoint : un complemento de McAfee Agent que proporciona los
procesos y directivas de McAfee DLP.
•
McAfee Agent : proporciona el canal de comunicación entre el servidor de ePolicy Orchestrator
y el software cliente de McAfee DLP Endpoint.
Guía del producto
3
Prepare su entorno para instalar el software McAfee DLP Endpoint en ePolicy Orchestrator.
Antes de instalar el software McAfee DLP Endpoint, configure el servidor de ePolicy Orchestrator y cree
y configure las carpetas de repositorio.
Cuando instale ePolicy Orchestrator, tenga en cuenta lo siguiente:
•
En las opciones de instalación de ePolicy Orchestrator, le recomendamos que seleccione la opción
Instalar el servidor y la consola.
•
El software McAfee DLP Endpoint necesita Microsoft SQL Server 2005 o posterior. Al instalar en
Windows Server 2003, recomendamos utilizar el instalador de SQL Server 2005 Express incluido en
el instalador de McAfee ePO.
Tras verificar que desea instalar el software, la instalación de SQL continúa sin intervención del
usuario. Si se le pide instalar SQL Server 2005 Backward Compatibility, debe instalarlo.
La opción recomendada al instalar en Windows Server 2008 consiste en crear una instancia de
ePolicy Orchestrator en un servidor SQL Server 2005 o 2008 existente y seleccionarla.
Recomendamos utilizar una cuenta de SQL Server. Si lo prefiere, también puede utilizar una cuenta
de NT.
•
Durante la instalación, es posible que aparezca un mensaje de advertencia sobre los sitios de
confianza. Anote los nombres de los sitios de confianza que se recomienda agregar a la lista
correspondiente en Internet Explorer antes de hacer clic en Aceptar. Tendrá que agregarlos más
adelante.
Algunas secuencias de comandos de instalación requieren que la cuenta SERVICIO DE RED tenga
permiso de escritura para la carpeta C:\Windows\Temp. En sistemas seguros, esta carpeta puede estar
bloqueada. En ese caso, deben cambiarse temporalmente los permisos para esa carpeta. Si no se hace,
la instalación no se realizará correctamente. Recomendamos llevar a cabo todas las instalaciones de
software antes de restablecer los permisos.
Funciones y permisos
Piense en las funciones de administrador que necesita para gestionar el sistema y cree los perfiles de
usuario necesarios. Es posible que se necesiten funciones tales como administradores de McAfee DLP,
creadores de directivas, visores de monitores, marcadores manuales y otras, dependiendo del tamaño
del sistema y de la centralización que desee para el control. El sistema se puede modificar en
cualquier momento, por lo que la lista no tiene que estar completa.
Consulte el capítulo 12 Conjuntos de permisos y usuarios de esta guía para obtener más información.
Contenido
Verificación de requisitos del sistema
Configuración del servidor
Trabajo en un entorno de clúster
Creación y configuración de carpetas de repositorio
Lista de comprobación para la instalación
Guía del producto
23
3
Para ejecutar el software McAfee DLP Endpoint versión 9,3, se recomienda el siguiente hardware.
Tabla 3-1 Requisitos de hardware
Tipo de
hardware
Especificaciones
Servidores
• CPU: Intel Pentium IV 2,8 GHz o superior
• RAM
• Únicamente 1 GB como mínimo para el software McAfee Device Control (se
recomiendan 2 GB).
• 1 GB como mínimo para el software McAfee DLP Endpoint completo (se
recomiendan 2 GB)
• Disco duro: 80 GB como mínimo
Equipos
endpoint
• CPU: Pentium III 1 GHz o superior
• RAM
• 512 MB como mínimo para el software McAfee Device Control (se recomienda
1 GB)
• 1 GB como mínimo para el software McAfee DLP Endpoint completo (se
recomiendan 2 GB)
Cuando se use la función de descubrimiento de McAfee DLP Endpoint,
recomendamos 2 GB como mínimo.
• Disco duro: 300 MB como mínimo de espacio libre en disco (se recomienda
500 MB)
Red
LAN de 100 megabits para todas las estaciones de trabajo y el servidor de McAfee
ePO
Se admite el siguiente software de sistema operativo Microsoft.
24
Guía del producto
3
Tabla 3-2 Sistemas operativos compatibles
Tipo de equipo
Software
Servidores
• Windows Server 2003 Standard (SE) SP1 o posterior (32 o 64 bits)
• Windows Server 2003 Enterprise (EE) SP1 o posterior (32 o 64 bits)
• Windows Server 2008 Enterprise SP1 o posterior (32 o 64 bits)
• Windows Server 2012 (Win 8 Server) de 64 bits
Equipos
endpoint
• Windows XP Professional SP3 o posteriores de 32 bits
• Microsoft Windows Vista SP1 o posterior (sólo de 32 bits)
• Windows 7 o SP1 32 o 64 bits)
• Windows 8 de 32 o 64 bits
Las reglas de DLP no se admiten en las versiones de estilo Metro de las
aplicaciones como Internet Explorer.
• Windows Server 2003 SP2 (32 o 64 bits)
• Windows Server 2008 SP2 (32 bits)
• Windows Server 2008 R2 (64 bits)
• Windows Server 2012 de 64 bits
El usuario que instale el software McAfee DLP Endpoint en los servidores debe ser miembro del grupo
de administradores locales.
Los siguientes sistemas operativos virtuales son compatibles.
Tabla 3-3 Sistemas operativos virtuales compatibles
Tipo de sistema
Software
Sistemas VDI
• Citrix XenDesktop 5.5 y 5.6
• VMware View 4.6 y 5.0
Equipos de sobremesa remotos
• Citrix XenApp 6.0 y 6.5
• Microsoft Remote Desktop
Es necesario el siguiente software en el servidor en el que se ejecute la consola de directivas de
McAfee DLP Endpoint.
Tabla 3-4 Requisitos de software del servidor
Software
Versión
McAfee ePolicy Orchestrator
• 4.5 Parche 3 o posterior
• 4.6 o posterior
• 5.0
McAfee Agent
• 4.8
Sistema de ayuda de McAfee
ePO
Descargue la extensión de ayuda de McAfee DLP Endpoint 9.3
(help_dlp_930).
Guía del producto
25
3
Tabla 3-4 Requisitos de software del servidor (continuación)
Software
Versión
Microsoft .NET
3.5 SP1, 4.0 o 4.5
Los administradores de agentes que se encuentren en servidores
remotos ya no requieren .NET Framework.
Microsoft SQL Server
• 2005 o 2008, Advanced Express o Enterprise, (32 o 64 bits)
• 2012 Express o Enterprise, 32 o 64 bits
Microsoft SQL Server
Management Studio
Instale la versión que coincida con la versión de Microsoft SQL Server
que usa.
El paquete de software McAfee DLP Endpoint versión 9.3.0.x incluye lo siguiente:
•
Cliente de McAfee Data Loss Prevention Endpoint (complemento de McAfee Agent)
•
Extensión de McAfee DLP Endpoint (contiene los componentes instalados a través de ePolicy
Orchestrator, incluido McAfee® Help Desk 2.0 )
La configuración básica del servidor de McAfee ePO incluye el establecimiento de la configuración de
seguridad y la comprobación de la instalación de .NET.
Antes de empezar
Compruebe que el servidor cumple los requisitos mínimos del sistema.
Procedimiento
1
Instale Microsoft Windows Server 2003, Windows Server 2008 o Windows Server 2012.
2
Instale Windows Installer 3.0 (Windows Server 2003) o 4.5 (Windows Server 2008) y reinicie el
sistema. Instale los service packs de Microsoft Windows.
3
Ejecute Windows Update e instale todos los parches y actualizaciones.
4
Desactive el componente Configuración de seguridad mejorada de Microsoft Internet Explorer.
•
En Windows Server 2003, abra el panel de control de Windows y, a continuación, seleccione
Agregar o quitar componentes de Windows.
•
En Windows Server 2008, abra el Administrador del servidor y, seguidamente, seleccione
Configurar ESC de Internet Explorer en la sección Información de seguridad.
Este producto de Microsoft puede dificultar la correcta instalación de los componentes de McAfee
DLP Endpoint. Desactívelo antes de la instalación y, en caso necesario, vuelva a configurarlo cuando
finalice.
5
Verifique que Microsoft .NET Framework 3.5 SP1, 4.0 o 4.5 esté instalado.
6
Defina el servidor en una dirección IP fija.
Recomendamos que para la prueba inicial se utilice una subred distinta a la red de producción de la
empresa. Si va a configurar un entorno de producción, defina la dirección IP fija del servidor dentro
de ese intervalo.
26
Guía del producto
3
Véase también
Verificación de requisitos del sistema en la página 24
El software McAfee DLP Endpoint proporciona una alta disponibilidad para entornos que ejecuten
ePolicy Orchestrator en un clúster.
Recomendamos la instalación de clústeres en un servidor Microsoft Windows Server 2008 con función
de Failover Clustering. No se ha probado, y actualmente no se admite, la instalación en otros sistemas
operativos.
Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de lo
siguiente:
•
Microsoft Failover Clustering está configurado y en ejecución en un clúster de dos o más servidores.
•
Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y una
unidad de datos.
•
Existe un servidor de base de datos compatible (SQL Server 2005 o SQL Server 2008) en la red.
•
ePolicy Orchestrator está configurado según las directrices de instalación de clústeres de McAfee
ePolicy Orchestrator. Puede encontrar las guías en:
•
Para ePolicy Orchestrator 4.5: https://kc.mcafee.com/resources/sites/mcafee/content/live/
product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_en‑us.pdf
•
Para ePolicy Orchestrator 4.6: https://kc.mcafee.com/resources/sites/mcafee/content/live/
product_documentation/22000/pd22974/en_us/epo_460_install_guide_en‑us.pdf
•
Para ePolicy Orchestrator 5.0: la documentación no está disponible en el momento de escribir
este documento. Busque en el sitio de Atención al cliente para obtener la guía pertinente.
Procedimientos
•
Preparación del clúster en la página 27
Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de
lo siguiente.
•
Prueba del clúster en la página 28
Conviene probar las instalaciones de clúster antes de su uso.
Preparación del clúster
Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de lo
siguiente.
•
Microsoft Failover Clustering está configurado y en ejecución en un clúster de dos o más servidores.
•
Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y una
unidad de datos.
•
Existe un servidor de bases de datos compatible (SQL Server 2005 o SQL Server 2008) en la red.
Guía del producto
27
3
•
ePolicy Orchestrator se ha configurado correctamente.
•
Para ePolicy Orchestrator 4.5, consulte la Guía de instalación de clúster deMcAfee ePolicy
Orchestrator 4.5. Puede encontrar la guía en: https://kc.mcafee.com/resources/sites/mcafee/
content/live/product_documentation/21000/pd21842/en_us/
epo_450_cluster_install_guide_en‑us.pdf.
•
Para ePolicy Orchestrator 4.6, consulte la sección de instalación de clúster de la Guía de
instalación de McAfee ePolicy Orchestrator 4.6. Puede encontrar la guía en: https://
kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/22000/pd22974/
en_us/epo_460_install_guide_en‑us.pdf.
Prueba del clúster
Conviene probar las instalaciones de clúster antes de su uso.
Cuando el clúster de McAfee DLP Endpoint se ha configurado y está online, utilice esta tarea para
asegurarse de que funciona en una situación de conmutación en caso de error.
Procedimiento
1
Reinicie el sistema que funcione como nodo activo.
El nodo pasivo se convierte automáticamente en nodo activo.
2
Inicie sesión en McAfee ePolicy Orchestrator, seleccione Protección de datos | Directiva de DLP y haga clic
en Aplicar para aplicar la directiva.
Si la pantalla de aplicación de directivas finaliza correctamente, puede concluir que el clúster de
McAfee DLP Endpoint ha seguido en funcionamiento durante la conmutación en caso de error.
Las carpetas de repositorio contienen información que el software McAfee DLP Endpoint utiliza para la
creación de directivas y la generación de informes.
Deben crearse dos carpetas y recursos compartidos de la red y establecer sus propiedades y la
configuración de seguridad correspondiente. No es necesario que las carpetas estén en el mismo
equipo que el servidor de bases de datos de McAfee DLP Endpoint, pero suele ser recomendable que
así sea.
Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursos
compartidos, pero puede crear otros según las necesidades de su propio entorno.
28
•
c:\dlp_resources\
•
c:\dlp_resources\Pruebas
•
c:\dlp_resources\Listablanca
•
Carpeta Pruebas: determinadas reglas de protección permiten almacenar pruebas, por lo que
debe designar con antelación dónde situarlas. Por ejemplo, cuando se bloquea un mensaje de
correo electrónico, se puede incluir una copia del mensaje en la carpeta Pruebas.
•
Carpeta Lista blanca: las huellas digitales de texto que debe omitir el software del endpoint se
colocan en una carpeta repositorio de la lista blanca. Un ejemplo sería el texto estandarizado, como
las notas de descargo de responsabilidad o de derechos de autor. El software McAfee DLP Endpoint
ahorra tiempo al omitir estos fragmentos de texto que se sabe que no incluyen contenido de
carácter confidencial.
Guía del producto
3
Configuración de carpetas en Windows Server 2008
La configuración de las carpetas de repositorio en Windows Server 2008 requiere una configuración de
seguridad específica.
Antes de empezar
Cree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar la
extensión.
Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.
Procedimiento
1
Haga clic con el botón derecho del ratón en la carpeta de pruebas/lista blanca y seleccione
Propiedades.
2
Haga clic en la ficha Uso compartido y, a continuación, haga clic en Uso compartido avanzado. Seleccione la
opción Compartir esta carpeta.
3
Cambie el Nombre del recurso compartido a evidence$ / whitelist$. Haga clic en Aceptar.
El símbolo $ garantiza que el recurso compartido está oculto.
4
Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.
5
En la ficha Permisos, anule la selección de la opción Incluir permisos heredables del ascendiente del objeto.
En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta.
6
Haga clic en Eliminar.
La ficha Permisos e la ventana Configuración de seguridad avanzada muestra todos los permisos eliminados.
7
Haga clic en Agregar para seleccionar un tipo de objeto.
8
En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuación,
haga clic en Aceptar.
Accederá al cuadro de diálogo Entrada de permiso.
9
En la columna Permitir, seleccione:
•
Crear archivos/Escribir datos y Crear carpetas/Anexar datos para la carpeta de pruebas.
•
Listar carpeta/Leer datos para la carpeta de la lista blanca.
Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic en
Aceptar.
La ventana Configuración de seguridad avanzada ahora incluye Equipos del dominio.
10 Vuelva a hacer clic en Agregar para seleccionar un tipo de objeto.
11 En el campo Escriba el nombre de objeto para seleccionar, escriba Administrators y, a continuación, haga
clic en Aceptar para ver el cuadro de diálogo Entrada de permiso. Establezca los permisos necesarios.
Es necesario añadir administradores para la carpeta de la lista blanca. Para la carpeta de pruebas es
opcional, pero pueden añadirse como medida de seguridad. También puede añadir permisos tan sólo
para los administradores que desplieguen directivas.
12 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo.
Guía del producto
29
3
Configuración de carpetas en Windows Server 2003
La configuración de las carpetas de repositorio en Windows Server 2003 requiere una configuración de
seguridad específica.
Antes de empezar
Cree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar la
extensión.
Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.
Procedimiento
1
Haga clic con el botón derecho del ratón en el icono de la carpeta de pruebas/carpeta de la lista
blanca y seleccione Uso compartido y seguridad.
2
En la ventana que aparece, seleccione Compartir esta carpeta. Cambie el Nombre del recurso compartido a
evidence$ / whitelist$. Haga clic en Aceptar.
El símbolo $ garantiza que el recurso compartido está oculto.
3
Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.
4
En la ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada de pruebas, desactive Permitir
permisos heredables.
En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta.
5
Haga clic en Eliminar. La ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada
muestra todos los permisos eliminados excepto los de los administradores.
Es necesario establecer permisos para los administradores de la carpeta de la lista blanca. Para la
carpeta de pruebas es opcional, pero pueden añadirse como medida de seguridad. También puede
añadir permisos tan sólo para los administradores que desplieguen directivas.
6
Haga doble clic en la entrada Administradores para abrir el cuadro de diálogo Entrada de permiso. Cambie
la opción Aplicar en a Esta carpeta, subcarpetas y archivos. Haga clic en Aceptar.
7
Haga clic en Agregar para seleccionar un tipo de objeto.
8
En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuación,
haga clic en Aceptar para ver el cuadro de diálogo Entrada de permiso.
9
En la columna Permitir, seleccione:
•
Crear archivos/Escribir datos y Crear carpetas/Anexar datos para la carpeta de pruebas.
•
Listar carpeta/Leer datos para la carpeta de la lista blanca.
Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic en
Aceptar.
El cuadro de diálogo Configuración de seguridad avanzada ahora incluye Equipos del dominio.
10 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo.
30
Guía del producto
3
Revise la configuración del servidor y la instalación de ePolicy Orchestrator mediante esta lista de
comprobación.
Tabla 3-5
Paso de flujo de trabajo
Comprobado
Software de sistema operativo Microsoft Server instalado con versión .NET compatible
con McAfee DLP Endpoint.
Configuración de seguridad mejorada de Microsoft Internet Explorer, si se usa, debe
estar desactivada para la instalación de McAfee DLP Endpoint y luego debe de
activarse de nuevo.
Permisos de la cuenta SERVICIO DE RED alterados para la instalación de McAfee DLP
Endpoint y luego deben volver a restaurarse.
Carpetas de repositorio creadas y compartidas con los permisos correctos.
Microsoft SQL Server instalado según las recomendaciones.
McAfee ePolicy Orchestrator instalado con las opciones recomendadas.
Guía del producto
31
3
32
Guía del producto
Instalación
En esta sección se describe la instalación de la extensión de McAfee DLP
Endpoint en ePolicy Orchestrator y el despliegue del software cliente en los
equipos endpoint.
Capítulo 4
Capítulo 5
Capítulo 6
Guía del producto
33
Instalación
34
Guía del producto
4
Instalación del software McAfee DLP
Endpoint
Contenido
Instalación de la extensión de McAfee Data Loss Prevention Endpoint
Incorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator
Instalación de la extensión de McAfee Data Loss Prevention
Endpoint
La extensión del software McAfee DLP Endpoint se instala en ePolicy Orchestrator.
Antes de empezar
Descargue la extensión de McAfee DLP Endpoint desde el sitio de descargas de McAfee
correspondiente al software McAfee Data Loss Prevention.
El software McAfee DLP Endpoint actualmente no es compatible con la función de
Administrador de software de McAfee ePolicy Orchestrator 4.6 y 5.0.
Compruebe que el nombre de servidor de ePolicy Orchestrator aparece en la lista de sitios
de confianza en la configuración de seguridad de Internet Explorer.
La instalación predeterminada es una licencia de 90 días para el software McAfee Device Control. Si
adquirió una licencia para la versión completa del software McAfee Data Loss Prevention Endpoint,
deberá ampliar la licencia tras completar la instalación.
Procedimiento
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
1
En ePolicy Orchestrator, seleccione Menú | Software | Extensiones y, a continuación, haga clic en Instalar
extensión.
2
Haga clic en Examinar y seleccione el archivo .zip de McAfee DLP Endpoint (..
\HDLP_Extension_9_3_0_xxx.zip). Haga clic en Abrir y, a continuación, en Aceptar.
El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que está
instalando la extensión correcta.
3
Haga clic en Aceptar. Se instala la extensión.
Guía del producto
35
4
Las aplicaciones siguientes se instalan en ePolicy Orchestrator:
4
•
Consola de directivas de McAfee DLP Endpoint (Menú | Protección de datos)
•
Administrador de incidentes de DLP y Eventos operativos de DLP (en Menú | Protección de datos)
•
Analizador de eventos de DLP
•
McAfee® Help Desk
Haga clic en Aceptar.
Procedimientos
•
Inicialización de la consola de directivas de McAfee DLP Endpoint en la página 36
La primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint,
se ejecuta un asistente de primera inicialización.
•
Ampliación de la licencia en la página 38
El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la
versión completa de McAfee Data Loss Prevention Endpoint, con dos opciones de licencia
para cada una de ellas: 90 días de prueba y por tiempo ilimitado. La instalación
predeterminada es McAfee Device Control con una licencia de prueba de 90 días.
Inicialización de la consola de directivas de McAfee DLP
Endpoint
La primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint, se ejecuta
un asistente de primera inicialización.
El asistente puede ejecutarse en cualquier momento seleccionando Asistente Inicialización en el menú
Herramientas de la consola de directivas de McAfee DLP Endpoint.
El instalador de Herramientas de administración de McAfee DLP Endpoint y el asistente de inicialización
de la consola de directivas de McAfee DLP Endpoint utilizan tecnología ActiveX. Para evitar que el
instalador sea bloqueado, verifique que esté activado lo siguiente en Internet Explorer Herramientas |
Opciones de Internet | Seguridad | Nivel personalizado:
•
Solicitud automática de los controles de ActiveX
•
Descargar los controles firmados para ActiveX
Procedimiento
1
En ePolicy Orchestrator, seleccione Menú | Protección de datos | Directiva de DLP.
Se ejecuta el instalador de las herramientas de administración de McAfee DLP Endpoint y, tras una
breve demora, aparecerá la ventana de Bienvenida del asistente Instalación de Herramientas de administración
de DLP. Realice los pasos del asistente.
2
Una vez finalizada la instalación de las herramientas de administración de McAfee DLP Endpoint,
comienza la carga de la consola de directivas de McAfee DLP Endpoint. Si ya dispone de una
directiva, se le pedirá que la convierta al nuevo formato. Haga clic en Convertir y vaya al paso 4.
McAfee DLP Endpoint versión 9.3 incorpora varias definiciones de patrones de texto nuevas. Estas
definiciones no se agregan a la directiva durante la conversión. Para agregar estas definiciones
nuevas, utilice el asistente de Sincronización de plantillas.
36
3
Si no existe ninguna directiva anterior, aparecerá el mensaje La directiva global de DLP no está disponible.
Cargando una directiva predeterminada. Haga clic en Aceptar para continuar.
4
Cuando aparezca el mensaje Configuración de agente no disponible. Cargando un agente predeterminado, haga clic
en Aceptar.
Guía del producto
4
5
Cuando aparezca el asistente Primera inicialización de la consola de directivas de McAfee DLP Endpoint,
realice los siguientes pasos:
Opción Descripción
1 de 8
Haga clic en Siguiente.
2 de 8
Normalmente, las reglas de descubrimiento del sistema de archivos le ofrecen la opción
de aplicar una directiva de gestión de derechos, marcar o poner en cuarentena los
archivos confidenciales. A pesar de que no lo recomendamos, puede agregar una opción
Eliminar si selecciona la opción Admitir borrado de descubrimientos en sistema de archivos.
Esta opción no estará disponible hasta que actualice su instalación del software McAfee
Data Loss Prevention Endpoint a la versión completa.
Para la solución de problemas, cuando sea necesario revisar una versión de fácil lectura
de la directiva, seleccione Generar directiva detallada. Para la mayoría de las instalaciones,
recomendamos dejar estas casillas de verificación sin seleccionar.
En organizaciones muy grandes en las que el despliegue de McAfee DLP Endpoint 9,3 se
realice por fases, las versiones anteriores del complemento deben coexistir. Seleccione el
Modo de compatibilidad con versiones anteriores apropiado:
•
Sin compatibilidad (todos los endpoints son de la versión 9.3)
•
McAfee DLP Endpoint Agent 9.2 y posteriores
•
Agente de McAfee DLP Endpoint 9.1 y posterior
Seleccione su protocolo de acceso a directorios: Microsoft Active Directory u OpenLDAP.
Cuando se usa Microsoft AD en organizaciones muy grandes en las que las ocasiones de
búsqueda pueden ser excesivas, seleccione Restringir búsquedas AD al dominio predeterminado.
Cuando haya terminado todos los cambios, haga clic en Siguiente.
3 de 8
Este paso no está disponible al instalar McAfee Device Control
Escriba nombres de usuario para la autorización para la aplicación manual de marcas o
haga clic en uno de los botones para buscar nombres de usuario en Active Directory u
Open LDAP (opcional). Haga clic en Siguiente.
Recomendamos crear un grupo basado en funciones, como DLP Manual Tagging Users, y
que dicho grupo se utilice al configurar Access Control.
4 de 8
Escriba una contraseña y confírmela (obligatorio). En el software McAfee DLP Endpoint
se necesitan contraseñas seguras, es decir, con un mínimo de 8 caracteres y al menos
una mayúscula, una minúscula, un dígito y un carácter especial (símbolo). En caso de
ampliación, esta no se implementará hasta que cambie una contraseña o utilice una
directiva nueva.
Si no desea que se informe a la base de datos de los eventos de generación de clave de
sistemas endpoint, desactive la casilla de verificación. Si desea utilizar cadenas de
desafío/respuesta cortas (de 8 dígitos en lugar de 16), marque la casilla.
5 de 8
Desplácese al recurso compartido de almacenamiento de la lista blanca y, a continuación,
haga clic en Siguiente. Es necesaria la ruta UNC de la lista blanca para aplicar la directiva a
ePolicy Orchestrator. Se muestran los límites de tamaño, pero no se pueden cambiar en
el asistente de Inicialización.
6 de 8
Modifique las opciones del servicio de ventanas emergentes del agente (opcional). Las
funciones gestionadas de ventanas emergentes del agente se muestran pero no se
pueden modificar en el asistente de Inicialización. Se puede configurar la directiva de
Guía del producto
37
4
Opción Descripción
cierre manual o automático de las ventanas emergentes y de bloqueo de código de
autorización.
Modifique los mensajes de notificación predeterminados (opcional). Seleccione los tipos
de evento de uno en uno y escriba el mensaje en el campo de texto. Haga clic en
Siguiente.
6
7 de 8
Desplácese al recurso compartido de almacenamiento de pruebas y, a continuación, haga
clic en Siguiente. Es necesaria la ruta de almacenamiento de pruebas para aplicar la
directiva a ePolicy Orchestrator. Seleccione una cuenta de usuario y una contraseña para
la copia de pruebas (opcional). Defina la opción de Replicación de pruebas necesaria. Haga
clic en Siguiente.
8 de 8
Haga clic en Finalizar.
Responda al mensaje ¿Aplicar la configuración inicial?.
•
Si no ha omitido ninguno de los pasos obligatorios, haga clic en Sí y aplique la directiva inicial.
•
Si ha omitido alguno de los pasos obligatorios, haga clic en No para completar la inicialización.
Se necesita una contraseña y el recurso compartido de almacenamiento de pruebas para completar
la inicialización. Es necesario llevar a cabo los pasos marcados como obligatorios para completar la
directiva. Se pueden omitir durante la inicialización y completarlos posteriormente. Si no ha aplicado
la directiva, seleccione Archivo | Guardar para guardar la directiva en un archivo.
7
Haga clic en Finalizar.
Ampliación de la licencia
El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la versión completa
de McAfee Data Loss Prevention Endpoint, con dos opciones de licencia para cada una de ellas: 90 días
de prueba y por tiempo ilimitado. La instalación predeterminada es McAfee Device Control con una
licencia de prueba de 90 días.
Antes de empezar
Antes de comenzar esta tarea, adquiera su licencia de ampliación y consiga una clave de
activación de su representante de ventas de McAfee.
Procedimiento
1
En la barra de menús de la consola de directivas de McAfee DLP Endpoint, seleccione Ayuda |
Actualizar licencia.
La ventana Ver y actualizar licencia muestra la clave de activación (predeterminada) actual y la fecha de
caducidad.
2
Haga clic en Actualizar.
3
Escriba o pegue la clave de activación en el campo Clave de activación y haga clic en Aplicar.
Aparecerá un mensaje de advertencia indicando que debe iniciar una sesión de nuevo para que
surta efecto el cambio.
38
4
Haga clic en Aceptar para cerrar el cuadro de mensaje y en Cerrar para cerrar la ventana Ver y actualizar
licencia; a continuación, cierre la sesión en ePolicy Orchestrator.
5
Inicie sesión en ePolicy Orchestrator para completar la ampliación.
Guía del producto
6
4
En el menú Configuración de los agentes, seleccione Editar configuración global de los agentes.
a
En la ficha Prueba, configure el Recurso compartido de almacenamiento.
Se necesita un recurso compartido de almacenamiento para la aplicación de la configuración en
ePolicy Orchestrator.
b
En la ficha Seguimiento de archivos, compruebe el Modo de funcionamiento necesario.
Protección de contenido completo y control de dispositivos es la opción predeterminada cuando amplia la
licencia.
c
En la ficha Varios, seleccione los módulos que necesite.
No active módulos que no utilice. Aumentan el tamaño del agente de McAfee DLP Endpoint y
ralentizan el funcionamiento de forma innecesaria.
Puede configurar otras opciones en este momento o aceptar los valores predeterminados y
modificar las opciones más adelante.
7
8
En la barra de herramientas, haga clic en Aplicar.
Los cambios de directiva se aplican a ePolicy Orchestrator.
9
En ePolicy Orchestrator, realice una llamada de activación para desplegar los cambios de directiva
en las estaciones de trabajo.
Incorporación del paquete McAfee DLP Endpoint en ePolicy
Orchestrator
Todos los equipos de la empresa con datos protegidos por software de McAfee deben tener instalado el
McAfee Agent, lo que los convierte en equipos gestionados. Para agregar protección frente a fuga de
datos, debe desplegar también el complemento McAfee DLP Endpoint para McAfee Agent. La
instalación puede realizarse usando la infraestructura de ePolicy Orchestrator.
Procedimiento
1
En McAfee ePolicy Orchestrator, seleccione Menú | Software | Repositorio principal.
2
En el repositorio principal, seleccione Acciones | Incorporar paquete.
3
Seleccione el tipo de paquete Producto o actualización (.ZIP), busque ..\HDLP_Agente_9_3_0_xxx.zip y
haga clic en Siguiente. Aparece la página Incorporar paquete.
4
Revise los detalles de la pantalla y haga clic en Guardar.
El paquete se agrega al repositorio principal.
Guía del producto
39
4
40
Guía del producto
5
La ampliación del software tiene consecuencias sobre la configuración de ePolicy Orchestrator y del
Analizador de eventos
Tras ampliar la suite de software McAfee DLP Endpoint en ePolicy Orchestrator, debe reiniciar el
analizador de eventos deePolicy Orchestrator mediante Herramientas administrativas | Servicios.
Figura 5-1 Reinicio del analizador de eventos
Compatibilidad con versiones anteriores
El software McAfee DLP Endpoint versión 9.3 incluye varios cambios que convierten las directivas en
incompatibles con versiones anteriores del software cliente de McAfee DLP Endpoint. En empresas de
gran tamaño, la ampliación de los agentes de McAfee DLP Endpoint en todos los nodos de estaciones
de trabajo puede llevar varias semanas o incluso meses.
La inicialización de la consola de directivas de McAfee DLP Endpoint versión 9.3 tiene una opción de
compatibilidad con versiones anteriores que, cuando se selecciona, permite la comunicación con
clientes anteriores y nuevos. La compatibilidad con versiones anteriores puede establecerse como "sin
compatibilidad" (solo McAfee DLP Endpoint 9.3), agente de DLP 9.1 y posterior o agente de DLP 9.2 y
posterior.
Guía del producto
41
5
Elementos no admitidos
Si la directiva contiene cualquiera de las opciones siguientes cuando se selecciona el modo de
compatibilidad con versiones anteriores, la directiva no se podrá aplicar a ePolicy Orchestrator. Estos
elementos no admitidos son acumulativos, es decir, en la sección McAfee Data Loss Prevention
Endpoint 9.2 y superior se muestran las funciones de la versión 9.2 no admitidas en la versión 9.1. En
lo que respecta a la compatibilidad con endpoints de la versión 9.1, se aplican las dos secciones.
Tabla 5-1 Elementos no admitidos en el modo de compatibilidad con versiones anteriores
Modo de compatibilidad Elementos no admitidos
Modo de compatibilidad
con versiones anteriores
de McAfee Data Loss
Prevention Endpoint 9,1 y
superior
• Una regla de protección de acceso a archivos de la aplicación, correo
electrónico, sistema de archivos, almacenamiento extraíble o
publicación web contiene una definición de propiedades de documentos
que contiene a su vez una propiedad de nombres de archivos.
• Una regla de protección de acceso a archivos de la aplicación contiene
una acción Almacenar pruebas.
• Una regla de descubrimiento o protección contiene una categoría de
contenido o un grupo de marcas.
• Una regla de protección de acceso a archivos de la aplicación contiene
una definición del tipo de archivo.
• Una directiva contiene una regla de descubrimiento de almacenamiento
de correo electrónico.
• Una regla del Portapapeles limita el pegado en todas las aplicaciones.
• Una directiva contiene una regla de dispositivos TrueCrypt.
Modo de compatibilidad
con versiones anteriores
de McAfee Data Loss
Prevention Endpoint 9.2 y
superior
• Una directiva contiene una definición de servidor o una directiva de
Seclore FileSecure, o una regla de protección restringe una regla al
cifrado de Seclore.
• Una directiva contiene una regla de disco duro fijo o de dispositivos
Citrix.
• Una definición de patrón de texto contiene uno de los validadores
introducidos en la versión 9.3.
• Una regla de protección del portapapeles contiene una definición de
aplicaciones.
• Una regla de acceso de archivos de almacenamiento extraíble contiene
una extensión de archivo.
• Una definición de propiedades de documentos solo contiene un
parámetro de tamaño de archivo.
Consultas y asignaciones de equipos
Las consultas y los paneles se guardan al ampliar el software McAfee DLP Endpoint, siempre que siga
el procedimiento recomendado. Si elimina la extensión existente de Data Loss Prevention antes de
instalar una nueva, se perderán todas las consultas y paneles.
Para personalizar una consulta de muestra, recomendamos utilizar la opción Duplicar, para cambiar el
nombre de la consulta antes de modificarla. Para utilizar las nuevas consultas de muestra de Mis
consultas en un panel, utilice la opción Publicar. Si existe una consulta pública con el mismo nombre,
elimine o cambie el nombre de la consulta pública en primer lugar.
42
Guía del producto
Ampliación del software McAfee DLP Endpoint
5
ePolicy Orchestrator necesita que todos los nombres de las consultas sean exclusivos. La primera vez
que instale el software McAfee DLP Endpoint en ePolicy Orchestrator, se instalarán las consultas de
muestra como Consultas públicas. Para verlas, seleccione Informes | Consultas, y desplace hacia abajo las
consultas que aparecen a la izquierda de la pantalla. Al ampliar McAfee DLP Endpoint, ePolicy
Orchestrator detecta que los nombres de las consultas de muestra ya están en uso y, en su lugar,
instala las muestras en Mis consultas. No obstante, para utilizar una consulta en un panel, debe tratarse
de una consulta pública.
Contenido
Ampliación por fases
Restauración de la directiva después de la ampliación
La ampliación de una versión anterior del software McAfee DLP Endpoint a la versión 9.3 en ePolicy
Orchestrator es similar a una instalación limpia.
Antes de empezar
•
Realice una copia de seguridad de la directiva. En la consola de directivas de McAfee
DLP Endpoint, use el icono Guardar (o Archivo | Guardar) para guardar el archivo
GlobalPolicy.opg en el disco.
•
Cierre la sesión de ePolicy Orchestrator y cierre la ventana del navegador. Desinstale las
herramientas de administración de McAfee DLP Endpoint desde el Panel de control de
Windows.
Si quiere poder ver eventos anteriores en Administrador de incidentes de DLP, no elimine la extensión
de McAfee DLP Endpoint existente en ePolicy Orchestrator. Al quitar la extensión, se quitan todos los
eventos de la base de datos de DLP.
Procedimiento
1
En ePolicy Orchestrator, seleccione Menú | Software | Extensiones.
2
Haga clic en Instalar extensión y, acto seguido, haga clic en Examinar y seleccione el archivo .zip del
administrador de directivas de McAfee DLP Endpoint (..\HDLP_extension_9_3_0_xxx.zip). Haga clic
en Abrir y, a continuación, haga clic dos veces en Aceptar.
Si está realizando la instalación sin eliminar la extensión anterior, aparecerá una advertencia para
indicarle que la nueva extensión sustituirá a la existente. Haga clic en Aceptar.
La extensión queda instalada y aparece en la lista de extensiones.
3
Cierre sesión en ePolicy Orchestrator y, a continuación, vuelva a iniciar sesión.
Si no hace esto, es posible que no funcionen las nuevas funciones no compatibles con la versión
previamente instalada.
4
En Herramientas administrativas | Servicios de Windows, compruebe que elMcAfee ePolicy Orchestrator
Analizador de eventos tenga el estado Iniciado.
El Analizador de eventos normalmente se inicia de forma automática (salvo en las ampliaciones),
pero no es mala idea comprobarlo.
Guía del producto
43
5
Una ampliación correcta al software McAfee Data Loss Prevention Endpoint versión 9,3 desde una
versión anterior requiere seguir un procedimiento por fases que tiene en cuenta muchas variables.
Implica también el cumplimiento de ciertos requisitos previos.
Antes de comenzar
Antes de comenzar una ampliación, deberá hacer lo siguiente:
•
Compruebe que todos los equipos estén listos para la ampliación. Puede comprobar la
versión de cliente de los equipos en la red en el panel DLP: Panel Resumen de estado de McAfee
ePolicy Orchestrator. Busque en el informe DLP: Versión del agente para asegurarse de que todas las
versiones del producto sean McAfee DLP 9.1 o posterior.
Amplíe todos los clientes de McAfee DLP Endpoint a McAfee Data Loss Prevention 9.1 o posterior. No
se admiten versiones de clientes anteriores.
•
Realice una copia de seguridad de la directiva de DLP actual. La grabación de la directiva en
un disco permite convertir la directiva en el nuevo formato para reutilizarla. Puede crear una copia
de seguridad de la directiva desde la consola de directivas de McAfee DLP Endpoint. La opción
Guardar como del menú Archivo guarda la directiva en el formato .opg.
•
Guarde la configuración del agente y los grupos de asignación de equipos. Puede guardar
la configuración del agente y los grupos de asignación de equipos desde la página Menú | Directiva |
Catálogo de directivas de McAfee ePolicy Orchestrator. Seleccione el producto (Data Loss Prevention x.x.0.0) y
la categoría (Grupo de asignación de equipos o Configuración de los agentes) en las listas desplegables y edite
la selección. En la página Editar, puede seleccionar Guardar en archivo y especificar un destino para el
archivo de la copia de seguridad.
Figura 5-2 Salvaguarda de la configuración de los agentes
44
Guía del producto
5
Tras ampliar el software McAfee DLP Endpoint, debe restaurar la directiva de DLP, los grupos de
asignación de equipos y las configuraciones de agentes de la anterior instalación.
Instale e inicialice la consola de directivas de McAfee DLP Endpoint. Consulte las secciones Ampliación
del software McAfee Data Loss Prevention Endpoint e Inicialización de la consola de directivas de
McAfee DLP Endpoint de este manual. Una vez finalizada la instalación básica, continúe con este
procedimiento.
Procedimiento
1
2
Restaure la directiva.
a
Inicie la consola de directivas de McAfee DLP Endpoint, seleccione Archivo | Abrir, y localice el
lugar donde guardó la copia de seguridad de la directiva de DLP anterior.
b
Cuando se le indique, haga clic en Convertir para convertirla.
c
Seleccione Herramientas | Opciones y verifique en la sección Modo de compatibilidad con versiones anteriores
que la versión necesaria esté seleccionada.
d
Haga clic en Aplicar para guardar la directiva en McAfee ePolicy Orchestrator.
Restaure los grupos de asignación de equipos.
a
En ePolicy Orchestrator, seleccione Directiva | Catálogo de directivas. En la lista desplegable Producto,
seleccione las directivas de Data Loss Prevention 9.3.0.0.
b
En la lista desplegable Categoría, seleccione Grupo de asignación de equipos.
c
Seleccione Acciones | Nueva directiva, escriba el nombre de la directiva y cree una nueva directiva
de grupo de asignación de equipos.
d
Haga clic en Cargar de archivo y vaya al archivo de copia de seguridad del grupo de asignación de
equipos.
Figura 5-3 Restauración de la configuración del grupo de asignación de equipos
3
Restaurar la configuración de los agentes
a
En ePolicy Orchestrator seleccione Sistema | Catálogo de directivas. En la lista desplegable Producto,
seleccione las directivas de Data Loss Prevention 9.3.0.0.
b
En la lista desplegable Categoría, seleccione Configuración de los agentes.
Guía del producto
45
5
c
Escriba un nombre y cree una configuración de los agentes.
d
Haga clic en Cargar desde un archivo y vaya al archivo de copia de seguridad de la configuración de
los agentes.
Véase también
Inicialización de la consola de directivas de McAfee DLP Endpoint en la página 36
46
Guía del producto
6
Las directivas de McAfee DLP Endpoint las implementa el softwareMcAfee Agent en los equipos de
endpoint.
El primer paso es el despliegue del software cliente de McAfee DLP Endpoint, un complemento de
McAfee Agent, a los endpoints.
Contenido
Despliegue del software cliente
Despliegue de directivas con ePolicy Orchestrator
El despliegue del software cliente de McAfee DLP Endpoint es el paso final de la instalación del
software y el primer paso del despliegue de directivas.
Procedimientos
•
Definición de una regla predeterminada en la página 47
Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,
recomendamos definir una regla predeterminada antes de desplegarlo en los equipos
gestionados.
•
Despliegue del cliente de McAfee DLP Endpoint con ePolicy Orchestrator en la página 48
Antes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en
los equipos de endpoint mediante ePolicy Orchestrator.
•
Verificación de la instalación en la página 50
Después de instalar el software McAfee DLP Endpoint, debe verificar la instalación en la
consola de Eventos operativos de DLP.
Definición de una regla predeterminada
Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,
recomendamos definir una regla predeterminada antes de desplegarlo en los equipos gestionados.
La regla descrita es un ejemplo de una regla sencilla que se puede utilizar para probar el sistema.
Guía del producto
47
6
Procedimiento
Para ver las definiciones de las opciones, pulse F1.
1
2
3
Cree una regla de clasificación:
a
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de
contenido, seleccione Reglas de clasificación.
b
Haga clic con el botón derecho del ratón en la ventana Reglas de clasificación y seleccione Nuevo |
Regla de clasificación de contenido. Cambie el nombre de la regla Regla de clasificación de correo
electrónico.
c
Haga doble clic en el icono de la regla para modificarla.
d
En el paso 1 del asistente para la creación de reglas, seleccione cualquiera de las opciones (ANY
o ALL), desplácese por los patrones de texto y seleccione Dirección de correo electrónico. Haga clic en
Siguiente tres veces y omita el paso 4.
e
En el paso 4 del asistente para la creación de reglas, haga clic en Nuevo para crear una nueva
categoría. Escriba Categoría de correo electrónico como nombre, haga clic en Aceptar para
validar la categoría nueva; a continuación, haga clic en Finalizar.
f
Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar.
Cree una regla de protección:
a
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de
contenido, seleccione Reglas de protección.
b
Haga clic con el botón derecho del ratón en la ventana Reglas de protección y seleccione Nuevo | Regla
de protección de almacenamiento extraíble.
c
Haga doble clic en el icono de la regla para modificarla.
d
Haga clic en el paso 2 del asistente para la creación de reglas y agregue la Categoría de correo
electrónico creada al crear la regla de clasificación en la columna Incluido.
e
Haga clic en el paso 7 del asistente para la creación de reglas. Seleccione Supervisor y haga clic
en Finalizar.
f
Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar.
En el menú Herramientas, seleccione Ejecutar Analizador de directivas. Debe recibir advertencias, pero no
errores.
Si recibe errores, probablemente sean debidos a una inicialización incorrecta, por ejemplo a no
haber especificado una carpeta de pruebas o una contraseña de omisión. Puede volver a ejecutar la
inicialización desde el menú Herramientas para corregir esto.
4
En la barra de herramientas, haga clic en Aplicar. La directiva se aplica a McAfee ePolicy
Orchestrator.
Despliegue del cliente de McAfee DLP Endpoint con ePolicy
Orchestrator
Antes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en los equipos
de endpoint mediante ePolicy Orchestrator.
Antes de empezar
Debe instalarse una versión actual de McAfee Agent enePolicy Orchestrator y desplegarse
en los equipos de destino antes de desplegarMcAfee DLP Endpoint.
48
Guía del producto
•
Para ePolicy Orchestrator 4.5, instale McAfee Agent 4.5 Parche 4 o posterior.
•
Para ePolicy Orchestrator 4.6, instale McAfee Agent 4.6 Parche 2 o posterior.
•
Para ePolicy Orchestrator 5.0, instale McAfee Agent 4.8 o posterior.
6
Consulte la documentación de McAfee ePolicy Orchestrator para obtener información acerca
de cómo comprobarlo e instalarlo en caso necesario.
Procedimiento
1
En ePolicy Orchestrator, seleccione Menú | Árbol de sistemas.
2
En el Árbol de sistemas, seleccione el nivel en el que desea desplegar McAfee DLP Endpoint.
Al dejar el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas por
McAfee ePolicy Orchestrator.
Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponibles
aparecerán en el panel derecho. También puede desplegar McAfee DLP Endpoint en las estaciones
de trabajo individuales.
3
Abra el asistente de Generador de tareas cliente:
•
En ePolicy Orchestrator 4.5, haga clic en la ficha Tareas cliente. Seleccione Acciones | Nueva tarea.
•
En ePolicy Orchestrator 4.6 y 5.0, haga clic en la ficha Tareas cliente asignadas. Seleccione Acciones |
Nueva asignación de tarea cliente.
Se abre el asistente de Generador de tareas cliente.
4
5
Rellene los campos del generador de tareas:
•
En ePolicy Orchestrator 4.5, en el campo Tipo, seleccione Despliegues de producto. Haga clic en
Siguiente. En el campo Nombre, escriba un nombre apropiado, por ejemplo, Install DLP
Endpoint. Escriba una descripción (opcional).
•
En ePolicy Orchestrator 4.6 y 5.0, en el campo Producto, seleccione McAfee Agent. En el campo Tipo
de tarea, seleccione Despliegue de producto. Haga clic en Crear nueva tarea.
En el campo Productos y componentes, seleccione Data Loss Prevention 9.3.0.xx. El campo Acción se restablece
de forma automática a Instalar.
Si está instalando el cliente de McAfee DLP Endpoint para el servidor Citrix, escriba lo siguiente en
la línea de comandos:
SERVICE_USER=<user_name> SERVICE_PASSWORD=<password>
El usuario del servicio debe definirse como Administrador Citrix (en Consola de administración de acceso
Citrix | Servidor de presentación | Nombre del servidor | Administradores ), y debe ser un administrador local en
el servidor Citrix.
6
7
Complete el generador de tareas:
•
En ePolicy Orchestrator 4.5, haga clic en Siguiente.
•
En ePolicy Orchestrator 4.6 y 5.0, haga clic en Guardar.
Cambie el Tipo de planificación a Ejecutar inmediatamente. Haga clic en Siguiente.
Guía del producto
49
6
8
Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. La
tarea queda programada para la siguiente vez que McAfee Agent actualice la directiva. Para que la
instalación se realice inmediatamente, realice una llamada de activación del agente.
9
Una vez desplegado McAfee DLP Endpoint, reinicie los equipos gestionados.
Verificación de la instalación
Después de instalar el software McAfee DLP Endpoint, debe verificar la instalación en la consola de
Eventos operativos de DLP.
Procedimiento
1
Seleccione Menú | Protección de datos | Eventos operativos de DLP. Haga clic en un evento para ver los
detalles.
Figura 6-1 Panel de detalles de Eventos operativos de DLP
2
Compruebe la instalación del software cliente de McAfee DLP Endpoint desde el icono de la bandeja
del sistema McAfee en el equipo de endpoint seleccionando Acerca. Desplácese por la información
para McAfee DLP Endpoint.
Las directivas de McAfee DLP Endpoint contienen definiciones, reglas, grupos de asignación y
configuración de los agentes. En primer lugar, se aplica (guarda) una directiva en el servidor de
ePolicy Orchestrator y, a continuación, se asigna (despliega) en los endpoints.
McAfee DLP Endpoint funciona con tres directivas:
•
Directiva DLPE
•
Configuración de los agentes
•
Grupo de asignación de equipos
La directiva DLPE se crea en la consola de directivas de McAfee DLP Endpoint; la configuración de
agentes y el grupo de asignación de equipos se crea en ePolicy Orchestrator.
A cada una de estas directivas se les asigna el número de revisión 1 en el momento de su creación y
el número incrementa cada vez que se modifica la directiva. El número de revisión es importante para
los procesos de solución de problemas de compatibilidad ya que garantiza que los cambios que se
realizan en las directivas se aplican realmente en los equipos de endpoint. También se utiliza a la hora
50
Guía del producto
6
de solicitar la omisión de agente o desinstalar la clave. Tanto la consola de directivas de McAfee DLP
Endpoint en el ePolicy Orchestrator y la consola de DLP Endpoint en el equipo cliente muestran los
números de revisión de la directiva actual.
Antes de aplicar una directiva, compruebe que:
•
Todos los parámetros estén configurados correctamente.
•
Todas las reglas estén activadas.
•
Haya grupos de asignación de usuarios (en su caso) asignados a cada regla.
•
La configuración de agente y los grupos de asignación de equipos se asignen a los grupos y
equipos relevantes en el Catálogo de directivas de ePolicy Orchestrator.
Procedimientos
•
Aplicación de la directiva del sistema en la página 51
Cuando se completa una directiva, es necesario aplicarla a ePolicy Orchestrator. A
continuación se despliega en los equipos gestionados que aplican la directiva.
•
Asignación de una directiva o de la configuración de los agentes en la página 52
Las directivas aplicadas a ePolicy Orchestrator se deben asignar y desplegar en los equipos
gestionados para poder hacer uso de ellas.
•
Importación de directivas y edición de descripciones de directivas en la página 52
Utilice estas tareas para importar directivas desde ePolicy Orchestrator o para modificar
descripciones de directivas.
•
Actualización de la directiva en la página 53
Generalmente, el despliegue de la directiva del sistema se basa en el servidor de ePolicy
Orchestrator, y la actualización de la directiva en el equipo gestionado se realiza según la
configuración de McAfee Agent. No obstante, la actualización de la directiva puede
realizarse bajo demanda.
Aplicación de la directiva del sistema
Cuando se completa una directiva, es necesario aplicarla a ePolicy Orchestrator. A continuación se
despliega en los equipos gestionados que aplican la directiva.
Procedimiento
1
En ePolicy Orchestrator, seleccione Menú | Protección de datos | Directiva de DLP.
2
Compruebe la directiva antes de aplicarla: seleccione Herramientas | Ejecutar Analizador de directivas.
Las directivas se pueden aplicar a ePolicy Orchestrator con advertencias, pero no si contienen
errores. Si detecta errores, resuelva los problemas que los provocan o personalice las opciones del
Analizador de directivas. Si utiliza la opción de compatibilidad con versiones anteriores y una
directiva contiene una función incompatible con versiones anteriores del agente, se generará un
error. Consulte Problemas de ampliación en esta guía para ver una lista de funciones incompatibles.
3
En el menú Archivo de la consola de directivas de McAfee DLP Endpoint, seleccione Aplicar a ePO.
Aparecerá la ventana Aplicando a ePO.
Si ha activado la barra de estado del navegador, verá el mensaje "Validación realizada".
La directiva se guarda en la base de datos de ePolicy Orchestrator y se genera un evento
administrativo.
Guía del producto
51
6
Asignación de una directiva o de la configuración de los
agentes
Las directivas aplicadas a ePolicy Orchestrator se deben asignar y desplegar en los equipos
gestionados para poder hacer uso de ellas.
Procedimiento
1
En ePolicy Orchestrator, haga clic en Árbol de sistemas.
2
Localice el directorio que contenga los equipos a los que se vaya a asignar una directiva y
selecciónelos.
3
Seleccione Acciones | Agente | Activar agentes.
4
Seleccione Llamada de activación del agente y defina el valor de Ejecución aleatoria en 0 minutos. Haga clic en
Aceptar.
5
Cuando haya finalizado la llamada de activación del agente, volverá al árbol de sistemas. Vuelva a
seleccionar los equipos a los que se asignará una directiva y haga clic en Acciones | Agente | Definir la
directiva y la herencia.
6
En la página Asignar directiva, seleccione el Producto, la Categoría y la Directiva para su aplicación.
7
Haga clic en Guardar.
Importación de directivas y edición de descripciones de
directivas
Utilice estas tareas para importar directivas desde ePolicy Orchestrator o para modificar descripciones
de directivas.
Procedimientos
•
Importación de una directiva desde ePolicy Orchestrator en la página 52
La última directiva aplicada a ePolicy Orchestrator se puede importar a la consola de
directivas de McAfee DLP Endpoint. Esto suele hacerse cuando se actualiza la consola de
directivas o en cualquier momento que se desee descartar los cambios y restaurar una
directiva anterior.
•
Edición de la descripción de una directiva en la página 53
Los campos correspondientes al nombre y la descripción de una directiva se pueden editar
y se accede a ellos mediante el menú Archivo de la consola.
Importación de una directiva desde ePolicy Orchestrator
La última directiva aplicada a ePolicy Orchestrator se puede importar a la consola de directivas de
McAfee DLP Endpoint. Esto suele hacerse cuando se actualiza la consola de directivas o en cualquier
momento que se desee descartar los cambios y restaurar una directiva anterior.
Procedimiento
52
1
Desde el menú Archivo de la consola de directivas de McAfee DLP Endpoint, seleccione Importar directiva
desde ePO.
2
Haga clic en Sí en la ventana de confirmación.
Guía del producto
6
Edición de la descripción de una directiva
Los campos correspondientes al nombre y la descripción de una directiva se pueden editar y se accede
a ellos mediante el menú Archivo de la consola.
Procedimiento
1
En el menú de la consola de directivas de McAfee DLP Endpoint, seleccione Archivo | Editar descripción
de directiva.
2
Edite el nombre y la descripción de la directiva en la ventana Directiva de seguridad.
3
Actualización de la directiva
Generalmente, el despliegue de la directiva del sistema se basa en el servidor de ePolicy Orchestrator,
y la actualización de la directiva en el equipo gestionado se realiza según la configuración de McAfee
Agent. No obstante, la actualización de la directiva puede realizarse bajo demanda.
Utilice esta tarea para actualizar una directiva en ePolicy Orchestrator sin esperar a la actualización
planificada.
Procedimiento
1
En el árbol de sistemas de ePolicy Orchestrator, seleccione el equipo o los equipos que desea
actualizar.
2
Haga clic en Más acciones | Activar agentes.
3
Seleccione el tipo de llamada de activación del agente y defina el valor de Ejecución aleatoria en 0
minutos. Haga clic en Aceptar.
El servidor de ePolicy Orchestrator actualiza las directivas de forma planificada. Los usuarios de los
equipos gestionados no actualizan las directivas de forma manual a menos que se les solicite de
forma expresa.
Guía del producto
53
6
54
Guía del producto
Esta sección trata sobre la configuración del sistema y la creación de
directivas.
Tras la instalación, se configura el software para lograr un uso optimizado en
el entorno empresarial. A continuación, se crean directivas basadas en las
decisiones de gestión sobre que contenido debe protegerse y cual es el
mejor modo para protegerlo.
Para las nuevas instalaciones, recomendamos un período de recopilación de
información durante el que las reglas se configuran en Supervisaren lugar de
Bloquear, y se recopilan los datos que van a ayudar en el proceso de toma de
decisiones.
Capítulo
Capítulo
Capítulo
Capítulo
7
8
9
10
Guía del producto
55
56
Guía del producto
7
Configuración de los componentes del
sistema
Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de su
empresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistema
para proteger la información confidencial de la empresa de forma eficaz.
Puede configurar y ajustar las siguientes opciones y componentes:
•
Configuración de los agentes: envía al software cliente de McAfee DLP Endpoint toda la
información relevante sobre las ubicaciones de almacenamiento de los eventos, las notificaciones
personalizadas de los usuarios, las limitaciones y ubicaciones del contenido en lista blanca, los
parámetros de rastreo de archivos, la configuración de inicio de sesión en Microsoft Outlook y las
selecciones de módulos de los agentes.
•
Opciones del sistema: permite definir la configuración del Analizador de directivas, las opciones
de registro del sistema y las opciones de impresión de informes del sistema.
Contenido
Configuración de operación en modo seguro
El software del cliente de McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa
y ejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afecten
a todo tipo de contenido de carácter confidencial. La configuración de los agentes se almacena en la
directiva, que se despliega en los equipos gestionados.
A fin de definir el comportamiento del software McAfee DLP Endpoint y otros componentes del sistema
en los equipos gestionados, haga clic en Configuración de los agentes en la barra de herramientas de la
consola de directivas de McAfee DLP Endpoint. La configuración se almacena en la directiva, la cual se
despliega en los equipos gestionados mediante ePolicy Orchestrator. Si se actualiza la configuración,
es necesario volver a desplegar la directiva.
Para configurar el software cliente para una protección completa en Modo seguro, defina la
funcionalidad en la ficha Configuración de los agentes | Configuración avanzada. Esta opción esta desactivada de
forma predeterminada.
Vigilancia del servicio del agente
Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso de
interferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominado
Vigilancia del servicio del agente (ASWD). Este servicio supervisa el software McAfee DLP Endpoint y lo
reinicia si interrumpe su ejecución por cualquier motivo. Vigilancia del servicio del agente está
Guía del producto
57
7
activado de forma predeterminada. Si desea comprobar que Vigilancia del servicio del agente se está
ejecutando, busque en los procesos del Administrador de tareas de Windows un servicio denominado
fcagswd.exe.
Aplicación de la configuración global de los agentes
La configuración global de los agentes se aplica desde la consola de directivas de McAfee DLP
Endpoint.
Procedimiento
•
Seleccione Configuración de los agentes | Aplicar configuración global de los agentes. Aparecerá la ventana
Configuración de los agentes con la barra de progreso a medida que se aplica la configuración a ePolicy
Orchestrator.
Importación de la configuración global de los agentes
La importación de la configuración global de los agentes se lleva a cabo desde la consola de directivas
de McAfee DLP Endpoint.
Procedimiento
1
Seleccione Configuración de los agentes | Importar configuración global de los agentes desde ePO.
2
Haga clic en Sí para confirmar.
Restablecimiento de los valores de configuración de los agentes
Los valores de configuración de los agentes se configuran desde la consola de directivas de McAfee
DLP Endpoint.
Procedimiento
1
En el menú Configuración de los agentes, seleccione Restablecer valores de configuración de los agentes.
2
Haga clic en Sí para restaurar los valores predeterminados.
El software McAfee DLP Endpoint es totalmente funcional cuando se inicia el equipo en modo seguro.
La funcionalidad está desactivada de manera predeterminada, pero se puede activar en la ficha
Configuración de los agentes | Configuración avanzada.
Un evento administrativo, Usuario conectado en modo seguro, puede aparecer en la consola de Eventos
operativos de DLP al seleccionar una opción en la ficha Configuración de los agentes | Eventos y registro.
Procedimiento
58
1
En la consola de directivas de McAfee DLP Endpoint, seleccione Configuración de los agentes | Editar
configuración global de los agentes.
2
Haga clic en la ficha Configuración avanzada.
Guía del producto
3
7
Seleccione Activar la funcionalidad completa de DLP en modo seguro y cambie la configuración a Activada.
La funcionalidad completa de McAfee DLP Endpoint ahora está disponible en modo seguro, y no
solo en modo vigilancia, como en las versiones anteriores. Existe un mecanismo de recuperación en
caso de que McAfee DLP Endpoint sea la causa del error de inicio.
4
Guía del producto
59
7
60
Guía del producto
8
McAfee DLP Endpoint proporciona distintos modos de clasificar el contenido de carácter confidencial.
Las distintas clasificaciones facilitan la creación de reglas de protección y marcado diferenciadas para
controlar tipos de contenido distintos mediante una diversidad de métodos.
Contenido
Clasificación por contenido
Clasificación por ubicación de archivo
Clasificación por destino de archivo
Clasificación en uso
Los documentos se pueden clasificar mediante la definición del contenido de carácter confidencial que
desea proteger o según las propiedades del documento.
Utilización de diccionarios para clasificar el contenido
Un diccionario es una recopilación de palabras clave o de frases clave donde cada entrada tiene un
peso asignado. Las reglas de clasificación del contenido utilizan diccionarios específicos para clasificar
un documento si se supera el umbral definido (peso total), es decir, si un número de palabras
suficiente del diccionario aparece en el documento.
La diferencia entre una entrada del diccionario y una cadena en una definición de patrón de texto es el
peso asignado. Una regla de marcado del patrón de texto de cadena siempre marca el documento si la
frase está presente. Una regla de marcado de diccionarios ofrece más flexibilidad, ya que permite
establecer un umbral, lo que hace que la regla sea relativa. Los pesos asignados pueden ser negativos
o positivos. Esta característica permite buscar palabras o frases en presencia de otras palabras o
frases.
Además de la capacidad de crear sus propios diccionarios, McAfee DLP Endpoint incluye varios
diccionarios integrados con términos que se usan con frecuencia en los sectores sanitario, bancario,
financiero, etc.
Los diccionarios se pueden crear (y editar) de forma manual o mediante la función de copiar y pegar
desde otros documentos.
Limitaciones
En esta sección se describe el diseño de la función de diccionario y algunas de las limitaciones que
este diseño presenta. Los diccionarios se guardan en formato Unicode (UTF‑8) y, por tanto, se pueden
escribir en cualquier idioma. Las siguientes descripciones son específicas para los diccionarios escritos
en inglés. Los demás idiomas funcionan de manera parecida, aunque es posible que en determinados
idiomas se produzcan problemas imprevistos.
Guía del producto
61
8
La coincidencia de diccionarios tiene las siguientes características:
•
No distingue entre mayúsculas y minúsculas.
•
Puede buscar coincidencias con subcadenas o frases completas.
•
Hace coincidir las frases, incluidos los espacios.
Si se especifica la coincidencia con subcadenas, se recomienda tener precaución al introducir palabras
cortas debido a la posible aparición de falsos positivos. Por ejemplo, la entrada de diccionario "sal"
indicaría tanto "saltar" como "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de
coincidencia con toda la frase o use frases improbables desde el punto de vista estadístico a fin de
obtener los mejores resultados. Otra fuente de falsos positivos son las entradas parecidas. Por
ejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portability and
Accountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si el
segundo término aparece en un documento, se obtendrán dos resultados (uno para cada entrada), por
lo que la calificación total estará sesgada.
Creación de un diccionario
Las definiciones del diccionario se pueden utilizar para definir reglas de clasificación de contenido.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadas
en el contenido, seleccione Diccionarios.
Los diccionarios disponibles aparecerán en el panel de la derecha.
2
En la ventana Diccionarios, haga clic con el botón derecho del ratón y seleccione Nuevo | Diccionario.
Aparecerá el icono del nuevo Diccionario.
3
Asigne un nombre al diccionario nuevo y haga doble clic en el icono.
4
(Opcional) Introduzca una descripción opcional.
5
Para crear una nueva entrada:
•
Haga clic en Agregar para crear un nuevo cuadro de texto. Escriba la nueva palabra o frase en el
cuadro de texto.
El peso predeterminado se añade como "1".
•
6
Para cambiar el peso predeterminado, seleccione el número y edítelo.
Si desea importar entradas de otros documentos:
•
Una única entrada: haga clic en Importar entradas.
•
Varias entradas: establezca un documento de origen con una entrada por línea y las líneas
separadas por un único retorno de carro.
Se abre una ventana de texto que permite copiar y pegar entradas. La ventana de texto está
limitada a 10.000 líneas de 50 caracteres cada una.
62
Guía del producto
8
7
Para que se tenga en cuenta cada una de las veces que aparece un término en el texto en la
calificación total, marque la casilla de verificación Número de entradas múltiples.
El comportamiento predeterminado es que los términos se cuenten una sola vez,
independientemente del número de veces que aparecen en el documento.
8
Anule la selección de la opción Coincidir sólo expresión completa si desea que se tengan en cuenta las
subcadenas.
El comportamiento predeterminado es tener en cuenta sólo las frases completas, ya que esto
tiende a reducir los falsos positivos.
Clasificación del contenido con propiedades de documentos o
extensiones de archivos
Las definiciones de propiedades de documento clasifican el contenido mediante valores de metadatos
predefinidos. Las definiciones de extensiones de archivos clasifican el contenido según la extensión del
nombre de archivo.
Propiedades de documento
Las propiedades de documento pueden recuperarse de cualquier documento de Microsoft Office. Se
utilizan en reglas de protección, así como en reglas de descubrimiento. La propiedad Fecha de
creación tiene opciones de fecha exacta y relativa (el documento se guarda más de X días).
Para la mayoría de propiedades, se permiten coincidencias parciales. Esta función está presente en la
versión McAfee Device Control del software, donde constituye un filtro opcional en las reglas de
protección de almacenamiento extraíble, así como en la versión completa de McAfee DLP Endpoint.
También se incluye como una ficha en el asistente de Sincronización de plantillas. Existen tres tipos de
propiedades de documento.
•
Propiedades predefinidas: propiedades estándar, como el autor y el título.
•
Propiedades definidas por el usuario: propiedades personalizadas agregadas a los metadatos
del documento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad definida
por el usuario puede hacer referencia a un tipo de documento estándar que no se encuentra en la
lista de propiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista.
•
Cualquier propiedad: permite la definición de una propiedad por un valor. Esta función resulta
útil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedad
incorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valor
Secreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabra
Secreta en al menos una propiedad.
La propiedad de documento Nombre de archivo se aplica a todos los tipos de archivos, no sólo a los
documentos de Microsoft Office. Se emplea la coincidencia exacta de forma predeterminada, pero se
puede configurar como coincidencia parcial.
Extensiones de archivos
Las definiciones de extensión de archivo se utilizan en reglas de protección, descubrimiento y marcado
para aumentar la granularidad. Se incluye una lista predefinida de extensiones y se pueden agregar
nuevas definiciones. Los grupos de extensiones de archivos se pueden utilizar para simplificar reglas
mediante la definición, por ejemplo, de todos los formatos de archivo de gráficos como una sola
definición.
Definiciones de patrones de texto
Las reglas de marcado y las reglas de clasificación de contenido emplean patrones de texto para
clasificar los datos según palabras o patrones específicos. Pueden identificar cadenas conocidas, como
Información confidencial o Sólo para uso interno, o bien expresiones regulares (Regex), que permiten
Guía del producto
63
8
una coincidencia con patrones más complejos, como números de la seguridad social o números de
tarjetas de crédito.
Los patrones de texto de expresiones regulares empiezan y terminan por \b de forma
predeterminada. Se trata de la notación Regex estándar para la separación de palabras. Por tanto, la
coincidencia con patrones es ahora, de forma predeterminada, de palabras completas (a fin de reducir
los falsos positivos).
Los patrones de texto pueden incluir un validador, un algoritmo utilizado para probar expresiones
regulares. El uso del validador adecuado puede reducir significativamente los falsos positivos.
Los patrones de texto pueden marcarse como confidenciales. Los archivos que contienen patrones
confidenciales se cifran en pruebas con resaltado de coincidencias.
Si se usan varios patrones de texto para buscar contenido similar, se pueden emplear grupos de
patrones de texto protegidos para asociar varios patrones a un solo grupo. De esta forma, se
simplifica la creación de categorías de contenido si se han definido muchos patrones de texto.
Si se especifican un patrón incluido y un patrón excluido, tiene prioridad el patrón excluido. De esta
forma, se puede especificar una regla general y agregar excepciones sin tener que volver a escribir la
regla general.
Clasificación de contenido con patrones de texto
Es posible utilizar patrones de texto a modo de definiciones individuales o de grupos de patrones de
texto. El software McAfee DLP Endpoint dispone de una función que comprueba la precisión de los
patrones de texto antes de su uso.
Utilice estas tareas para clasificar el contenido mediante patrones de texto.
Procedimientos
•
Creación de un patrón de texto en la página 64
Se pueden usar patrones de texto para definir las reglas de clasificación de contenido. Una
definición de patrón de texto puede constar de un único patrón o una combinación de
patrones incluidos y excluidos.
•
Comprobación de un patrón de texto en la página 66
Antes de utilizar un patrón de texto en una regla, debería comprobarlo para ver si identifica
el texto deseado y no produce falsos positivos.
•
Creación de un grupo de patrones de texto en la página 67
Es posible crear grupos de patrones de texto a partir de patrones de texto existentes. El
uso de grupos de patrones de texto simplifica las reglas cuando se requieren diversos
patrones de texto, a la vez que mantiene la granularidad de los patrones de texto
independientes.
Creación de un patrón de texto
Se pueden usar patrones de texto para definir las reglas de clasificación de contenido. Una definición
de patrón de texto puede constar de un único patrón o una combinación de patrones incluidos y
excluidos.
Muchos de los patrones de texto, aunque no todos, se definen mediante expresiones regulares (regex).
La definición de las expresiones regulares queda fuera del alcance de este documento. Existe una gran
cantidad de tutoriales acerca de las expresiones regulares en Internet en los que puede obtener más
información acerca de este tema.
64
Guía del producto
8
Procedimiento
1
en el contenido, seleccione Patrones de texto.
Los patrones de texto disponibles aparecerán en el panel de la derecha.
2
En la ventana Patrones de texto, haga clic con el botón derecho del ratón y seleccione Nuevo | Patrón de
texto.
Aparecerá el icono del nuevo patrón de texto.
3
Asigne un nombre al nuevo patrón de texto y haga doble clic en el icono.
Figura 8-1
Cuadro de diálogo Patrón de texto
4
Agregue una descripción (opcional).
5
En Patrones incluidos, haga lo siguiente:
a
Seleccione el método de reconocimiento de patrones (Todos o Cualquiera).
b
Haga clic en Agregar para definir el nuevo patrón y, a continuación, introduzca la cadena de texto.
Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos y
pegarlos en la definición mediante Importar entradas.
c
Seleccione Es una expresión regular si la cadena es una expresión regular.
Guía del producto
65
8
6
d
Si selecciona Es una expresión regular, seleccione un validador adecuado (opcional). El valor
predeterminado es Sin validaciones.
e
En Umbral, especifique el número de veces que debe encontrarse el patrón en los datos para que
se considere una coincidencia. Por ejemplo, se puede considerar aceptable encontrar una tarjeta
de crédito en un mensaje de correo electrónico, pero si se agrega un umbral de 5, se necesitan
como mínimo cinco coincidencias del patrón de tarjeta de crédito.
En Patrones excluidos, haga lo siguiente:
a
Haga clic en Agregar para agregar un patrón de exclusión y, a continuación, especifique las
cadenas de texto que el sistema ignorará cuando las encuentre.
b
Seleccione Es una expresión regular si la cadena es una expresión regular.
c
Si selecciona Es una expresión regular, seleccione un validador adecuado (opcional). El valor
predeterminado es Sin validaciones.
d
En Umbral, agregue el número de veces que debe encontrarse el patrón para que se considere
una coincidencia.
e
Comprobación de un patrón de texto
Antes de utilizar un patrón de texto en una regla, debería comprobarlo para ver si identifica el texto
deseado y no produce falsos positivos.
Antes de empezar
Cree una nueva definición de patrón de texto o agregue un nuevo elemento a una
definición existente. No es necesario guardar la definición antes de realizar la prueba.
Procedimiento
66
1
) del elemento que se va a
En la definición de patrón de texto, haga clic en el botón Editar (
probar. Aparecerá el cuadro de diálogo de prueba con el texto de búsqueda o la expresión regular
en el cuadro de texto Modelo .
2
En caso de ser necesario, seleccione la casilla de verificación Expresión regular y seleccione un método
de validación en la lista desplegable.
Guía del producto
3
8
Escriba algunos patrones de prueba en el cuadro de texto Prueba y haga clic en Comprobar.
Aparecerán las coincidencias y las coincidencias validadas.
Figura 8-2 Comprobación de un patrón de tarjeta de crédito
Si realiza cambios o adiciones en el texto del cuadro Prueba, debe volver a hacer clic en Comprobar
para realizar la prueba de nuevo.
4
Si los resultados no son aceptables, modifique el patrón de texto y vuelva a realizar la prueba. Si
hace clic en Aceptar, el patrón de texto de la definición se modifica para hacerla coincidir con el
último patrón que ha probado.
Creación de un grupo de patrones de texto
Es posible crear grupos de patrones de texto a partir de patrones de texto existentes. El uso de grupos
de patrones de texto simplifica las reglas cuando se requieren diversos patrones de texto, a la vez que
mantiene la granularidad de los patrones de texto independientes.
Procedimiento
1
en el contenido, seleccione Patrón de texto.
Los grupos y patrones de texto disponibles aparecerán en el panel de la derecha.
2
En la ventana Patrones de texto, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo de
patrones de texto.
Aparecerá el icono del nuevo Grupo de patrones de texto.
Guía del producto
67
8
3
Haga doble clic en el icono.
Aparecerá la ventana de edición.
4
Asigne un nombre al nuevo grupo de patrones de texto.
5
Escriba una descripción (opcional).
6
Seleccione los patrones de texto de la lista.
7
Integración del software de clasificación de mensajes Titus con patrones
de texto
Se requieren patrones de texto específicos para definir una regla de protección de correo electrónico
que reconoce clasificaciones de Titus.
Antes de empezar
La integración se activa o desactiva en la ficha Configuración de los agentes | Configuración avanzada.
La clasificación de mensajes de Titus para Microsoft Outlook es una solución de correo electrónico
ampliamente utilizada para garantizar que cada uno de los correos electrónicos se clasifique y se
marque de manera proactiva antes de su envío. McAfee DLP Endpoint puede integrarse con Titus y
bloquear correos electrónicos en base a las clasificaciones de Titus.
El software cliente de McAfee DLP Endpoint determina si Titus ha clasificado un correo electrónico
(para reducir los falsos positivos) y cuál es la clasificación. Puede usar estas dos cadenas para definir
la regla de protección.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en la opción Patrones
de texto, cree el patrón de texto TLPropertyRoot=[Organization Name].
El nombre de la organización debe coincidir con el nombre de la herramienta de administración
Titus Message Classification en la página License info (Información de licencia).
Esta es la cadena que se utiliza para reducir los falsos positivos.
Por ejemplo, para la implementación de McAfee de la Titus Message Classification, creamos el
siguiente patrón de texto:
68
Guía del producto
2
8
Cree el patrón de texto Classification=[Titus classification].
Por ejemplo, si desea bloquear correos electrónicos en función de la clasificación de Titus
Confidencial, cree el patrón de texto Classification=Confidential.
Repita este paso y cree un patrón de texto para cada clasificación de Titus que desee agregar a la
regla de protección de correo electrónico.
Puede combinar los patrones de texto en un grupo de patrones de texto.
3
Defina una regla de clasificación con los patrones de texto o el grupo de patrones de texto con las
cadenas de Titus.
El cliente de McAfee DLP Endpoint considera a la clasificación de Titus como parte del cuerpo, por lo
que puede seleccionar Scan body (Analizar cuerpo) en el paso 3 del asistente Regla de clasificación de
contenido.
La regla crea una categoría de contenido en base a la clasificación de Titus, si es que ya no la ha
creado.
4
Incluya la categoría de contenido en la regla de protección de correo electrónico (paso 2 del
asistente Regla de protección de correo electrónico).
Lista blanca
La lista blanca es una carpeta compartida que contiene los archivos a los que hace referencia McAfee
DLP Endpoint al marcar o categorizar los datos. Los archivos definen el texto que es ignorado por el
mecanismo de seguimiento de McAfee DLP Endpoint. Esto permite que los usuarios puedan distribuir
contenido estándar que, de otro modo, el sistema marcaría o categorizaría y limitaría.
En la lista blanca se define el texto que suele agregarse a los documentos, como una renuncia, las
atribuciones de licencia y de marca comercial o las notas de copyright.
Para utilizar la lista blanca, es necesario crear un recurso compartido de archivos al que tengan acceso
de sólo lectura los equipos del dominio del grupo. Para obtener más instrucciones, consulte la Guía de
instalación. El recurso compartido de archivos debe definirse en las opciones de configuración de los
agentes.
Cada uno de los archivos de la carpeta de la lista blanca debe contener un mínimo de 400 caracteres
para que el sistema lo ignore.
Si un archivo contiene tanto datos marcados o categorizados como datos incluidos en la lista
blanca, el sistema no lo ignora. Sin embargo, todas las marcas y las categorías de contenido
importantes asociadas al contenido siguen en vigor.
Es posible que algunos archivos de la carpeta de la lista blanca no se agreguen a la
distribución de directivas debido a la configuración. Estos archivos se muestran en la ficha
Advertencia al seleccionar Herramientas | Ejecutar Analizador de directivas.
Adición de nuevo contenido a la lista blanca
A fin de ahorrar tiempo a la hora de analizar documentos, coloque el texto estándar, como por ejemplo
las renuncias de responsabilidad, en la carpeta de la lista blanca.
Guía del producto
69
8
Procedimiento
1
Cree un archivo que sólo contenga el texto que desea agregar a la lista blanca y cópielo en la
carpeta de la lista blanca.
2
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,
seleccione Lista blanca. Los archivos de lista blanca disponibles aparecerán en el panel de la derecha.
3
Haga clic con el botón derecho del ratón en la ventana Lista blanca y, a continuación, haga clic en
Actualizar. La ventana se actualizará con la última lista de archivos.
Eliminación de archivos de la lista blanca
El contenido que ya no es relevante debe eliminarse de la carpeta de la lista blanca.
Procedimiento
1
seleccione Lista blanca. Los archivos de lista blanca disponibles aparecerán en el panel de la derecha.
2
Seleccione el archivo que desee eliminar de la carpeta de la lista blanca, haga clic con el botón
derecho del ratón y seleccione Eliminar.
3
Haga clic en Sí para confirmar la eliminación.
4
El contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado)
o según dónde se utilice (aplicación o extensión de archivo).
El software McAfee DLP Endpoint usa varios métodos para ubicar y clasificar el contenido de carácter
confidencial. Datos en reposo es el término utilizado para describir ubicaciones de archivos. Clasifica el
contenido planteando preguntas como "¿dónde se encuentra en la red?" o "¿en qué carpeta se
encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza.
Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es la extensión
del archivo?"
McAfee DLP Discover busca los datos en reposo. Puede buscar contenido de archivos de equipos de
endpoint o archivos de almacenamiento de correo electrónico (PST, PST asignado y OST).
Contenido
Modo de funcionamiento del análisis de descubrimiento
Definición de recursos compartidos de archivos de red
Definición de parámetros de red
Definición de repositorios de documentos registrados
70
Guía del producto
8
Modo de funcionamiento del análisis de descubrimiento
Los análisis de McAfee DLP Discover se utilizan para localizar datos en reposo. Actualmente existen
dos versiones de este software de descubrimiento: red y endpoint. En este documento se describe la
versión de endpoint.
McAfee DLP Discover es un robot de rastreo (crawler) que se ejecuta en equipos cliente. Cuando
localiza el contenido predefinido, puede supervisar, poner en cuarentena, marcar o aplicar una
directiva de gestión de derechos a los archivos con dicho contenido. McAfee DLP Discover puede
buscar archivos de los equipos o de almacenamiento de correo electrónico (PST, PST asignado y OST).
Los archivos de almacenamiento de correo electrónico se almacenan en caché de forma individual para
cada usuario.
Para usar McAfee DLP Discover, debe activar los módulos de descubrimiento en la ficha Configuración de los
agentes | Varios.
Figura 8-3 Opciones de descubrimiento de la ficha Varios
Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento de
resumen del descubrimiento a la consola de Eventos operativos de DLP en ePolicy Orchestrator para
registrar los detalles del análisis. En el evento se incluye un archivo de pruebas en el que se indican
los archivos que no se pudieron analizar y el motivo por el que no se analizaron dichos archivos.
Guía del producto
71
8
¿Cuándo se pueden realizar búsquedas?
La planificación se establece en el cuadro de diálogo Configuración de los agentes. Puede realizar
un análisis diario a una hora específica o en días determinados de la semana o del mes. Puede
especificar las fechas de inicio y finalización, o realizar un análisis cuando se implemente la
configuración de McAfee DLP Endpoint. Puede suspender un análisis cuando la CPU o memoria RAM del
equipo supere el límite especificado.
Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, las
reglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se han
activado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado el
equipo mientras se estaba realizando un análisis, éste continúa por donde se quedó.
¿Qué tipo de contenido se puede descubrir?
Existen dos formas de definir el contenido de carácter confidencial.
•
Uso de marcas o categorías de contenido. Las categorías comparan los patrones de texto,
diccionarios o repositorios de documentos registrados específicos con los archivos. Las marcas
definen archivos en ubicaciones especificadas o los generan con aplicaciones especificadas.
Si no se define ninguna marca o categoría, se requerirá una propiedad de documento. La nueva
propiedad de documento nombre de archivo permite esta opción para cualquier tipo de archivo, no
sólo archivos de Microsoft Office.
•
Uso del contexto del archivo. Puede especificar los tipos de archivos, extensiones de archivo,
propiedades del documento, tipo de cifrado y asignación de usuario en la regla de descubrimiento.
¿Qué sucede con los archivos descubiertos con contenido de carácter confidencial?
Puede aplicar protección de gestión de derechos (solo descubrimiento del sistema de archivos), cifrar,
supervisar, poner en cuarentena o marcar los archivos. La protección de gestión de derechos, el
cifrado y la puesta en cuarentena se excluyen mutuamente. La supervisión y el marcado pueden
añadirse a otras acciones. Cuando supervisa, puede optar también por almacenar pruebas.
Una opción de la ficha Herramientas | Opciones | General le permite eliminar los archivos en lugar de ponerlos
en cuarentena. Esta opción la solicitó un cliente concreto. No se recomienda usar esta opción para un
uso general.
Búsqueda de contenido con el robot de rastreo (crawler) de McAfee DLP
Discover
Utilice estas tareas para configurar y ejecutar el robot de rastreo (crawler) de descubrimientos.
La ejecución del robot de rastreo (crawler) de descubrimientos conlleva tres pasos. Se pueden seguir
en cualquier orden.
72
•
Cree y defina una regla de descubrimiento.
•
Configure los parámetros de análisis.
•
Defina la planificación.
Guía del producto
8
Procedimientos
•
Creación y definición de una regla de descubrimiento de sistema de archivos en la página
73
Las reglas de descubrimiento de sistema de archivos definen el contenido que busca el
robot de rastreo (crawler) de McAfee DLP Discover y qué hacer cuando se encuentra el
contenido.
•
Creación y definición de una regla de descubrimiento de almacenamiento de correo
electrónico en la página 75
McAfee DLP Discover puede buscar contenido de carácter confidencial en archivos de
almacenamiento de correo electrónico (PST, PST asignado y OST). El robot de rastreo
(crawler) busca en elementos de correo electrónico (cuerpo y elementos adjuntos),
elementos de calendario y tareas. No busca en carpetas públicas ni notas rápidas. Las
acciones se limitan a Supervisar, Cuarentena, Almacenar pruebas y Marca.
•
Configuración de un análisis de McAfee DLP Discover en la página 76
Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el
menú Configuración de los agentes.
•
Planificación de un análisis de McAfee DLP Discover en la página 77
Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el
menú Configuración de los agentes.
•
Restauración de elementos de correo electrónico o archivos en cuarentena en la página
78
Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de
carácter confidencial, mueve los archivos o los elementos de correo electrónico afectados a
una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los
usuarios que sus archivos están en cuarentena. Además, los archivos y los elementos de
correo electrónico en cuarentena se cifran para evitar el uso no autorizado.
Creación y definición de una regla de descubrimiento de sistema de archivos
Las reglas de descubrimiento de sistema de archivos definen el contenido que busca el robot de
rastreo (crawler) de McAfee DLP Discover y qué hacer cuando se encuentra el contenido.
Los cambios en una regla de descubrimiento se aplican en cuanto se implementa la directiva. Aunque
esté en curso un análisis, la nueva regla entra en vigor inmediatamente.
Puede especificar una propiedad de documento en lugar de una categoría de marca o contenido.
Cualquiera de ellas es válida. Una nueva acción permite que se marquen los archivos comparados. El
marcado es adicional a otras acciones seleccionadas.
Cuando se excluyen marcas o categorías de contenido en reglas de descubrimiento, la regla de
exclusión funciona en relación con la regla de inclusión. Se debe incluir al menos una marca o categoría
de contenido para excluir cualquier otra marca o categoría de contenido.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección
de contenido | Reglas de descubrimiento.
Las reglas de descubrimiento disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de descubrimiento, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla
de descubrimiento de sistema de archivos.
3
Cambie el nombre de la regla por otro que ayude a reconocer su función específica.
4
Haga doble clic en el icono de la regla y siga estos pasos en el asistente.
Guía del producto
73
8
Paso
Acción
1 de 7
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de
archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar
tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente.
2 de 7
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones
de archivos de la lista disponible. Las exclusiones predeterminadas
son: .avi, .bmp, .exe, .gif, .jar, .jpeg, .jpg, .mkv, .ico, .mp3, .mpeg, .png, .mov, .tif
y .tiff. Haga clic en Siguiente.
3 de 7
Seleccione las marcas, las categorías de contenido y los grupos que se van a
(obligatorio*) incluir o excluir de la regla. Haga clic en Agregar elemento para crear una nueva marca
o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de
categorías de contenido y marcas. Haga clic en Siguiente.
4 de 7
Seleccione un grupo o una definición de propiedades de documentos existente;
(obligatorio*) para ello, marque una de las casillas de verificación para indicar si la definición se
incluye o excluye. Haga clic en Agregar elemento para crear una nueva definición de
propiedades de documentos o en Agregar grupo para crear un nuevo grupo. Haga clic
en Siguiente.
5 de 7
(opcional)
Marque la opción Seleccionar de la lista y, a continuación, seleccione un tipo de cifrado.
6 de 7
(obligatorio)
Seleccione acciones de la lista de acciones disponibles.
•
Aplicar directiva de gestión de derechos. Haga clic en Seleccionar directiva de gestión de
derechos para seleccionar una directiva de gestión de derechos y el servidor en la
que se encuentra.
•
Cifrar. Haga clic en Seleccionar una clave de cifrado para seleccionar una clave de
cifrado o añadir una nueva.
•
Supervisar. Haga clic en Gravedad para modificar el valor.
•
Cuarentena
•
Almacenar pruebas: Vinculado a Monitor (si no ha seleccionado Monitor, se selecciona
automáticamente).
•
Informar en consola de DLP Endpoint
•
Marca. Haga clic en Seleccione una marca. La marca que utilice debe estar
predefinida. No hay ninguna opción para agregar una marca.
Aplicar directiva de gestión de derechos, Cuarentena y Cifrar son acciones excluyentes
entre sí; al seleccionar una se cancela la selección de las otras. Otras
acciones son adicionales.
Si selecciona Aplicar directiva de gestión de derechos y no se puede aplicar la
directiva de gestión de derechos, el contenido se supervisa. Si selecciona
Cifrar y McAfee Endpoint Encryption for Files and Folders no está instalado,
el contenido pasa a estar en cuarentena.
Si selecciona la opción Admitir borrado de descubrimientos en sistema de archivos en
Herramientas | Opciones, aparecerá la acción Eliminar, la cual se puede utilizar
en lugar de Cifrar o Cuarentena. No se recomienda activar la opción de
borrado de descubrimientos.
74
Guía del producto
8
Paso
Acción
7 de 7
(opcional)
Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al
hacer clic en Agregar. Haga clic en Finalizar.
(obligatorio*) significa que como mínimo debe definirse una de las propiedades.
5
Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de
descubrimiento y seleccione Activar.
Creación y definición de una regla de descubrimiento de almacenamiento de
correo electrónico
McAfee DLP Discover puede buscar contenido de carácter confidencial en archivos de almacenamiento
de correo electrónico (PST, PST asignado y OST). El robot de rastreo (crawler) busca en elementos de
correo electrónico (cuerpo y elementos adjuntos), elementos de calendario y tareas. No busca en
carpetas públicas ni notas rápidas. Las acciones se limitan a Supervisar, Cuarentena, Almacenar pruebas y
Marca.
McAfee DLP Endpoint versión 9.3 admite el análisis del almacenamiento de correo electrónico de
Microsoft Outlook de 32 bits (OST y PST) en sistemas operativos Windows de 64 bits.
Procedimiento
1
de contenido | Reglas de descubrimiento.
Las reglas de descubrimiento disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de descubrimiento, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla
de descubrimiento de almacenamiento de correo electrónico.
3
4
Paso
Acción
1 de 7 (opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los
tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos
para seleccionar tipos de archivos que no aparecen en la lista
(desconocidos). Haga clic en Siguiente.
2 de 7 (opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las
extensiones de archivos de la lista disponible. Haga clic en Siguiente.
3 de 7
(obligatorio*)
Seleccione las marcas, las categorías de contenido y los grupos que se van
a incluir o excluir de la regla. Haga clic en Agregar elemento para crear una
nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear
un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente.
4 de 7
(obligatorio*)
Seleccione un grupo o una definición de propiedades de documentos
existente marcando una de las casillas de verificación para indicar si la
definición se incluye o excluye. Haga clic en Agregar elemento para crear una
nueva definición de propiedades de documentos o en Agregar grupo para
crear un nuevo grupo. Haga clic en Siguiente.
5 de 7 (opcional)
Marque la opción Seleccionar de la lista y, a continuación, seleccione un tipo de
cifrado.
Guía del producto
75
8
Paso
Acción
6 de 7 (obligatorio) Seleccione acciones de la lista de acciones disponibles.
•
Supervisar. Haga clic en Gravedad para modificar el valor.
•
Cuarentena
•
Informar en consola de DLP Endpoint
•
Almacenar pruebas: Vinculado a Monitor (si no ha seleccionado Monitor, se
selecciona automáticamente).
•
Marca. Haga clic en Seleccione una marca. La marca que utilice debe estar
predefinida. No hay ninguna opción para agregar una marca.
7 de 7 (opcional)
Seleccione uno o varios grupos de asignación, o bien defina un nuevo
grupo al hacer clic en Agregar. Haga clic en Finalizar.
(obligatorio*) significa que como mínimo debe definirse una de las propiedades.
5
Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de
descubrimiento y seleccione Activar.
Si deja una regla desactivada, aplica la regla a la base de datos y la despliega en los agentes, el
estado desactivado interrumpirá cualquier regla de descubrimiento de correo electrónico que se esté
ejecutando.
Configuración de un análisis de McAfee DLP Discover
Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menú
Configuración de los agentes.
Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis.
No se aplican a análisis que ya estén en curso.
Procedimiento
1
En la ficha Configuración de los agentes | Configuración de descubrimientos, configure los parámetros de
rendimiento.
Utilice los controles de pausa para reducir al mínimo el impacto del análisis sobre el rendimiento
del sistema. Las opciones son las siguientes:
•
Interrumpir el análisis cuando la CPU del sistema supere (%)
•
Interrumpir el análisis cuando la RAM utilizada del sistema supere (%)
•
No analizar los archivos mayores de (MB)
La mayor parte de los archivos de interés son pequeños. Omitir archivos de gran tamaño puede
reducir significativamente el tiempo de análisis.
76
Guía del producto
2
8
Defina los detalles de notificación.
Los detalles de la notificación de almacenamiento de archivos y correo electrónico se configuran
aparte.
Si se selecciona la acción Cuarentena en una regla de descubrimiento, esta elimina los archivos con
contenido de carácter confidencial y los pasa a la carpeta de cuarentena. Si no se definen
notificaciones, los usuarios podrían preguntarse la razón por la que han desaparecido sus archivos.
La función de notificación reemplaza archivos con archivos de sustitución con el mismo nombre y
que contienen el texto de notificación. Si la regla de descubrimiento se define para cifrar archivos,
no se necesita notificación, porque los archivos permanecen en su lugar.
Para retirar los archivos del estado de cuarentena, los usuarios deben solicitar al administrador una
clave de desbloqueo de cuarentena. Algo parecido sucede con la clave para omitir agente. Para
abrir archivos cifrados, los usuarios deben tener la clave de cifrado que se detalla en la regla de
descubrimiento.
La ruta de acceso predeterminada de la carpeta de cuarentena es ahora %USERPROFILE%\Archivos
en cuarentena de McAfee DLP. Recomendamos utilizar sólo esta carpeta predeterminada, ya que
se han dado casos de eliminación accidental de archivos en otras situaciones.
Si selecciona la acción Cifrar y McAfee Endpoint Encryption for Files and Folders no está instalado, los
archivos se supervisan. Si selecciona la acción Aplicar directiva de gestión de derechos y el proveedor de
gestión de derechos no está disponible, los archivos se supervisan.
3
Seleccione las carpetas que desee analizar y las carpetas que omitir.
a
Haga clic en Editar (
b
Utilice el Explorador de Windows para navegar hasta una carpeta.
c
Copie y pegue la dirección en el cuadro de texto Especifique la carpeta.
d
Utilice el icono del signo más para agregar la carpeta a la lista de análisis, y el del signo menos
para eliminar carpetas.
) en la sección Carpetas.
Si no especifica ninguna carpeta para analizar u omitir, se analizarán todas las carpetas del equipo
excepto las de C:\Windows, C:\Archivos de programa y la carpeta de cuarentena de McAfee DLP
Endpoint. Los siguientes tipos de archivos se omitirán siempre, independientemente de la carpeta en
que se encuentren:
4
•
Archivos específicos ntldr, boot.ini y .cekey
•
Archivos ejecutables (*.com, *.exe y *.sys)
Seleccione los tipos de almacenamiento de correo electrónico que desee analizar. Seleccione las
carpetas de correo electrónico que desee analizar y las carpetas que omitir.
Cuando Microsoft Outlook se ejecuta en modo de no intercambio en caché, los archivos OST no
están presentes y no se pueden analizar. Si crea un buzón de correo compartido al ejecutarse en
modo de no intercambio en caché (buzón de correo OST), McAfee DLP Endpoint lo reconoce como
un buzón de correo PST asignado. Por lo tanto, debe especificar el PST asignado como un tipo de
almacenamiento en la regla de descubrimiento para poder analizar el buzón de correo.
Planificación de un análisis de McAfee DLP Discover
Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menú
Configuración de los agentes.
El planificador de análisis de descubrimiento se encuentra en el cuadro de diálogo Configuración de los
agentes | Configuración de descubrimientos.
Guía del producto
77
8
Procedimiento
1
En la ficha Configuración de los agentes | Configuración de descubrimientos, haga clic en el botón Planificación
de análisis del sistema de archivos (
). También puede planificar un análisis del almacenamiento
de correo haciendo clic en el icono Planificación de análisis de PST y OST.
Aparece una ventana emergente.
2
Defina la hora de inicio del análisis mediante la rueda.
3
Defina la frecuencia del análisis mediante los botones de opción y las casillas de verificación.
4
Si desea ejecutar un análisis de descubrimiento inmediatamente, seleccione Ejecutar ahora.
5
Si desea impedir que se omitan las ejecuciones debido a que el usuario se haya desconectado,
seleccione Reanudar las ejecuciones de descubrimiento que falten tras iniciar sesión.
6
Defina la fechas de inicio y fin para los análisis de descubrimiento.
Restauración de elementos de correo electrónico o archivos en cuarentena
Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácter
confidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta de
cuarentena y los sustituye por marcadores de posición que notifican a los usuarios que sus archivos
están en cuarentena. Además, los archivos y los elementos de correo electrónico en cuarentena se
cifran para evitar el uso no autorizado.
Antes de empezar
Para mostrar el icono de McAfee DLP en Microsoft Outlook, se debe activar la opción Mostrar
controles para levantar la cuarentena en Outlook en Configuración de los agentes | Varios.
Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y el
robot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicados
a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuarios
que sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso no
autorizado.
En el caso de los elementos de correo electrónico en cuarentena, el software McAfee DLP Discover
adjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus mensajes de correo
electrónico están en cuarentena. Los mensajes pueden tener el cuerpo del correo electrónico o los
datos adjuntos en cuarentena, o bien ambos. Si el cuerpo del mensaje está en cuarentena, el texto de
sustitución aparecerá en el cuerpo y el texto del cuerpo aparecerá como datos adjuntos cifrados.
Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner en cuarentena.
Figura 8-4 Ejemplo de correo electrónico en cuarentena
78
Guía del producto
8
Procedimiento
1
Para restaurar los archivos en cuarentena:
a
En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y
seleccione Administrar funciones | Consola de DLP Endpoint.
Se abre la consola de DLP Endpoint.
b
En la ficha Tareas, seleccione Abrir carpeta de cuarentena.
Se abre la carpeta de cuarentena.
c
Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón y
seleccione Liberar de la cuarentena.
El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionan
archivos de tipo *.dlpenc (cifrado con DLP).
Aparece la ventana emergente Código de autorización.
2
Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP o
haga clic con el botón derecho del ratón y seleccione Descifrado manual.
a
En Microsoft Outlook, seleccione los mensajes de correo electrónico (u otros elementos) que
desee restaurar.
b
Haga clic en el icono de McAfee DLP.
Aparece la ventana emergente Código de autorización.
3
Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP
4
El administrador genera un código de respuesta y lo envía al usuario. (también se envía un evento
al Eventos operativos de DLP que registra todos los detalles).
5
El usuario introduce el código de autorización en la ventana emergente Código de autorización y hace
clic en Aceptar.
Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva de
bloqueo de código de autorización (en la ficha Configuración de los agentes | Servicio de notificación) e
introduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30
minutos (configuración predeterminada).
En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la ruta
original. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura como
xxx‑copy.abc.
Definición de recursos compartidos de archivos de red
La lista de servidores de archivos es una lista de recursos compartidos de archivos que se emplea para
las reglas de marcado basadas en la ubicación.
La lista de servidores de archivos se crea mediante una consulta LDAP o un análisis de la red. Defina
los servidores de red que se utilizan en las reglas de marcado basadas en ubicación. Si un servidor no
contiene un archivo compartido utilizado en una regla de marcado basada en la ubicación, no es
necesario incluirlo en esta lista.
Creación de una lista de servidores de archivos
La lista de servidores de archivos es una lista de los recursos compartidos de archivos utilizados para
Guía del producto
79
8
Procedimiento
1
seleccione Servidores de archivos.
Los servidores de archivos disponibles aparecerán en el panel de la derecha.
2
En la ventana Servidores de archivos, haga clic con el botón derecho del ratón y seleccione Buscar para
ver las siguientes opciones de búsqueda.
No es posible buscar los servidores de red en OpenLDAP.
•
Todos los servidores de red ‑ Por unidades organizativas: seleccione la unidad organizativa en la que desea
buscar y haga clic en Aceptar.
•
Todos los servidores de red ‑ Por vista Red: busca todos los servidores de archivos disponibles en la red
local.
•
Servidores de red por selección LDAP: seleccione los servidores de archivos apropiados y haga clic en
Aceptar.
Adición de un solo servidor a una lista
La lista de servidores de archivos es una lista de recursos compartidos de archivos que se emplea para
Procedimiento
1
seleccione Servidores de archivos.
Los servidores de archivos disponibles aparecerán en el panel de la derecha.
2
En la ventana Servidores de archivos, haga clic con el botón derecho del ratón y seleccione Nuevo |
Servidor.
Aparecerá el icono del nuevo Servidor.
3
Escriba el nombre del servidor.
Definición de parámetros de red
Las definiciones de red funcionan como criterios de filtrado en las reglas de protección relacionadas
con la red.
•
El Intervalo de puertos de red permite utilizar intervalos de puertos de red para implementar reglas
relacionadas con la red en un servicio específico.
•
El Intervalo de direcciones de red supervisa las conexiones de red entre un origen externo y un equipo
gestionado.
•
El Grupo de intervalos de direcciones de red permite utilizar varios intervalos de red para las reglas
relacionadas con la red.
Creación de un intervalo de direcciones de red
Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección
80
Guía del producto
8
Procedimiento
1
seleccione Red.
En el panel de la derecha aparecerán los intervalos de direcciones de red disponibles.
2
Haga clic con el botón derecho del ratón en la ventana Red y seleccione Nuevo | Intervalo de direcciones de
red.
Aparecerá el icono del nuevo Intervalo de direcciones de red.
3
4
Especifique el nombre del intervalo de direcciones de red.
5
6
Introduzca el intervalo de direcciones IP mediante uno de los métodos siguientes:
7
•
Definir mediante un intervalo de direcciones
•
Definir con una máscara de red
•
Definir con la especificación CIDR
Creación de un grupo de intervalos de direcciones de red
Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección
relacionadas con la red. Los grupos intervalos de direcciones de red simplifican las reglas a la vez que
mantienen la granularidad al combinar diversas definiciones de intervalos de direcciones en un grupo.
Procedimiento
1
seleccione Red.
En el panel de la derecha aparecerán los grupos de intervalos de direcciones de red disponibles.
2
En la ventana Red, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo de intervalos de
direcciones de red.
Aparecerá el icono del nuevo Grupo de intervalos de direcciones de red.
3
4
Especifique el nombre del grupo de direcciones de red.
5
6
Seleccione los intervalos de direcciones de red de la lista disponible.
7
Guía del producto
81
8
Creación de un nuevo intervalo de puertos de red
Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección
Procedimiento
1
seleccione Red.
En el panel de la derecha aparecerán los intervalos de puertos de red disponibles.
2
Haga clic con el botón derecho del ratón en la ventana Red y seleccione Nuevo | Intervalo de puertos de
red.
Aparecerá el icono correspondiente al nuevo Intervalo de puertos de red.
3
4
Especifique el nombre del intervalo de puertos de red.
5
6
Especifique el intervalo de puertos (un único puerto, varios puertos, intervalo).
7
Seleccione el tipo de protocolo correspondiente (UDP, TCP o ambos).
8
Definición de repositorios de documentos registrados
La función de documentos registrados es una extensión del marcado basado en la ubicación.
Proporciona a los administradores otro modo de definir la ubicación de la información importante y
evitar que ésta se distribuya de formas no autorizadas.
Para usar los repositorios de documentos registrados, el administrador selecciona una lista de carpetas
compartidas para registrarlas. La definición se puede limitar a extensiones de archivos específicas en
dichas carpetas, así como a un tamaño máximo de archivo. El contenido de estas carpetas se clasifica,
se identifica por huellas digitales y se distribuye a todas las estaciones de trabajo endpoint. El
software McAfee DLP Endpoint de los equipos gestionados bloquea la distribución fuera de la empresa
de documentos que contengan fragmentos de contenido registrado.
Cuando se configuren repositorios de documentos registrados, recomendamos definir permisos de
recursos compartidos y de seguridad para las carpetas del repositorio y conceder un permiso total al
SISTEMA.
Ventajas de registrar los documentos
Las dos ventajas de los documentos registrados frente al marcado tradicional basado en la ubicación
son las siguientes:
82
Guía del producto
8
•
Los documentos que existían antes de que se definiera el marcado basado en la ubicación no se
detectan mediante las reglas de marcado basadas en la ubicación a excepción de que el usuario
abra o copie el archivo original desde su ubicación de red. Las reglas de clasificación de los
documentos registrados detectan todos los archivos en las carpetas definidas.
•
Si varios documentos incluyen el mismo contenido de carácter confidencial, deberá clasificarlo una
única vez mediante un repositorio de documentos registrados. Si utiliza el marcado basado en la
ubicación, deberá identificar cada uno de los recursos compartidos de red donde se encuentra el
contenido de carácter confidencial y marcarlos de forma individual.
Registro de documentos en equipos gestionados
Las dos ventajas que conlleva el registro de documentos frente al marcado tradicional basado en la
ubicación son las siguientes:
•
Los documentos que existían antes de que se definiera el marcado basado en la ubicación no se
detectan mediante las reglas de marcado basadas en la ubicación a excepción de que el usuario
abra o copie el archivo original desde su ubicación de red. Las reglas de clasificación de los
documentos registrados detectan todos los archivos en las carpetas definidas.
•
Si varios documentos incluyen el mismo contenido de carácter confidencial, deberá clasificarlo una
única vez mediante un repositorio de documentos registrados. Si utiliza el marcado basado en la
ubicación, deberá identificar cada uno de los recursos compartidos de red donde se encuentra el
contenido de carácter confidencial y marcarlos de forma individual.
Indexación de repositorios de documentos registrados
Los repositorios de documentos registrados se indexan de forma periódica mediante las tareas
servidor de ePolicy Orchestrator. El proceso de indexación crea un paquete (reg_docs9300_x.zip) que
se agrega al repositorio de ePolicy Orchestrator y se despliega en los equipos gestionados.
El contenido de las carpetas de documentos registrados se protege con reglas de clasificación de
documentos registrados. La regla de clasificación asocia una categoría de contenido específico con los
archivos del repositorio de documentos registrados. La separación de definiciones, grupos y categorías
aumenta la modularidad y permite la creación de nuevas reglas de clasificación, así como la
modificación de reglas existentes sin necesidad de volver a realizar la indexación y el despliegue.
Una vez que haya definido una regla de clasificación de documentos registrados, agregue las
categorías asociadas a una regla de protección que acepte categorías de contenido.
Cuando se hayan desplegado en un equipo gestionado la indexación, la regla de clasificación de
documentos registrados y la regla de protección que especifica la categoría, todo el contenido que
salga del equipo gestionado se cotejará con las huellas digitales de los documentos registrados, y el
contenido se bloquea o se supervisa conforme a la regla de protección.
El contenido incluido en la lista blanca se elimina de la base de datos del repositorio de documentos
registrados. Las reglas de clasificación de documentos registrados se aplican únicamente al contenido
del repositorio que no esté incluido en una lista blanca.
Creación de una definición de repositorio de documentos registrados
Los repositorios de documentos registrados se usan para definir las reglas de clasificación de
Procedimiento
1
en el contenido, seleccione Repositorios de documentos registrados.
Los documentos registrados disponibles aparecerán en el panel de la derecha.
Guía del producto
83
8
2
En la ventana Repositorios de documentos registrados, haga clic con el botón derecho del ratón y
seleccione Nuevo | Repositorio de documentos registrados.
Aparecerá el icono del nuevo Repositorio de documentos registrados.
3
Asigne un nombre al nuevo repositorio de documentos registrados y haga doble clic en el icono.
4
5
Escriba la ruta de acceso UNC en la carpeta que va a definir o haga clic en Examinar para colocar la
carpeta.
6
Si se le solicita, introduzca un nombre de usuario para acceder a la carpeta y una contraseña.
7
Especifique las extensiones del documento que se van a incluir o excluir (opcional). Puede Agregar
una nueva extensión o, si es necesario, Editar una existente.
8
Especifique el tamaño máximo de archivo (opcional) y haga clic en Aceptar.
Creación de un grupo de repositorios de documentos registrados
Los grupos de repositorios de documentos registrados se usan para definir las reglas de clasificación
de documentos registrados.
Procedimiento
1
en el contenido, seleccione Repositorios de documentos registrados.
Los grupos y repositorios de documentos registrados disponibles aparecerán en el panel de la
derecha.
2
En la ventana Repositorios de documentos registrados, haga clic con el botón derecho del ratón y
seleccione Nuevo | Grupo de repositorios de documentos registrados.
Aparecerá el icono del nuevo Grupo de repositorios de documentos registrados.
3
Haga doble clic en el icono. Aparecerá la ventana de edición.
4
Asigne el nombre al nuevo grupo de documentos registrados.
5
6
Seleccione las definiciones de documentos registrados de la lista disponible.
7
Además de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar su
destino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito.
En este capítulo se describen los destinos que puede controlar, así como la creación de las definiciones
que le permiten ejercer tal control.
Contenido
Cómo se controla el contenido de carácter confidencial en el correo electrónico
Definición de impresoras de red y locales
Control de la información cargada en sitios web
84
Guía del producto
8
Cómo se controla el contenido de carácter confidencial en el
correo electrónico
Los objetos de destino de correo electrónico son dominios de correo electrónico predefinidos o
direcciones de correo electrónico específicas que pueden incluirse en las reglas de protección del
correo electrónico. La regla de protección del correo electrónico puede bloquear los datos marcados de
forma que no se envíen a los dominios especificados o impedir que se envíen a dominios no definidos.
Generalmente, la sección de destinos de correo electrónico define los dominios internos y externos en
los que se admite el envío por correo electrónico de datos marcados.
Los grupos de destino de correo electrónico permiten crear reglas de protección que hacen referencia
a una única entidad que define varios destinos. Esta función se utiliza habitualmente para crear un
grupo de destinos de correo electrónico en todos los dominios internos.
El correo electrónico saliente lo gestiona tanto el Outlook Object Model (OOM) como la interfaz de
programación de aplicaciones de mensajería (MAPI, por sus siglas en inglés). OOM es la API
predeterminada, aunque algunas configuraciones requieren MAPI. La opción se configura en la ficha
Configuración de los agentes | Sonda de correo electrónico. La opción MAPI solo es compatible con los clientes de
McAfee DLP Endpoint 9.1 Parche 2, 9.2 Parches 1 y 2 y 9.3.
Se puede seleccionar un nuevo evento administrativo, El agente supera el límite de memoria al cargar, en la ficha
Configuración de los agentes | Eventos y registro para registrar cuándo el proceso del agente (fcag.exe) supera
la memoria configurada después de haber reiniciado el software cliente.
Creación de destinos de correo electrónico
Los objetos de destino de correo electrónico son dominios de correo electrónico predefinidos o
direcciones de correo electrónico específicas que pueden incluirse en las reglas de protección del
correo electrónico.
Procedimiento
1
seleccione Destinos de correo electrónico.
Los grupos y destinos de correo electrónico disponibles aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho en la ventana Destinos de correo electrónico y seleccione Nuevo | Destino de
correo electrónico.
Aparece el icono del nuevo Destino de correo electrónico.
3
Guía del producto
85
8
4
Agregue el nombre del destino de correo electrónico. En Direcciones de correo electrónico, introduzca el
nombre del dominio y haga clic en Agregar.
•
Para crear un destino de correo electrónico de dominios externos, agregue una entrada de
dominio para cada dominio interno y, a continuación, anule la selección de todos los dominios y
seleccione Otro dominio de correo electrónico.
Figura 8-5 Cuadro de diálogo de edición de destino de correo electrónico
5
•
Para agregar una dirección de correo electrónico concreta desde este dominio, haga clic con el
botón derecho del ratón en el nombre del dominio y seleccione Agregar | Usuario de correo electrónico.
A continuación, escriba el nombre de usuario y haga clic en Aceptar.
•
Para excluir del dominio una dirección de correo electrónico concreta, agregue el usuario al
dominio, haga clic con el botón derecho del ratón en el nombre del dominio, seleccione Agregar |
Otro usuario de correo electrónico y anule la selección del usuario.
Creación de un grupo de correo electrónico
Los grupos de correo electrónico simplifican las reglas a la vez que mantienen la granularidad al
combinar diversas definiciones de correo electrónico en un grupo.
Procedimiento
1
seleccione Destinos de correo electrónico.
Los grupos y destinos de correo electrónico disponibles aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en la ventana Destinos de correo electrónico y seleccione Nuevo |
Grupo de correo electrónico.
Aparecerá el icono del nuevo Grupo de correo electrónico.
86
3
Haga doble clic en el icono. Aparecerá la ventana de edición.
4
Introduzca el nombre del grupo de correo electrónico.
Guía del producto
8
5
6
Seleccione las definiciones de destino de correo electrónico de la lista disponible.
7
Definición de impresoras de red y locales
Las definiciones de impresoras se utilizan para definir reglas de protección contra impresión. Las
reglas de protección contra impresión se utilizan para gestionar tanto impresoras locales como de red
y bloquear o supervisar la impresión de material confidencial.
Existen dos tipos de definiciones de impresora: impresoras de red e impresoras no gestionadas
(impresoras de lista blanca). Las impresoras de red se pueden agregar de forma manual mediante la
creación de una definición que especifica la ruta de acceso UNC a la impresora o, de forma
automática, desde una lista de impresoras. La lista de impresoras se crea mediante una consulta LDAP
o un análisis en la red. A continuación, se seleccionan las impresoras de la lista de análisis para
agregarlas a las definiciones de impresora.
Las impresoras de lista blanca son impresoras que no funcionan con la arquitectura del controlador
proxy necesaria para la administración de Data Loss Prevention. Para evitar problemas de
funcionamiento, estas impresoras se definen como no gestionadas. Las definiciones de impresoras no
gestionadas se crean de forma manual utilizando la información del modelo de impresora que se
encuentra en las propiedades de impresora del sistema operativo.
Para la generación de informes, existe una tercera categoría de impresoras. Cuando una impresora
está conectada a un equipo gestionado y McAfee DLP Endpoint no puede instalar el controlador de
impresora correspondiente, se informa de que se trata de una impresora no admitida. Tras investigar
la causa del error y si no se encuentra otra solución, estas impresoras se colocan en la lista blanca.
Creación de una lista de impresoras e incorporación de impresoras a la
lista
Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a las
impresoras. Utilice estas tareas para crear una lista de impresoras y agregar impresoras.
Procedimientos
•
Creación de una lista de impresoras en la página 88
Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencial
enviado a las impresoras.
•
Adición de una impresora a la lista de impresoras en la página 88
Para poder definir impresoras de red en las reglas de protección de impresoras, es
necesario agregarlas a la lista de impresoras.
•
Adición de una impresora no gestionada a la lista de impresoras en la página 89
Algunas impresoras dejan de responder cuando el software McAfee DLP Endpoint les asigna
un controlador proxy. Estas impresoras no se pueden gestionar y deben estar exentas de
las reglas de impresora para evitar problemas. En otros casos, es posible que tenga que
eximir una impresora de estas reglas, por ejemplo, una que pertenezca a un ejecutivo. De
todas formas, defina estas impresoras como no gestionadas y colóquelas en la lista blanca
de impresoras.
•
Adición de una impresora existente a la lista blanca de impresoras en la página 90
Cuando una impresora de red existente falla, es posible agregarla a la lista blanca de
impresoras de forma temporal hasta que se aclare el problema. En este proceso, la
impresora permanece en la lista de impresoras de red, pero también en la lista blanca, lo
que evita que las reglas de protección de impresoras se le apliquen. Cuando el problema se
soluciona, la definición se elimina.
Guía del producto
87
8
Creación de una lista de impresoras
Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a las
impresoras.
Procedimiento
1
seleccione Impresoras.
Las impresoras disponibles aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en la ventana Impresoras, seleccione Buscar y, a
continuación, una opción de búsqueda:
No es posible buscar impresoras en OpenLDAP.
3
•
Impresoras de red por unidades organizativas
•
Impresoras de red por selección LDAP
•
Buscar impresoras compartidas
Edite los parámetros de búsqueda (opcional), agregue un filtro (opcional) y, a continuación, haga
clic en Buscar.
Tras editar los parámetros o agregar un filtro, puede volver a realizar la búsqueda haciendo clic en
Actualizar.
Aparecerá una lista de impresoras en la ventana de visualización.
4
Seleccione las impresoras que desee agregar a la lista de impresoras y haga clic en Aceptar.
Adición de una impresora a la lista de impresoras
Para poder definir impresoras de red en las reglas de protección de impresoras, es necesario
agregarlas a la lista de impresoras.
Procedimiento
1
Las impresoras que ya se hayan agregado aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en la ventana Impresoras y seleccione Nuevo | Impresora de red.
Aparecerá el icono de la nueva Impresora de red.
3
Haga doble clic en el icono Impresora de red.
88
4
Escriba el nombre de la impresora de red.
5
Introduzca la ruta de acceso UNC de la impresora de red.
6
Guía del producto
8
Adición de una impresora no gestionada a la lista de impresoras
Algunas impresoras dejan de responder cuando el software McAfee DLP Endpoint les asigna un
controlador proxy. Estas impresoras no se pueden gestionar y deben estar exentas de las reglas de
impresora para evitar problemas. En otros casos, es posible que tenga que eximir una impresora de
estas reglas, por ejemplo, una que pertenezca a un ejecutivo. De todas formas, defina estas
impresoras como no gestionadas y colóquelas en la lista blanca de impresoras.
Procedimiento
1
Las impresoras que ya se hayan agregado aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en la ventana Impresoras y seleccione Nuevo | Modelo de
impresora no gestionado. Escriba un nombre en el cuadro de texto.
3
4
Introduzca el modelo de impresora. Puede copiar y pegar la información usando la información del
Modelo que se encuentra en las propiedades de impresora:
a
En el menú Inicio de Microsoft Windows, seleccione Impresoras y faxes.
b
Haga clic con el botón derecho del ratón en la impresora que desee agregar a la lista blanca y
seleccione Propiedades.
c
En la ficha General, copie la información del Modelo (debajo del cuadro de texto Comentario).
Figura 8-6 Copia de la información del modelo de impresora
Guía del producto
89
8
5
Pegue la información del modelo en el cuadro de texto Modelo del cuadro de diálogo Modelo de
impresora no gestionada.
6
Agregue una definición (opcional).
7
Adición de una impresora existente a la lista blanca de impresoras
Cuando una impresora de red existente falla, es posible agregarla a la lista blanca de impresoras de
forma temporal hasta que se aclare el problema. En este proceso, la impresora permanece en la lista
de impresoras de red, pero también en la lista blanca, lo que evita que las reglas de protección de
impresoras se le apliquen. Cuando el problema se soluciona, la definición se elimina.
•
Haga clic con el botón derecho del ratón en la definición de la impresora de red existente y, a
continuación, haga clic en Agregar como impresora no gestionada. La impresora aparecerá en la sección
Modelo de impresora no gestionada del panel Impresoras.
Control de la información cargada en sitios web
Los objetos de destino web son direcciones web predefinidas que pueden incluirse en reglas de
protección de la publicación web. Puede utilizar las definiciones de destinos web para evitar que los
datos marcados se publiquen en destinos web definidos (sitios web o páginas concretas de un sitio
web), o bien para impedir que se publiquen en sitios web no definidos. Generalmente, la sección de
destinos web define los sitios web internos y externos en los que se admite la publicación de datos
marcados.
Si ha definido muchos destinos web, puede crear grupos de destinos web para que las reglas de
protección hagan referencia a una única entidad. Esta función se utiliza habitualmente para crear un
grupo de destinos web en todos los sitios web internos.
Creación de un destino web
Los objetos de destino web son direcciones web predefinidas que pueden incluirse en reglas de
protección de la publicación web.
Procedimiento
1
seleccione Servidores Web.
Los servidores web disponibles aparecerán en el panel principal.
2
En la ventana Servidores Web, haga clic con el botón derecho del ratón y seleccione Nuevo | Servidor Web.
Aparecerá el icono del nuevo Servidor web.
3
90
4
En el cuadro de texto que aparece en la parte inferior de la ventana, especifique la dirección URL
del servidor web y haga clic en Agregar para agregar una dirección de servidor web.
5
Para agregar una ruta de acceso de recursos, haga clic con el botón derecho del ratón en la
dirección del servidor web y seleccione Agregar | Ruta de recursos. Escriba la ruta de acceso y haga clic
en Aceptar.
6
7
Guía del producto
8
Creación de un grupo de destinos web
Los grupos de destinos web simplifican las reglas a la vez que mantienen la granularidad al combinar
diversas definiciones de destinos web en un grupo.
Procedimiento
1
seleccione Servidores Web.
Los grupos de servidores web disponibles aparecerán en el panel de la derecha.
2
En la ventana Servidores Web, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo de
servidores Web.
Aparecerá el icono del nuevo Grupo de servidores web.
3
4
Especifique el nombre del grupo de servidores web.
5
6
Seleccione los servidores web de la lista disponible.
7
Datos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza.
Las definiciones y reglas de McAfee DLP Endpoint clasifican los datos en uso. Estas definiciones
proporcionan detalles para ayudar a proteger sólo los archivos que necesitan protección.
Contenido
Cómo categoriza las aplicaciones McAfee DLP Endpoint
Aplicaciones y modo de uso
Adición y eliminación de aplicaciones
Definición de tipos de archivos
Guía del producto
91
8
Cómo categoriza las aplicaciones McAfee DLP Endpoint
Antes de que cree reglas mediante aplicaciones, debe comprender de qué modo McAfee DLP Endpoint
las categoriza, y el efecto que ello tiene en el rendimiento del sistema.
El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías o estrategias. Estas
categorías o estrategias afectan el modo en el que el software trabaja con las diferentes aplicaciones.
Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y el rendimiento del
equipo.
Figura 8-7 Estrategias que aparecen en la ventana Definiciones de aplicaciones
Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación.
•
Editor: cualquier aplicación que pueda modificar el contenido del archivo. En esta categoría se
engloban los editores “clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores,
software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicaciones
son editores.
•
Explorador: una aplicación empleada para copiar o mover archivos sin modificarlos; por ejemplo,
el Explorador de Microsoft Windows o determinadas aplicaciones shell.
•
De confianza: una aplicación que necesita acceso ilimitado a los archivos para realizar análisis.
Por ejemplo, McAfee® VirusScan® Enterprise, software de creación de copias de seguridad y
software de búsqueda de escritorio, como Google Desktop.
•
Archivador : una aplicación que puede reprocesar archivos. Algunos ejemplos son el software de
compresión como WinZip y las aplicaciones de cifrado como McAfee® Endpoint Encryption for Files
and Folders™ o PGP.
Cómo trabajar con estrategias de DLP
Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicación
con estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para una
aplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación.
Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde este
tipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar la
estrategia de confianza.
92
Guía del producto
8
Aplicaciones y modo de uso
Las aplicaciones se pueden especificar en reglas de marcado y protección mediante la creación de
definiciones de aplicaciones.
La importación de una lista de aplicaciones y la creación de definiciones de aplicaciones permiten
gestionar de forma más eficaz todas las reglas de marcado y protección relacionadas con aplicaciones.
Los administradores del sistema pueden importar una lista de todas las aplicaciones relevantes
disponibles en la empresa, crear definiciones de aplicaciones distintas en función de sus necesidades e
implementar estas definiciones con las reglas correspondientes para mantener las directivas.
•
Lista de aplicaciones empresariales: lista completa de las aplicaciones que utiliza la empresa.
Puede realizar un análisis de nuevas aplicaciones y fusionarlas en la lista actual, editar la lista y
agrupar las aplicaciones por columna.
•
Definiciones de aplicaciones: detalles que definen las plantillas que se utilizan para personalizar
las reglas relativas a aplicaciones específicas. Puede añadir aplicaciones a las definiciones de
aplicaciones de la Lista de aplicaciones empresariales, o bien crearlas directamente. Las reglas de
marcado y protección hacen siempre referencia a definiciones de aplicaciones en lugar de
aplicaciones individuales.
Cuando un usuario abre archivos con una aplicación definida en una regla mediante una definición de
aplicación, produce un evento en Administrador de incidentes de DLP por sesión de aplicación, no por
cada archivo confidencial abierto. El evento incluye todos los archivos que coinciden con las
condiciones especificadas en esa sesión de la aplicación. Si se ha seleccionado la acción Almacenar
pruebas, sólo se almacenarán los archivos de la sesión de la aplicación que coincidan con las
condiciones.
Lista de aplicaciones empresariales
La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se desea
controlar.
Las reglas de marcado basadas en aplicaciones y la mayoría de las reglas de protección utilizan las
definiciones de las aplicaciones. Por ejemplo, para controlar los datos de los archivos de Excel, puede
agregar Excel a la Lista de aplicaciones empresariales y, a continuación, crear una regla que defina si
este tipo de archivos o su contenido se puede imprimir o copiar.
La información de las cinco primeras columnas de la lista de aplicaciones de la empresa se lee desde
la lista de propiedades de cada archivo de aplicación. En los casos en los que la propiedad no tenga un
valor, aparece como desconocido.
Antes de que se pueda hacer referencia a las aplicaciones en una regla, las aplicaciones deben
definirse en la lista de aplicaciones empresariales. Si las aplicaciones que desea controlar no aparecen
en la lista, debe agregarlas.
Definiciones de aplicaciones y modos de clasificación
Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como el
nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.
Las definiciones de aplicaciones sustituyen los grupos de aplicaciones usados en versiones anteriores
de McAfee DLP Endpoint. Puesto que se han definido de forma parecida a las definiciones de
dispositivos, son más intuitivas, minuciosas, escalables y configurables. Además, reducen el tamaño
de la directiva mediante el uso de un modelo de datos distinto.
Una nueva subcategoría, definiciones de aplicaciones web, crea una plantilla basada en la dirección
URL. Los archivos, las capturas de pantalla o el contenido del portapapeles guardados en un
navegador se pueden marcar y bloquear en función de la dirección URL.
Las definiciones de aplicaciones se pueden identificar mediante cualquiera de los siguientes
parámetros.
Guía del producto
93
8
•
Línea de comandos: admite argumentos de línea de comandos, como por ejemplo: java‑jar, que
permite controlar aplicaciones anteriormente incontrolables.
•
Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2
identificativo.
•
Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre de
visualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo.
•
Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos
que se haya cambiado el nombre del archivo.
•
Nombre del producto: nombre genérico del producto (por ejemplo Microsoft Office 2003) si se
incluye en las propiedades del archivo ejecutable.
•
Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades del
archivo ejecutable.
•
Título de ventana: valor dinámico que cambia en tiempo de ejecución para incluir el nombre del
archivo activo.
•
Directorio de trabajo: directorio en el que se encuentra el archivo ejecutable. Un uso de este
parámetro es controlar las aplicaciones U3.
A excepción del directorio de trabajo y del nombre de la aplicación SHA2, todos los parámetros
aceptan las coincidencias de subcadenas.
Como resultado de este modelo de datos, la estrategia de aplicaciones queda definida en las
definiciones de aplicaciones, no en la Lista de aplicaciones empresariales, como en versiones
anteriores. Una consecuencia de esto es que la misma aplicación se puede incluir en varias
definiciones de aplicaciones y, por tanto, se pueden asignar varias estrategias. McAfee DLP Endpoint
soluciona los posibles conflictos en función de la siguiente jerarquía: archivador > de confianza >
explorador > editor; es decir, el editor se encuentra en la posición inferior. Si una aplicación es un
editor en una definición y otro elemento distinto en otra, McAfee DLP Endpoint no trata la aplicación
como editor.
94
Guía del producto
8
Hay una nueva opción que permite el análisis de los archivos asignados a la memoria. Esta opción se
ha añadido para ofrecer compatibilidad con los archivos gráficos de Autodesk 3ds Max. A pesar de que
esta opción está disponible en todas las ventanas de definiciones, se selecciona automáticamente solo
en la definición de aplicaciones de 3ds Max. Debido a la carga de procesamiento, no se recomienda
usar esta opción a menos que sea específicamente necesario.
Figura 8-8 Ventana Definición de aplicaciones
Creación de definiciones de la aplicación
Utilice estas tareas para crear definiciones de aplicaciones.
Guía del producto
95
8
Procedimientos
•
Creación de una definición de aplicaciones en la página 96
Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades
como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de
la ventana.
•
Creación de una definición de aplicaciones en la lista de aplicaciones empresariales en la
página 97
Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades
como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de
la ventana.
•
Creación de una definición de aplicaciones web en la página 97
Las definiciones de aplicaciones web se usan para crear reglas de protección y marcado
para archivos guardados en los navegadores, en función de la dirección URL examinada.
Creación de una definición de aplicaciones
Utilice esta tarea para crear una definición de aplicaciones directamente. Además, puede crear una
definición de aplicaciones en la lista de aplicaciones empresariales. Las definiciones de aplicaciones
sustituyen a los grupos de aplicaciones usados en versiones anteriores de McAfee DLP Endpoint.
Procedimiento
1
seleccione Definiciones de aplicaciones.
Las definiciones disponibles aparecerán en el panel de la derecha.
2
En la ventana Definiciones de aplicaciones, haga clic con el botón derecho del ratón y seleccione Nuevo |
Definición de la aplicación.
Aparecerá el icono de la nueva definición de aplicaciones.
3
Asigne un nombre a la nueva definición de aplicaciones y haga doble clic en el icono.
4
5
Seleccione los parámetros.
Al seleccionar cada uno de los parámetros, aparecerá la ventana de edición.
6
Haga clic en Nuevo y especifique un valor y una descripción opcional. Algunos parámetros permiten
la coincidencia parcial. Seleccione la opción que desee utilizar.
Si selecciona la coincidencia parcial, el valor especificado coincide como subcadena.
7
96
Haga clic en Nuevo para agregar más valores. Una vez que haya terminado, haga clic en Aceptar para
cerrar la ventana de edición de parámetros.
Guía del producto
8
8
Una vez que haya terminado de agregar parámetros, haga clic en Aceptar para guardar la definición
editada.
9
De forma predeterminada, las nuevas definiciones de aplicaciones se crean con la estrategia
Editor. Para cambiar la estrategia, haga clic con el botón derecho del ratón en el nombre de la
definición y seleccione Estrategia de proceso.
Dado que la estrategia elegida afecta al nivel de observación del sistema, puede afectar
considerablemente al rendimiento.
Creación de una definición de aplicaciones en la lista de aplicaciones
empresariales
Utilice esta tarea para crear una definición de aplicaciones de la lista de aplicaciones empresariales.
También es posible crear definiciones de aplicaciones directamente.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Aplicaciones,
seleccione Lista de aplicaciones empresariales.
La lista de aplicaciones disponibles aparecerá en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en una aplicación y seleccione Crear definición de la aplicación.
La ventana de edición aparecerá con varios parámetros seleccionados, según la información
disponible. Puede modificar la definición ahora o tras su creación. Además, es posible agregar
varias aplicaciones a una definición. Selecciónelas mediante las reglas de selección habituales
(Mayús + clic y Ctrl + clic) antes de hacer clic con el botón derecho del ratón.
Si ya existen definiciones de aplicaciones que incluyen la aplicación seleccionada, se activará la
opción Ir a. Al hacer clic en la opción Ir a se abre Definiciones de aplicaciones en el panel principal y se
selecciona la aplicación.
3
4
Haga clic en Aceptar. En el panel de navegación de la consola de directivas de McAfee DLP Endpoint,
en Definiciones, seleccione Definiciones de aplicaciones para ver la nueva definición.
5
De forma predeterminada, las nuevas definiciones de aplicaciones se crean con la estrategia
Editor. Para cambiar la estrategia, haga clic con el botón derecho del ratón en el nombre de la
definición y seleccione Estrategia de proceso.
Dado que la estrategia elegida afecta al nivel de observación del sistema, puede afectar
considerablemente al rendimiento.
Creación de una definición de aplicaciones web
Las definiciones de aplicaciones web se usan para crear reglas de protección y marcado para archivos
guardados en los navegadores, en función de la dirección URL examinada.
Procedimiento
1
seleccione Definiciones de aplicaciones.
Las definiciones disponibles aparecerán en el panel de la derecha.
Guía del producto
97
8
2
En la ventana Definiciones de aplicaciones, haga clic con el botón derecho del ratón y seleccione Nuevo |
Definición de la aplicación Web.
Aparecerá el icono de la nueva definición de aplicaciones web.
3
Asigne un nombre a la nueva definición de aplicaciones web y haga doble clic en el icono.
Aparecerá la ventana de edición. La ventana contiene un parámetro: Dirección URL del navegador.
4
5
Seleccione el parámetro de la dirección URL del navegador para abrir la ventana de edición.
6
Haga clic en Nuevo y especifique un valor y una descripción opcional. Seleccione la coincidencia
parcial si desea que el valor especificado se utilice como subcadena.
7
Haga clic en Nuevo para agregar más valores de URL. Una vez que haya terminado, haga clic en
Aceptar para cerrar la ventana de edición de parámetros.
8
Haga clic en Aceptar para guardar la definición editada.
Adición y eliminación de aplicaciones
Utilice estas tareas para agregar o quitar aplicaciones de la Lista de aplicaciones empresariales.
Procedimientos
•
Importación manual de una aplicación en la página 98
La Lista de aplicaciones de la empresa es una lista completa de las aplicaciones cuyos datos desea
controlar.
•
Importación de nuevas aplicaciones mediante un análisis en la página 99
La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos
se desea controlar.
•
Eliminación de aplicaciones de la lista en la página 99
La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos
se desea controlar.
Importación manual de una aplicación
La Lista de aplicaciones de la empresa es una lista completa de las aplicaciones cuyos datos desea controlar.
Procedimiento
1
En la ventana Lista de aplicaciones empresariales, haga clic con el botón derecho y seleccione Agregar.
Aparecerá la ventana Agregar ejecutable.
2
Haga clic en Examinar y seleccione el archivo .exe de la aplicación.
3
Seleccione una aplicación y haga clic en Abrir.
Aparecen los detalles de la aplicación.
4
Haga clic en Agregar para importar la aplicación a la lista.
Para agregar una aplicación, también puede seleccionar el ejecutable y arrastrarlo con el ratón a la
ventana Lista de aplicaciones de la empresa.
98
Guía del producto
8
Importación de nuevas aplicaciones mediante un análisis
controlar.
Puede agregar grupos de aplicaciones a la Lista de aplicaciones de la empresa desde unidades o carpetas
concretas. Debe utilizar la opción Fusionar.
Procedimiento
1
En la ventana Lista de aplicaciones empresariales, haga clic con el botón derecho y seleccione Buscar
aplicaciones.
Aparecerá la ventana Buscar aplicaciones.
2
Haga clic en el botón Inicio
aplicaciones.
y seleccione las unidades y las carpetas donde desee buscar
Aparecerán todas las aplicaciones disponibles.
3
4
Seleccione la acción correspondiente en la lista:
•
El botón Borrar
•
El botón Fusionar
elimina la lista actual.
agrega las aplicaciones en la Lista de aplicaciones de la empresa.
Cierre la ventana Buscar aplicaciones.
Las aplicaciones fusionadas aparecen en la Lista de aplicaciones de la empresa.
Eliminación de aplicaciones de la lista
controlar.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Aplicaciones,
seleccione Lista de aplicaciones empresariales.
Las aplicaciones disponibles aparecen en el panel derecho.
2
Haga clic con el botón derecho del ratón en el archivo ejecutable principal (.exe) de la aplicación y
seleccione Eliminar.
3
Se elimina la aplicación completa, es decir, el archivo ejecutable y todos los archivos asociados.
No se puede eliminar una aplicación si está incluida en una definición de aplicaciones. Haga clic con
el botón derecho del ratón y seleccione Definiciones de aplicaciones | Ir a para ver si la aplicación está
incluida en alguna definición antes de eliminarla.
Definición de tipos de archivos
Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección a
determinados tipos de archivo.
El software incluye una lista de extensiones de archivo predeterminadas que se utilizan en las reglas
de marcado y de protección. Es posible agregar manualmente extensiones de archivo en función del
entorno.
Guía del producto
99
8
Procedimientos
•
Creación de extensiones de archivos en la página 100
Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de
protección a determinados tipos de archivo.
•
Creación de grupos de extensiones de archivos en la página 100
Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de
protección a determinados tipos de archivo. Los grupos de correo electrónico simplifican las
reglas a la vez que mantienen la granularidad al combinar diversas definiciones de
extensiones en un grupo.
Creación de extensiones de archivos
determinados tipos de archivo.
Procedimiento
1
seleccione Extensiones de archivos.
Las extensiones de archivos disponibles aparecerán en el panel de la derecha.
2
En la ventana Extensiones de archivos, haga clic con el botón derecho y seleccione Nuevo | Extensión de
archivo.
Aparecerá el icono de la nueva Extensión de archivo.
3
4
Escriba el nombre de la nueva extensión de archivo y haga doble clic en el icono. Aparecerá la
ventana de edición.
5
En el cuadro de texto Extensión, escriba la extensión precedida por un punto; por ejemplo, .GIF.
6
Introduzca una descripción para la extensión de archivo (opcional).
7
Creación de grupos de extensiones de archivos
determinados tipos de archivo. Los grupos de correo electrónico simplifican las reglas a la vez que
mantienen la granularidad al combinar diversas definiciones de extensiones en un grupo.
Procedimiento
1
seleccione Extensiones de archivos.
Los grupos de extensiones de archivos disponibles aparecerán en el panel de la derecha.
100
Guía del producto
8
2
Haga clic en Nuevo | Grupo de extensiones de archivos en la barra de herramientas de la consola de
directivas de McAfee DLP Endpoint o tras hacer clic con el botón derecho del ratón en la ventana
Extensiones de archivos.
Aparecerá el icono del nuevo Grupo de extensiones de archivos.
3
4
Especifique el nombre del grupo de extensiones de archivos.
5
Agregue una descripción para este grupo (opcional).
6
Seleccione las extensiones de archivos de la lista de extensiones disponibles.
7
Las reglas de clasificación asignan categorías de contenido a las definiciones de repositorio de
documentos registrados o archivos.
Las reglas se pueden filtrar por patrones de texto y diccionarios o se pueden aplicar a partes
específicas de los documentos (encabezado, pie de página y cuerpo).
Contenido
Vinculación de categorías a contenido mediante reglas de clasificación
Creación y definición de reglas de clasificación
Vinculación de categorías a contenido mediante reglas de
clasificación
Las reglas de clasificación asocian los archivos y los datos a las categorías de contenido apropiadas.
Categorías de contenido
Las definiciones de categoría de contenido se crean en el panel de definiciones Marcas y categorías.
Las categorías se pueden agrupar para simplificar la creación de reglas. Una definición de categoría de
contenido está formada por un nombre apropiado, una descripción opcional y un GUID asignado por el
sistema.
Reglas de clasificación del contenido
Las reglas de clasificación del contenido asocian definiciones de diccionario y patrón de texto con
categorías de contenido. Cuando estas categorías se agregan a las reglas de protección, se supervisa
o se bloquea el texto determinado de ese contenido. Las reglas pueden contener cualquier
combinación de patrones de texto y de diccionarios. En el caso de archivos de Microsoft Word, puede
especificar también en qué lugar del documento (encabezado/cuerpo/pie de página) se encuentra el
contenido especificado.
Extractor de texto
El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con
patrones de texto y definiciones de diccionarios en las reglas de clasificación. Cuando se produce una
coincidencia, se aplica una categoría de contenido adecuada.
Guía del producto
101
8
El extractor de texto puede ejecutar varios procesos, de acuerdo a la cantidad de núcleos del
procesador: con un procesador de un solo núcleo solo se ejecuta un proceso; los procesadores de
doble núcleo ejecutan hasta dos procesos, y los procesadores de varios núcleos ejecutan hasta tres
procesos simultáneos. Si varios usuarios inician sesión, cada usuario dispone de su propio conjunto de
procesos, de modo que el número de extractores de texto depende del número de núcleos y del
número de sesiones de usuario. Los diversos procesos se pueden observar en el Administrador de
tareas de Windows.
El uso de memoria por parte del extractor de texto se puede configurar en la página Configuración de los
agentes | Configuración avanzada. Si se supera el máximo de memoria, el extractor de texto se reinicia. El
valor predeterminado es 75 MB. Esta opción de configuración está disponible solo para los clientes de
la versión 9.2 Parche 1 y superiores.
El software McAfee DLP Endpoint es compatible con caracteres acentuados. Cuando un archivo de
texto ASCII contiene una mezcla de caracteres acentuados, como los que existen en francés y
español, además de otros caracteres latinos estándar, es posible que el extractor de texto no
identifique correctamente el conjunto de caracteres. Esto no es un defecto, sino un problema conocido
de todos los programas de extracción de texto. En estos casos, no existe un método o una técnica
conocida para identificar la página de código ANSI. Cuando el extractor de texto no puede identificar la
página de código, no se reconocen los patrones de texto y las firmas de etiquetas, no puede
clasificarse correctamente el documento y no puede tomarse la acción de bloqueo o supervisión
correcta. Para resolver este problema, cuando no puede determinarse la página de código, el software
del cliente de McAfee DLP Endpoint usa una página de código de respaldo. El respaldo se configura en
la ficha Configuración de los agentes | Seguimiento de archivos, y es el idioma predeterminado del equipo o un
idioma diferente configurado por el administrador.
Reglas de clasificación de documentos registrados
Las reglas de clasificación de documentos registrados asocian todo el contenido que coincide con una
definición específica del repositorio de documentos registrados con una categoría de contenido. En
cuanto a las reglas de clasificación del contenido, cuando se agregan categorías a las reglas de
protección, se supervisa o se bloquea el texto determinado de ese contenido.
Creación y definición de reglas de clasificación
Las reglas de clasificación asocian el contenido con las categorías de contenido apropiadas. Existen
dos tipos: reglas de contenido y reglas de documentos registrados.
Utilice estas tareas para crear y definir reglas de clasificación.
Procedimientos
•
Creación y definición de una regla de clasificación de contenido en la página 102
Las reglas de clasificación de contenido vinculan los patrones de texto o los diccionarios con
las clasificaciones de contenido. En versiones anteriores de McAfee DLP Endpoint, se
conocían como reglas de marcado basadas en contenido.
•
Creación y definición de una regla de clasificación de documentos registrados en la página
103
Las reglas de clasificación de documentos registrados aplican definiciones del repositorio y
categorías de contenido a los archivos.
Creación y definición de una regla de clasificación de contenido
Las reglas de clasificación de contenido vinculan los patrones de texto o los diccionarios con las
clasificaciones de contenido. En versiones anteriores de McAfee DLP Endpoint, se conocían como
reglas de marcado basadas en contenido.
102
Guía del producto
8
Procedimiento
1
de contenido | Reglas de clasificación.
Las reglas de clasificación disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de clasificación, haga clic con el botón derecho y seleccione Nuevo | Regla de clasificación
de contenido.
3
4
5
Paso
Acción
1 de 4
Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO
(Y lógico) y, a continuación, seleccione uno o más patrones de texto o grupos
de patrones de texto de la lista disponible. Haga clic en la opción Agregar
elemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupo
para crear un nuevo grupo de patrones de texto. Haga clic en Editar para
modificar un grupo o un patrón de texto existentes. Haga clic en Siguiente.
2 de 4
Seleccione una de las opciones de diccionario.
3 de 4
(opcional)
Seleccione la parte del documento donde tendrá lugar la comparación con el
patrón de texto o el diccionario. Esta opción se ha diseñado principalmente
para su uso con archivos de Microsoft Word, pero se aplica a cualquier tipo de
archivo que tenga un encabezado/pie de página.
4 de 4
Seleccione una categoría de contenido o cree una nueva haciendo clic en
Nuevo. Haga clic en Finalizar.
Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de clasificación y
seleccione Activar.
Creación y definición de una regla de clasificación de documentos
registrados
Las reglas de clasificación de documentos registrados aplican definiciones del repositorio y categorías
de contenido a los archivos.
Procedimiento
1
de contenido | Reglas de clasificación.
Las reglas de clasificación disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de clasificación, haga clic con el botón derecho y seleccione Nuevo | Regla de clasificación
de documentos registrados.
3
Guía del producto
103
8
4
Paso
Acción
1 de 2 Seleccione una o varias definiciones o grupos de repositorios de documentos registrados
de la lista disponible. Haga clic en Agregar elemento para crear una nueva definición de
repositorio de documentos registrados o en Agregar grupo para crear un nuevo grupo de
repositorios de documentos registrados. Haga clic en Siguiente.
2 de 2 Seleccione una categoría de contenido o cree una nueva haciendo clic en Nuevo. Haga clic
en Finalizar.
5
Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de clasificación y
seleccione Activar.
Procedimientos
•
Indexación de repositorios de documentos registrados en la página 104
La indexación de repositorios de documentos registrados se planifica mediante las tareas
de servidor de ePolicy Orchestrator.
•
Despliegue de un paquete de documentos registrados en los equipos cliente en la página
104
Los paquetes del repositorio de documentos registrados indexados se distribuyen entre los
equipos gestionados como si se tratara de un despliegue de productos.
Indexación de repositorios de documentos registrados
La indexación de repositorios de documentos registrados se planifica mediante las tareas de servidor
de ePolicy Orchestrator.
Antes de empezar
Cree una definición de repositorio de documentos registrados. A continuación, cree y active
una regla de clasificación de documentos registrados y una regla de protección mediante la
categoría de contenido especificada en la regla de clasificación. Aplique la directiva a
Procedimiento
1
En ePolicy Orchestrator seleccione Menú | Automatización | Tareas servidor.
2
Haga clic en Nueva tarea.
3
En el Generador de tareas servidor, asigne un nombre a la nueva tarea y haga clic en Siguiente.
4
En la página Acciones, seleccione Analizador de documentos registrados de DLP de la lista desplegable. Haga
clic en Siguiente para planificar el análisis. Revise la tarea y haga clic en Guardar.
La tarea aparecerá entonces en la lista Tareas servidor. Selecciónela y haga clic en Ejecutar para
ejecutar el análisis inmediatamente.
Despliegue de un paquete de documentos registrados en los equipos cliente
Los paquetes del repositorio de documentos registrados indexados se distribuyen entre los equipos
gestionados como si se tratara de un despliegue de productos.
Antes de empezar
El paquete de documentos registrados debe estar indexado en ePolicy Orchestrator.
104
Guía del producto
8
Procedimiento
1
En ePolicy Orchestrator seleccione Menú | Árbol de sistemas.
2
En el árbol de sistemas, seleccione el nivel en el que se vaya a desplegar el paquete de
Al definir el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas por
Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponibles
aparecerán en el panel derecho. Asimismo, puede desplegar el paquete de documentos registrados
en estaciones de trabajo individuales.
3
4
Abra el asistente de Generador de tareas cliente:
•
En ePolicy Orchestrator 4.5, haga clic en la ficha Tareas cliente. En Acciones, seleccione Nueva tarea.
•
En ePolicy Orchestrator 4.6 y 5.0, haga clic en la ficha Tareas cliente asignadas. En Acciones,
seleccione Nueva asignación de tarea cliente.
Seleccione el tipo de despliegue:
•
En ePolicy Orchestrator 4.5, en el campo Tipo, seleccione Despliegues de producto. Haga clic en
Siguiente.
•
En ePolicy Orchestrator 4.6 y 5.0, en el campo Producto seleccione McAfee Agent. En el campo
Tipo de tarea, seleccione Despliegue de productos. Haga clic en Crear nueva tarea.
5
En el campo Nombre, escriba un nombre apropiado; por ejemplo, Instalar documentos
registrados de DLP. Escriba una descripción (opcional).
6
En el campo Productos y componentes, seleccione Documentos registrados de DLP 9.2.0.0 o Documentos registrados
de DLP 9.3.0.0. Deje el campo Acción en Instalar.
Seleccione la versión de los documentos registrados en función de los clientes de McAfee DLP
Endpoint en los que se realice el despliegue. Los paquetes de documentos registrados no son
compatibles entre versiones, por lo tanto, si tiene dos versiones de cliente deberá hacer dos
paquetes distintos.
•
En ePolicy Orchestrator 4.5, haga clic en Siguiente.
•
En ePolicy Orchestrator 4.6 y 5.0, haga clic en Guardar.
7
Seleccione un Tipo de planificación adecuado y defina las Opciones, la fecha y los parámetros de
Planificación. Haga clic en Siguiente.
8
Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar.
Guía del producto
105
8
106
Guía del producto
9
Seguimiento de contenido con marcas y
clasificaciones
El software McAfee DLP Endpoint lleva a cabo un seguimiento de la información confidencial y la
controla mediante dos mecanismos similares: marcas y categorías de contenido.
Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Las reglas de
clasificación asocian los archivos y los datos a categorías de contenido. En ambos casos, se etiqueta la
información confidencial y dicha etiqueta permanece con el contenido incluso si se copia en otro
documento o se guarda con un formato diferente.
Contenido
Utilización de marcas y categorías de contenido para clasificar contenido
Vinculación de marcas al contenido mediante reglas de marcado
Marcas manuales
Utilización de marcas y categorías de contenido para clasificar
contenido
Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación en
otras ocasiones.
Las reglas de marcado asignan marcas al contenido de determinadas aplicaciones o ubicaciones. Una
vez asignada una marca, ésta permanece con el contenido cuando se cambia a otra ubicación o se
copia, o bien cuando se incluye o adjunta a otros archivos o tipos de archivos.
Categorías de contenido
Las categorías de contenido, llamadas marcas de contenido en versiones anteriores de McAfee DLP
Endpoint, son otra forma de clasificar contenido. Las categorías de contenido se utilizan con las reglas
de clasificación para clasificar contenido y grupos de documentos registrados. También se pueden
especificar directamente en la mayoría de reglas de protección.
En McAfee Device Control sólo hay disponibles categorías de contenido, no marcas.
Para proteger los datos, siga este proceso:
1
Clasifique la información que debe protegerse.
2
Cree marcas o categorías de contenido para cada clasificación de datos.
Guía del producto
107
9
3
Cree reglas de marcado y reglas de clasificación que asocien información confidencial con las
marcas y categorías de contenido apropiadas.
4
Defina las reglas de protección que incluyen las marcas y categorías de contenido que bloquean,
supervisan o cifran la información confidencial que los usuarios envían a dispositivos portátiles o a
determinadas ubicaciones de red.
Catálogos de categorías
Los catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificación
predefinidas asociadas que pueden usarse como bloques constitutivos preestablecidos para la
confección de directivas. Cuando selecciona de un catálogo una categoría de contenido,
automáticamente añade a la directiva la categoría de contenido y las reglas de clasificación
relacionadas. Si ya ha creado una categoría con ese nombre, sólo se agregan las reglas.
Creación de marcas, categorías de contenido, catálogos y
grupos
Utilice estas tareas para crear marcas, categorías de contenido y grupos de categorías y marcas que
posteriormente se adjuntan a los archivos mediante las reglas de marcado o de clasificación. O bien
cree catálogos de contenido, los cuales agregan de forma simultánea una categoría de contenido y las
reglas de clasificación relacionadas.
Decida cómo va a distinguir los distintos tipos de contenido y cree una marca o una categoría de
contenido para cada tipo.
Procedimientos
•
Creación de una marca en la página 108
Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa
clasificación en otras ocasiones.
•
Creación de una categoría de contenido en la página 109
Una definición de categoría de contenido está formada por un nombre apropiado, una
descripción opcional y un GUID asignado por el sistema.
•
Importación de un catálogo de categorías en la página 109
Los catálogos de categorías son conjuntos de categorías de contenido y reglas de
clasificación predefinidas asociadas. Una vez que se importa un catálogo de categorías en
la directiva, las reglas de clasificación pueden utilizarse tal cual o modificarse según sea
necesario. Si ya existe una categoría de contenido con el mismo nombre, se importarán
sólo las reglas de clasificación.
•
Creación de un grupo de categorías y marcas en la página 110
Los grupos de categorías y marcas se utilizan para incluir varias marcas y categorías de
contenido en los archivos de forma más eficaz.
Creación de una marca
Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación en
otras ocasiones.
Procedimiento
1
seleccione Marcas y categorías.
Las marcas, categorías de contenido y grupos disponibles aparecerán en el panel derecho.
108
Guía del producto
9
2
En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo | Marca.
El icono de la nueva marca aparecerá con el nombre seleccionado.
3
Introduzca un nombre y, a continuación, haga doble clic en el icono.
4
5
También se puede crear una nueva marca mientras se crea una regla de marcado o de protección.
Creación de una categoría de contenido
Una definición de categoría de contenido está formada por un nombre apropiado, una descripción
opcional y un GUID asignado por el sistema.
Procedimiento
1
Las marcas, categorías de contenido y grupos disponibles aparecen en el panel derecho.
2
En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo | Categoría
de contenido.
El icono de la nueva categoría de contenido aparece con el nombre seleccionado.
3
Introduzca un nombre y, a continuación, haga doble clic en el icono.
4
5
También se puede crear una nueva categoría de contenido mientras se crea una regla de
clasificación o de protección.
Importación de un catálogo de categorías
Los catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificación
predefinidas asociadas. Una vez que se importa un catálogo de categorías en la directiva, las reglas de
clasificación pueden utilizarse tal cual o modificarse según sea necesario. Si ya existe una categoría de
contenido con el mismo nombre, se importarán sólo las reglas de clasificación.
Procedimiento
1
2
En la ventana Marcas y categorías, haga clic con el botón derecho y seleccione Importar categorías.
Tras unos segundos, se abrirá la ventana Catálogo de categorías.
3
Seleccione las categorías que desee importar y haga clic en Aceptar.
Se importarán las categorías y las reglas de clasificación relacionadas.
Guía del producto
109
9
Creación de un grupo de categorías y marcas
Los grupos de categorías y marcas se utilizan para incluir varias marcas y categorías de contenido en
los archivos de forma más eficaz.
Procedimiento
1
2
En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo de
categorías y marcas.
Aparecerá el icono del nuevo grupo de categorías y marcas.
3
Asigne un nombre al nuevo grupo y haga doble clic en el icono.
4
5
Seleccione las categorías de contenido y marcas para el grupo.
6
Cuando se utiliza un grupo de marcas de reglas de protección, todas las marcas del grupo
seleccionado deben estar disponibles en el contenido específico de la regla de protección que se va a
activar.
Vinculación de marcas al contenido mediante reglas de
marcado
Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas.
Marcas
Las definiciones de las marcas se crean en el panel de definiciones Marcas y categorías. Las marcas se
pueden agrupar para simplificar la creación de reglas. Una definición de marca está formada por un
nombre apropiado, una descripción opcional y un GUID asignado por el sistema.
Reglas de marcado
Unas sencillas reglas de marcado basadas en aplicaciones supervisan o bloquean todos los archivos
creados por la aplicación o las aplicaciones designadas en una definición de aplicaciones. Asimismo,
las reglas de marcado basadas en la ubicación supervisan o bloquean todos los archivos de la
ubicación especificada. Si se agregan condiciones a una regla sencilla, ésta se limita mediante
operadores Y lógicos.
Las extensiones de archivo y los tipos de archivos están predefinidos en el sistema y el administrador
no puede modificarlos. Al agregar un tipo de archivo o una extensión determinados a una regla de
marcado basada en la aplicación o en la ubicación, sólo se aplica una marca a los archivos creados por
una aplicación específica o en una ubicación determinada y con el tipo de archivo o la extensión
seleccionada.
110
Guía del producto
9
Si se utiliza la restricción de patrón de texto o diccionario en reglas de marcado basadas en la
aplicación o en la ubicación, o creadas en una aplicación específica, y que además contienen un patrón
o umbral de diccionario concreto, se aplican marcas únicamente a los archivos de una ubicación
determinada. Esta opción le permite combinar funciones de categorías de contenido con el marcado.
Pueden seleccionarse varios patrones de texto o diccionarios, especificados como ALGUNO de los
siguientes o TODOS los siguientes. En el caso de archivos de Microsoft Word, puede especificar
también en qué lugar del documento (encabezado/cuerpo/pie de página) se encuentra el contenido
especificado.
Una vez que se ha adjuntado una marca a un archivo, ésta permanecerá con el contenido, aunque
éste se copie en un archivo de otro tipo o situado en otra ubicación.
Una marca puede usarse en más de una regla de marcado. Por ejemplo, una regla de marcado basada
en la aplicación puede aplicar una marca denominada “Información financiera” a determinados tipos
de archivo, sin tener en cuenta su ubicación. Una regla de marcado basada en la ubicación puede
aplicar dicha marca “Información financiera” a los archivos de una ubicación concreta sin tener en
cuenta su tipo.
Creación y definición de reglas de marcado
La creación de reglas de marcado se realiza en tres pasos. En primer lugar, se debe crear una regla de
marcado; a continuación, se debe definir esta regla y, por último, activarla antes de que se pueda
utilizar.
Utilice estas tareas para crear y definir reglas de marcado.
Procedimientos
•
Creación y definición de una regla de marcado basada en aplicaciones en la página 111
•
Creación y definición de una regla de marcado basada en la ubicación en la página 112
Creación y definición de una regla de marcado basada en aplicaciones
Procedimiento
1
de contenido | Reglas de marcado.
Las reglas de marcado disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de marcado, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla de
marcado basada en aplicaciones.
3
Guía del producto
111
9
4
5
Paso
Acción
1 de 7
Seleccione una o varias definiciones de aplicaciones de la lista disponible.
Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una
nueva definición de aplicaciones. Haga clic en Siguiente.
2 de 7
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos
de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para
seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga
clic en Siguiente.
3 de 7
(opcional)
4 de 7
(opcional)
Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO
(Y lógico) y, a continuación, seleccione uno o más patrones de texto o grupos
de patrones de texto de la lista disponible. Haga clic en la opción Agregar
elemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupo
para crear un nuevo grupo de patrones de texto. Haga clic en Editar para
modificar un grupo o un patrón de texto existentes. Haga clic en Siguiente.
5 de 7
(opcional)
Seleccione una de las opciones de diccionario, ALGUNO (O lógico) o TODO (Y
lógico) y, a continuación, seleccione uno o más diccionarios. Haga clic en
Agregar para crear un diccionario nuevo o en Editar para modificar un diccionario
existente. Haga clic en Siguiente.
6 de 7
(opcional)
patrón de texto o el diccionario. Esta opción está diseñada para su uso con
archivos de Microsoft Word.
7 de 7
Seleccione una marca disponible para esta regla o cree una nueva haciendo
clic en Nuevo. Haga clic en Finalizar.
Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y
seleccione Activar.
Al crear una regla de marcado de definición de aplicaciones con varias aplicaciones, todas las
aplicaciones incluidas se agregan en una línea de la regla con operadores O lógicos y todas las
aplicaciones excluidas se agregan a una segunda línea con operadores O lógicos. Las dos líneas son
operadores Y lógicos. Por ejemplo:
...definición es "Aplicaciones de cliente de correo electrónico" O "Aplicaciones de Microsoft Office" Y
la definición no es "Aplicaciones de grabador multimedia"
Si no incluye una definición de aplicaciones como mínimo, la regla se aplica a todas las aplicaciones
que no se excluyen de forma específica.
Creación y definición de una regla de marcado basada en la ubicación
Procedimiento
1
de contenido | Reglas de marcado.
Las reglas de marcado disponibles aparecerán en el panel de la derecha.
112
Guía del producto
9
Marcas manuales
2
En el panel Reglas de marcado, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla de
marcado basada en ubicación.
3
4
5
Paso
Acción
1 de 7
Seleccione una o más ubicaciones de la lista disponible. Si selecciona un
Servidor de archivos de red, se abrirá el cuadro de diálogo Configurar selección.
Introduzca una nueva ubicación de red o haga clic en Explorar y ubique el
servidor. Si lo prefiere, puede seleccionar Cualquier servidor de archivos de red. Haga
clic en Aceptar. Cuando haya terminado la selección, haga clic en Siguiente.
2 de 7
(opcional)
archivos de la lista disponible. Utilice la opción Otros tipos de archivos para
clic en Siguiente.
3 de 7
(opcional)
4 de 7
(opcional)
Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO (Y
lógico) y, a continuación, seleccione uno o más patrones de texto de la lista
disponible. Haga clic en la opción Agregar elemento para crear un nuevo patrón de
texto, o bien haga clic en Agregar grupo para crear un nuevo grupo de patrones
de texto. Haga clic en Editar para modificar un grupo o un patrón de texto
existentes. Haga clic en Siguiente.
5 de 7
(opcional)
Seleccione una de las opciones de diccionario, ALGUNO (O lógico) o TODO (Y
lógico) y, a continuación, seleccione uno o más diccionarios. Haga clic en
Agregar para crear un diccionario nuevo o en Editar para modificar un diccionario
existente. Haga clic en Siguiente.
6 de 7
(opcional)
patrón de texto o el diccionario. Esta opción está diseñada para su uso con
archivos de Microsoft Word.
7 de 7
Seleccione una marca disponible para esta regla o cree una nueva haciendo
clic en Nuevo. Haga clic en Finalizar.
seleccione Activar.
Marcas manuales
La opción Aplicación manual de marcas permite a los usuarios autorizados agregar o eliminar marcas
de los archivos sin utilizar reglas de marcado. A esta opción se accede desde el equipo gestionado.
La aplicación manual de marcas ofrece la posibilidad de mantener la directiva de clasificación de su
empresa incluso en los casos especiales de información confidencial o exclusiva que el sistema no
marca de forma automática. Para aplicar o eliminar marcas manualmente, un usuario debe estar
autorizado. Esta autorización se establece en la ficha Seguridad de la Configuración de los agentes
mediante Microsoft Active Directory u OpenLDAP.
Las marcas que se aplican a los archivos de forma manual afectan a las opciones de transmisión del
contenido de forma inmediata, según las reglas de protección correspondientes.
Guía del producto
113
9
Marcas manuales
Contenido
Aplicación manual de marcas a los archivos
Eliminación de marcas manuales del contenido
Aplicación manual de marcas a los archivos
Si es necesario, los usuarios autorizados pueden aplicar marcas a los archivos manualmente.
Para utilizar la aplicación manual de marcas, los usuarios deben estar autorizados. El permiso para la
aplicación manual de marcas se define en la consola de directivas de McAfee DLP Endpoint, en la ficha
Configuración de los agentes | Editar configuración global de los agentes | Seguridad.
Procedimiento
1
En un equipo gestionado, abra el Explorador de Windows.
2
Haga clic con el botón derecho en el archivo y seleccione Aplicación manual de marcas.
Aparecerá la ventana Aplicación manual de marcas con las marcas disponibles.
3
Seleccione las marcas apropiadas para el archivo.
4
Eliminación de marcas manuales del contenido
Las marcas aplicadas manualmente deben ser eliminadas manualmente.
Para utilizar la aplicación manual de marcas, los usuarios deben estar autorizados. El permiso para la
aplicación manual de marcas se define en la consola de directivas de McAfee DLP Endpoint, en la ficha
Configuración de los agentes | Editar configuración global de los agentes | Seguridad, mediante Microsoft Active
Directory u OpenLDAP.
Procedimiento
1
En un equipo gestionado, abra el Explorador de Windows.
2
Haga clic con el botón derecho del ratón en el archivo con marcas que desee eliminar y seleccione
Aplicación manual de marcas.
Aparece la ventana Aplicación manual de marcas con todas las marcas asignadas.
3
Seleccione las marcas que desee eliminar de estos archivos.
4
Si se seleccionan varios archivos con diversas marcas asignadas, sólo se eliminarán las que estén
asignadas a todos los archivos seleccionados.
114
Guía del producto
10
Aplicación de la protección de McAfee
DLP
McAfee DLP Endpoint protege el contenido de carácter confidencial mediante una combinación de
reglas de dispositivos y de protección. Las reglas se aplican con directivas que se distribuyen entre los
equipos gestionados.
Contenido
Protección de medios extraíbles
Protección de archivos mediante la gestión de derechos
Control del contenido de carácter confidencial con reglas de protección
Limitación de reglas con grupos de asignación
El control del dispositivo es el modo de prevenir el uso no autorizado de dispositivos multimedia
extraíbles para evitar la fuga de datos.
El software McAfee Data Loss Prevention puede supervisar o bloquear los dispositivos, como
smartphones, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de MP3
o dispositivos Plug and Play, conectados a los equipos gestionados de la empresa, de modo que pueda
supervisar y controlar su uso en la distribución de la información confidencial. En el software McAfee
DLP Endpoint versión 9.3, esta protección se amplía con el fin de incluir los discos duros que no sean
del sistema. Para muchas organizaciones, este nivel de prevención de fuga de datos es el objetivo
principal. Este es el nivel de protección ofrecido por el software McAfee Device Control, y que es la
implementación predeterminada del software McAfee DLP Endpoint al instalarlo por primera vez.
El comportamiento del software McAfee Data Loss Prevention al bloquear la copia de archivos a los
dispositivos extraíbles se ha optimizado en la versión 9.3. En las versiones anteriores, el análisis del
archivo para las infracciones de directivas se llevaba a cabo simultáneamente con la función de copia
de Windows. El archivo se copiaba y en caso de que se infringiera una directiva se eliminaba
inmediatamente. Este mecanismo se usaba para optimizar el rendimiento, pero había una pequeña
oportunidad para desconectar el dispositivo con el archivo "bloqueado" intacto. En la versión 9.3, la
función de copia se interrumpe hasta que finaliza el análisis. Si tras tres segundos el archivo sigue
analizándose, una ventana emergente informará al usuario de que el archivo se está analizando. Una
segunda ventana emergente informará al usuario si el archivo está bloqueado o supervisado. La
función se activa con la opción Controlador de copia de archivos en la ficha Configuración de los agentes | Varios.
Si la opciónControlador de copia de archivos está desactivada o si el archivo se creó en USB con una función
de copia que no es de Windows, se aplica el mecanismo de bloqueo heredado.
McAfee Device Control se construye en tres capas:
Guía del producto
115
10
•
Clases de dispositivos: recopilaciones de dispositivos que tienen características parecidas y que
se pueden gestionar de modo similar.
•
Definiciones de dispositivos: para identificar y agrupar los dispositivos en función de las
propiedades que tienen en común.
•
Reglas de dispositivos: para controlar el comportamiento de los dispositivos.
La clase de dispositivos es uno de los varios parámetros que se pueden especificar en la definición de
un dispositivo. Una regla de dispositivos se compone de una lista de las definiciones de dispositivos
incluidas o excluidas de la regla, y las acciones realizadas cuando se activa la regla mediante el envío
de contenido desde los dispositivos con nombre o a ellos. Además, puede especificar usuarios o
grupos de usuarios incluidos o excluidos de la regla.
Categorización de dispositivos con clases de dispositivos
Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cada
clase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o varios
identificadores únicos globales (GUID).
La Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y que
se pueden gestionar de modo similar. Por ejemplo, "Intel® PRO/1000 PL Network Connection" y "Dell
wireless 1490 Dual Band WLAN Mini‑Card" son dos dispositivos que pertenecen a la clase de
dispositivos Adaptador de red. Al instalar el software McAfee DLP Endpoint, encontrará una lista de clases
de dispositivos integrados en Administración de dispositivos | Clases de dispositivos. Los dispositivos se
clasifican por estado:
•
Gestionado: dispositivos Plug and Play o de almacenamiento extraíbles específicos, definidos por
clase de dispositivos, que puede gestionar el software McAfee DLP Endpoint.
•
No gestionado: clases de dispositivos no gestionadas por el software McAfee DLP Endpoint pero
cuyo estado puede cambiar a Gestionado por el administrador del sistema.
•
No gestionable: clases de dispositivos que el software McAfee DLP Endpoint no puede gestionar
debido a que los intentos para gestionarlas pueden afectar al equipo gestionado, al mantenimiento
del sistema o a su eficacia. No se pueden agregar nuevas clases de dispositivos a esta lista.
El administrador del sistema no debe modificar la lista de clases de dispositivos como parte de las
tareas rutinarias, ya que un uso inapropiado (por ejemplo, bloquear el controlador de disco duro del
sistema gestionado) puede provocar un funcionamiento anormal del sistema o del sistema operativo.
En lugar de editar un elemento existente para que se adapte a las necesidades de la regla de protección
del dispositivo, agregue una nueva clase definida por el usuario a la lista.
116
Guía del producto
10
Caso práctico: cambio del estado de una clase de dispositivos
Al solucionar los problemas relacionados con la clase de dispositivos, es posible que desee
cambiar temporalmente el estado de una clase de dispositivos específica a "no
gestionado". Para alternar el estado de una clase de dispositivos entre "gestionado" y "no
gestionado", haga clic con el botón derecho del ratón en el icono de clase y seleccione la
opción de cambio de estado adecuada.
Definición de una clase de dispositivo
Si en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamente
al instalar hardware nuevo, puede crearse una nueva clase de dispositivo en el software McAfee DLP
Endpoint Administrador de directivas.
Procedimientos
•
Obtención de un GUID en la página 117
Las definiciones de la clase de dispositivos requieren un nombre y uno o varios
•
Creación de una nueva clase de dispositivos en la página 118
Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por el
sistema. Cada clase de dispositivo se identifica con un nombre, una descripción (opcional)
y uno o varios identificadores únicos globales (GUID).
Obtención de un GUID
Las definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicos
globales (GUID).
Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar el
comportamiento de los dispositivos de hardware Plug and Play que definen su propia clase de
dispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la lista
Clases de dispositivos.
La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevo
dispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registro
de Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres de
los nuevos dispositivos, el cliente de McAfee DLP Endpoint informa del evento Nueva clase de
dispositivos encontradaal Administrador de incidentes de DLP cuando un dispositivo de hardware que
no pertenece a una clase de dispositivos reconocida se conecta al equipo host.
Guía del producto
117
10
Procedimiento
1
En ePolicy Orchestrator, abraAdministrador de incidentes de DLP (Menú | Protección de datos |
Administrador de incidentes de DLP).
2
Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.
3
En la lista Propiedades disponibles, seleccione Tipo de evento.
4
Deje la lista desplegable Comparación con el valor predeterminado Igual a. En la lista desplegable
Valores, seleccione Dispositivos: Nueva clase de dispositivos encontrada
Figura 10-1 Configuración de los criterios de filtrado
5
Haga clic en Actualizar filtro.
En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en los equipos de
endpoint. Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el
elemento para mostrar los detalles del incidente.
Creación de una nueva clase de dispositivos
Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cada
clase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o varios
Antes de empezar
Obtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de
dispositivos, seleccione Clases de dispositivos.
Los dispositivos disponibles aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en el panel Clases de dispositivos y seleccione Nuevo | Clase de
dispositivos.
Aparece el icono de una nueva Clase de dispositivos (nombre predeterminado Clase de dispositivos) en la
sección de clases de dispositivos no gestionados.
118
Guía del producto
3
10
Aparecerá el cuadro de diálogo de edición.
4
Escriba un nombre, una descripción (opcional) y el identificador único global (GUID) del dispositivo
en los cuadros de texto correspondientes.
Debe utilizar un GUID con formato correcto. El botón Aceptar no estará disponible hasta que se
introduzca un GUID con el formato correcto.
5
Para cambiar el estado de la clase de dispositivos a Gestionada, active la casilla de verificación.
6
Control de dispositivos con definiciones de dispositivos
Las definiciones de dispositivos actúan como criterios de filtrado para controlar los dispositivos, lo que
ofrece la ventaja de utilizar dispositivos portátiles a la vez que se mantienen la directivas empresarial
sobre el tratamiento de la información confidencial. Las definiciones integradas para McAfee Endpoint
Encryption for Files and Folders y McAfee Endpoint Encryption for Removable Media facilitan el uso de
estos productos.
Las definiciones de dispositivos controlan los dispositivos específicos mediante la configuración de las
propiedades del dispositivo como la clase de dispositivo, el ID de producto e ID de proveedor (ID
prod./ID prov.) o el código de clase USB.
Los grupos de definiciones de dispositivos se pueden crear de un modo flexible y sencillo para
conservar el nivel de seguridad necesario. Éstos combinan un conjunto distinto de propiedades para
cada dispositivo que el sistema debe bloquear o supervisar. Las definiciones y los grupos de
dispositivos están disponibles para tres tipos de dispositivos:
•
Dispositivos Plug and Play: pueden agregarse al equipo gestionado sin necesidad de realizar
configuraciones ni instalar DLL o controladores de forma manual. Los dispositivos Plug and Play
incluyen la mayoría de los dispositivos de Microsoft Windows. Las definiciones de dispositivos Plug
and Play permiten gestionar y controlar la mayoría de dispositivos disponibles, por ejemplo,
Bluetooth, Wi‑Fi y PCMCIA, así como evitar la carga de dichos dispositivos por parte del sistema.
•
Dispositivos de almacenamiento extraíbles: son dispositivos externos con un sistema de
archivos que aparecen en el equipo gestionado como unidades.
•
Dispositivos de disco duro fijo: unidades de disco fijas conectadas al equipo y que el sistema
operativo no marca como almacenamiento extraíble.
Cada tipo de definición de dispositivos se corresponde con un tipo de regla de dispositivos.
Las definiciones y las reglas de dispositivos Plug and Play incluyen propiedades generales de los
dispositivos. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e
incluyen propiedades adicionales relacionadas con los dispositivos de almacenamiento extraíbles. Se
recomienda utilizar las reglas y las definiciones de dispositivos de almacenamiento extraíbles para
controlar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden ser
los dispositivos de almacenamiento masivo USB.
Guía del producto
119
10
Dispositivos de almacenamiento extraíbles
Además de los dispositivos de almacenamiento extraíbles definidos por el usuario, se incluyen tres
definiciones de dispositivos predefinidas: Todos los dispositivos de almacenamiento extraíbles, Contenido cifrado por
McAfee Endpoint Encryption y McAfee Dispositivos Encrypted USB. Estas definiciones se pueden usar en las reglas
de dispositivos de almacenamiento extraíbles y de acceso a archivos de dispositivos de
almacenamiento extraíbles si se seleccionan los parámetros necesarios.
No se recomienda la modificación de las definiciones de los parámetros de las definiciones de
dispositivos predefinidas.
Dispositivos Plug and Play de la lista blanca
El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan a
cabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje de
responder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista de
dispositivos de la lista blanca a fin de evitar problemas de compatibilidad.
Las definiciones de dispositivos Plug and Play de la lista blanca se agregan de forma automática a la
lista de dispositivos "excluidos" en todas las reglas de dispositivos Plug and Play. Nunca serán
dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada.
si se examinan las reglas de dispositivos, no verá la definición de la lista blanca, ya que ésta no se
agrega a la regla hasta que se aplica la directiva. No es necesario que vuelva a escribir las reglas
existentes para incluir nuevos dispositivos de la lista blanca.
Importación de parámetros de dispositivo
Los parámetros de dispositivo se pueden introducir a partir de listas guardadas en formato CSV.
Puede crearse una lista de parámetros de dispositivo seleccionando varios eventos en la pantalla de
Administrador de incidentes de DLP y, a continuación, seleccionando Exportar parámetros de incidentes de
dispositivos del menú Acciones. Las listas también se pueden crear manualmente.
Consulte la Ayuda online para ver información sobre el formato del archivo CSV.
Creación de definiciones de dispositivos
Al crear una definición de dispositivos con varios parámetros, los parámetros definidos en cada
nombre de parámetro se agregan a la definición como operadores O lógicos y varios nombres de
parámetros se agregan como operadores Y lógicos.
Por ejemplo, la siguiente selección de parámetros crea la definición de dispositivos que se muestra a
continuación:
Tabla 10-1 Ejemplo de definición de dispositivos
120
Definición de dispositivos
Parámetros seleccionados
Tipo de bus
Firewire; USB
Clase de dispositivos
Dispositivos de memoria; dispositivos portátiles de Windows
•
El tipo de bus es uno de los siguientes: Firewire (IEEE 1394) O USB
•
Y la clase de dispositivos es uno de los dispositivos de memoria O dispositivos portátiles de
Windows
Guía del producto
10
Procedimientos
•
Creación de una definición de dispositivos Plug and Play en la página 121
Un dispositivo Plug and Play es un dispositivo que se puede agregar al equipo gestionado
sin necesidad de realizar configuraciones ni instalar DLL o controladores de forma manual.
Las definiciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría de
dispositivos disponibles.
•
Creación de una definición de dispositivos Plug and Play de la lista blanca en la página 122
El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que
no llevan a cabo la administración de dispositivos de forma óptima y que pueden provocar
que el sistema deje de responder y otros problemas de gravedad. Se recomienda agregar
estos dispositivos a la lista de dispositivos de la lista blanca a fin de evitar problemas de
compatibilidad.
•
Creación de una definición de dispositivos de almacenamiento extraíbles en la página 122
Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un
sistema de archivos que aparece en el equipo gestionado como una unidad. Las
definiciones de dispositivos de almacenamiento extraíbles son más flexibles que las
definiciones de dispositivos Plug and Play e incluyen propiedades adicionales relacionadas
con los dispositivos.
•
Importación de definiciones de dispositivos en la página 123
Es posible crear una definición de dispositivos mediante la importación de parámetros de
listas guardadas en formato CSV. Puede importar una nueva definición de un archivo o
importar un parámetro a una definición existente.
•
Importación de un parámetro a una definición de dispositivos existente en la página 123
Los parámetros de dispositivo se pueden importar de listas guardadas en formato CSV.
Puede importar una nueva definición de un archivo o importar un parámetro a una
definición existente.
•
Creación de un grupo de definiciones de dispositivos en la página 124
Los grupos de definiciones de dispositivos simplifican las reglas a la vez que mantienen la
granularidad al combinar diversas definiciones de dispositivos en un grupo.
Creación de una definición de dispositivos Plug and Play
Un dispositivo Plug and Play es un dispositivo que se puede agregar al equipo gestionado sin
necesidad de realizar configuraciones ni instalar DLL o controladores de forma manual. Las
definiciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría de dispositivos
disponibles.
Procedimiento
1
dispositivos, seleccione Definiciones de dispositivos.
Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen en
el panel derecho.
2
En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo |
Definición de dispositivos Plug‑and‑Play.
Aparece el icono de la nueva Definición de dispositivos Plug and Play.
3
Asigne un nombre a la nueva definición de dispositivos y haga doble clic en el icono.
4
Guía del producto
121
10
5
Seleccione los parámetros del dispositivo de la lista disponible.
6
Creación de una definición de dispositivos Plug and Play de la lista blanca
El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan a
cabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje de
responder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista de
dispositivos de la lista blanca a fin de evitar problemas de compatibilidad.
Los dispositivos Plug and Play de la lista blanca se agregan de forma automática a la lista de
dispositivos excluidos en todas las reglas de dispositivos Plug and Play cuando se aplica la directiva.
Nunca serán dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea
gestionada.
Procedimiento
1
el panel derecho.
2
Definición de dispositivos Plug‑and‑Play de la lista blanca.
Aparece el icono de la nueva Definición de dispositivos Plug‑and‑Play de la lista blanca.
3
4
5
Seleccione el Nombre de parámetro de la lista de parámetros disponibles.
Se abre el cuadro de diálogo Editar el parámetro de definición de dispositivos.
6
Haga clic en Nuevo y escriba la información del parámetro.
7
Haga doble clic en Aceptar.
Creación de una definición de dispositivos de almacenamiento extraíbles
Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema de
archivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos de
almacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play e
incluyen propiedades adicionales relacionadas con los dispositivos.
Procedimiento
1
el panel derecho.
122
Guía del producto
2
10
En el panel Definiciones de dispositivos, haga clic con el botón derecho y seleccione Nuevo | Definición del
dispositivo de almacenamiento extraíble.
Aparece el icono de la nueva Definición de dispositivo de almacenamiento extraíble.
3
4
5
Seleccione los parámetros del dispositivo de la lista disponible.
6
Importación de definiciones de dispositivos
Es posible crear una definición de dispositivos mediante la importación de parámetros de listas
guardadas en formato CSV. Puede importar una nueva definición de un archivo o importar un
parámetro a una definición existente.
Antes de empezar
Cree una lista de parámetros de dispositivo, una fila separada por comas y guárdela en
formato CSV. La lista se puede configurar seleccionando varios eventos en la pantalla de
Administrador de incidentes de DLP y seleccionando Acciones | Exportar parámetros de incidentes de
dispositivos en el menú contextual. También puede utilizar bibliotecas CSV de código abierto
o de terceros para crear el archivo.
Procedimiento
1
el panel de la derecha.
2
3
En el panel Definiciones de dispositivos, haga clic con el botón derecho y seleccione Importar desde archivo.
Seleccione el tipo de definición:
•
Plug and Play
•
Almacenamiento extraíble
En el cuadro de diálogo Importar de, localice el archivo CSV y haga clic en Abrir. Los parámetros se
importan a la nueva definición de dispositivos.
Si el archivo contiene parámetros que no coinciden con el tipo de definición de dispositivo
seleccionado, por ejemplo un número serie de volumen de archivo importado en una definición de
Plug and Play, se ignora la definición y se continúa con la importación. Si el formato no es correcto,
se produce un fallo en la importación.
4
Asigne un nombre a la nueva definición de dispositivos y haga clic en Aceptar para crearla.
Importación de un parámetro a una definición de dispositivos existente
Los parámetros de dispositivo se pueden importar de listas guardadas en formato CSV. Puede importar
una nueva definición de un archivo o importar un parámetro a una definición existente.
Antes de empezar
Cree un archivo que contenga el parámetro de definición de dispositivos que se va a
importar.
Guía del producto
123
10
Procedimiento
1
Abra una definición de dispositivos existente haciendo doble clic en ella.
2
Seleccione un parámetro para editar. En el cuadro de diálogo de edición de definición de
parámetros, haga clic en Importar.
3
En el cuadro de diálogo Importar de, busque un archivo y haga clic en Abrir. Los valores de parámetro
se importan a la definición de parámetros.
4
Haga clic en Aceptar para aceptar los cambios a la definición de dispositivos.
Creación de un grupo de definiciones de dispositivos
Los grupos de definiciones de dispositivos simplifican las reglas a la vez que mantienen la granularidad
al combinar diversas definiciones de dispositivos en un grupo.
Procedimiento
1
el panel derecho.
2
Grupo de definiciones de dispositivos Plug‑and‑Play o Nuevo | Grupo de definiciones de dispositivos de almacenamiento
extraíbles.
Aparecerá el icono del nuevo Grupo de definiciones de dispositivos.
3
Asigne un nombre al nuevo grupo de definiciones de dispositivos y haga doble clic en el icono.
4
5
Seleccione en la lista las definiciones de dispositivos Plug and Play o de dispositivos de
almacenamiento extraíbles correspondientes.
6
Las reglas de dispositivos definen la acción realizada cuando se utilizan determinados dispositivos.
Existen seis tipos de reglas de dispositivos de endpoint:
124
•
Regla de dispositivos Plug and Play: se usa para bloquear o supervisar los dispositivos Plug and Play. Se
puede notificar al usuario de la acción realizada.
•
Regla para dispositivos de almacenamiento extraíbles: se usa para bloquear o supervisar los dispositivos de
almacenamiento extraíbles o configurarlos como solo lectura. Se puede notificar al usuario de la
acción realizada.
•
Regla de acceso a archivos en dispositivos de almacenamiento extraíbles: se usa para bloquear la ejecución de
archivos ejecutables en dispositivos de complemento.
•
Regla de disco duro fijo: se usa para bloquear o supervisar los discos duros fijos o configurarlos como
solo lectura. Se puede notificar al usuario de la acción realizada. Las reglas de dispositivos de disco
duro fijo no protegen la partición del sistema ni el arranque.
Guía del producto
10
•
Regla de dispositivos Citrix: se usa para bloquear los dispositivos Citrix asignados a sesiones de
escritorio compartidas.
•
Regla de dispositivos TrueCrypt: se usa para proteger a los dispositivos TrueCrypt. Se puede utilizar para
bloquear, supervisar o configurar como solo lectura. Se puede notificar al usuario de la acción
realizada.
Reglas de dispositivos Plug and Play
Para que las reglas de dispositivos Plug and Play puedan controlar los dispositivos de hardware, las
clases del dispositivo especificadas en las definiciones del dispositivo que usa la regla deben estar
configuradas con el estado Gestionado.
Caso práctico: bloqueo de los adaptadores Bluetooth mediante una regla de
dispositivos Plug and Play
Hay tres pasos para crear una regla de dispositivos Plug and Play simple para el uso de los
dispositivos Bluetooth:
Guía del producto
125
10
126
1
Compruebe que la clase de dispositivos para los adaptadores Bluetooth es la Clase de
dispositivos gestionada.
2
Cree una definición de dispositivos que coincida con las propiedades de los dispositivos
Bluetooth específicos que desee controlar.
3
Cree una regla de dispositivos que coincida con la definición de dispositivos y configure
la acción en Bloquear.
Guía del producto
10
Reglas de dispositivos de almacenamiento extraíbles
Las reglas de dispositivos de almacenamiento extraíbles no requieren una clase de dispositivos
gestionada. El motivo está relacionado con las diferencias en el modo en que los dos tipos de reglas de
dispositivos utilizan las clases de dispositivos:
•
Las reglas de dispositivos Plug and Play se activan en el momento en que el dispositivo de
hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es
necesario gestionar la clase de dispositivos con el fin de poder reconocer el dispositivo.
•
Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema de
archivos. Al montar el sistema de archivos, el software McAfee DLP Endpoint asocia la letra de
unidad con el dispositivo de hardware específico y comprueba las propiedades del dispositivo.
Debido a que la reacción es al funcionamiento de un sistema de archivos, y no a un controlador de
dispositivo, no es necesario gestionar la clase de dispositivos.
Caso práctico: permitir un reproductor de MP3 como solo lectura
Debido a que no se precisa de una clase de dispositivos gestionada, las reglas de
dispositivos de almacenamiento extraíbles cuentan con dos pasos básicos:
1
Crear la definición de dispositivos.
2
Crear la regla de dispositivos.
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles
Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a los
dispositivos de almacenamiento extraíbles ejecutar las aplicaciones. Debido a que debe permitirse la
ejecución de algunos ejecutables, como aplicaciones de cifrado en dispositivos cifrado, las definiciones
de aplicaciones en lista blanca pueden incluirse en la regla para excluir archivos con nombre
específicos de la regla de bloqueo.
Guía del producto
127
10
Las reglas de acceso a archivos determinan si un archivo es un ejecutable mediante su extensión. Las
siguientes extensiones están
bloqueadas: .bat, .cgi, .cmd, .com, .cpl, .dll, .exe, .jar, .msi, .py, .pyc, .scr, .vb, .vbs, .ws y .wsf.
Además, para bloquear archivos que se podrían ejecutar desde archivos, también se bloquean los
archivos .cab, .rar y .zip.
Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivos
de almacenamiento extraíbles, ya que el controlador del filtro de archivo no puede diferenciar entre la
apertura y la creación de un ejecutable.
Reglas de dispositivos Citrix
El software McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones de
escritorio compartidas. Se pueden bloquear todas las unidades de disquetes, fijas, CD, extraíbles y de
red, así como la redirección a impresoras y portapapeles. Se puede filtrar la regla añadiendo grupos
de asignación de usuarios.
Las reglas se asignan mediante grupos de asignación de usuarios (Menú | Sistemas | Árbol de sistemas |
Directivas asignadas) en los servidores Citrix. En el Árbol de sistemas, se ha añadido la nueva ficha
Sesiones de usuario de DLP en la página Información del sistema para poder ver las sesiones de usuario y
las reglas que se aplican en cada sesión.
Reglas de dispositivos TrueCrypt
Las reglas de dispositivos TrueCrypt se usan para bloquear o supervisar los dispositivos de cifrado
virtuales TrueCrypt o configurarlos como solo lectura. Las reglas TrueCrypt son un subconjunto de las
reglas de dispositivos de almacenamiento extraíbles.
Los dispositivos TrueCrypt también se pueden proteger mediante reglas de protección de
almacenamiento extraíble. Consulte Control del contenido de carácter confidencial con reglas de
protección en esta guía para el uso de las reglas de protección con los dispositivos TrueCrypt.
El software cliente de McAfee DLP Endpoint trata todos los montajes TrueCrypt como de
almacenamiento extraíble, incluso cuando la aplicación TrueCrypt está escribiendo al disco local.
Creación y definición de reglas de dispositivos
Las reglas de dispositivos asignan acciones a definiciones de dispositivos.
Utilice estas tareas para crear y definir reglas de dispositivos.
128
Guía del producto
10
Procedimientos
•
Creación y definición de una regla de dispositivos Plug and Play en la página 129
Las definiciones de dispositivos Plug and Play se incorporan en las reglas de los dispositivos
Plug and Play a fin de controlarlos.
•
Creación y definición de una regla para dispositivos de almacenamiento extraíbles en la
página 130
Las reglas de dispositivos de almacenamiento extraíbles son la forma recomendada de
bloquear dispositivos USB.
•
Creación y definición de una regla de acceso a archivos de dispositivos de almacenamiento
extraíbles en la página 131
Las reglas de acceso a archivos impiden a los soportes de almacenamiento extraíbles
ejecutar las aplicaciones. Las definiciones de aplicaciones en lista blanca especificadas en el
paso 2 proporcionan listas de archivos específicos exentos de la regla de bloqueo.
•
Creación y definición de una regla de dispositivos de disco duro fijo en la página 132
Las reglas de dispositivos de disco duro fijo controlan la copia de la información
confidencial en las unidades fijas locales, y permiten configurar a modo de solo lectura las
unidades fijas. Las unidades dinámicas no son compatibles.
•
Creación y definición de una regla de dispositivos Citrix en la página 133
Las reglas de dispositivos Citrix bloquean el funcionamiento de unidades de disquetes, CD,
fijas o de red en las sesiones de escritorio de Citrix.
•
Creación de una definición de aplicaciones en lista blanca en la página 133
Las definiciones de aplicaciones en lista blanca se utilizan en reglas de acceso a archivos de
dispositivo de almacenamiento extraíbles para excluir específicamente del bloqueo los
archivos con nombre.
Creación y definición de una regla de dispositivos Plug and Play
Las definiciones de dispositivos Plug and Play se incorporan en las reglas de los dispositivos Plug and
Play a fin de controlarlos.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione
Administración de dispositivos | Reglas de dispositivos.
Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla de
dispositivos Plug‑and‑Play.
Aunque se puede utilizar la regla de bloqueo de dispositivos Plug‑and‑Play para bloquear los
dispositivos USB, se recomienda utilizar la regla de bloqueo de dispositivos de almacenamiento
extraíbles. El uso de la regla de bloqueo de dispositivos Plug‑and‑Play puede provocar el bloqueo
total del concentrador o controlador USB. La regla de bloqueo de dispositivos de almacenamiento
extraíbles permite que el dispositivo se inicialice y se registre en el sistema operativo. Además,
permite definir el dispositivo como de sólo lectura.
Guía del producto
129
10
3
4
Cambie el nombre de la nueva regla de dispositivos y haga doble clic en el icono. Siga los pasos
que se facilitan en el asistente.
Paso
Acción
1 de 3
En la lista disponible, seleccione una o varias definiciones o un grupo de
definiciones de dispositivos Plug and Play. Puede incluir o excluir definiciones.
Haga clic en Agregar elemento para crear una nueva definición de Plug and Play.
Haga clic en Agregar grupo para crear un nuevo grupo de Plug and Play. Al
finalizar, haga clic en Siguiente.
2 de 3
Seleccione acciones de la lista de acciones disponibles. De forma
predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la
opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para
modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta
predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del
vínculo.
3 de 3
(opcional)
Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y elija Activar.
Creación y definición de una regla para dispositivos de almacenamiento extraíbles
Las reglas de dispositivos de almacenamiento extraíbles son la forma recomendada de bloquear
dispositivos USB.
Las reglas de dispositivos TrueCrypt son esencialmente un subconjunto de reglas de dispositivos de
almacenamiento extraíbles que tienen la definición de dispositivos predefinida en la regla, de modo
que solo se precisen dos pasos para definir la regla.
Procedimiento
1
2
En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla para
dispositivos de almacenamiento extraíbles.
Se recomienda el uso de la regla de bloqueo de dispositivos de almacenamiento extraíbles para
bloquear los dispositivos USB. Aunque es posible usar la regla de bloqueo de dispositivos
Plug‑and‑Play, esto puede provocar el bloqueo total del concentrador o controlador USB. La regla de
bloqueo de dispositivos de almacenamiento extraíbles permite que el dispositivo se inicialice y se
registre en el sistema operativo. Además, permite definir el dispositivo como de sólo lectura.
130
Guía del producto
3
4
10
Paso
Acción
1 de 3
Seleccione una definición, varias definiciones o un grupo de dispositivos de
almacenamiento extraíbles de la lista disponible. Puede incluir o excluir
definiciones. Haga clic en Agregar elemento para crear una nueva definición de
dispositivos de almacenamiento extraíbles. Haga clic en Agregar grupo para crear
un nuevo grupo de dispositivos de almacenamiento extraíbles. Al finalizar, haga
clic en Siguiente.
2 de 3
vínculo. Haga clic en Siguiente.
3 de 3
(opcional)
Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y seleccione
Activar.
Creación y definición de una regla de acceso a archivos de dispositivos de
almacenamiento extraíbles
Las reglas de acceso a archivos impiden a los soportes de almacenamiento extraíbles ejecutar las
aplicaciones. Las definiciones de aplicaciones en lista blanca especificadas en el paso 2 proporcionan
listas de archivos específicos exentos de la regla de bloqueo.
Procedimiento
1
dispositivos, seleccione Reglas de dispositivos.
2
acceso a archivos en dispositivos de almacenamiento extraíble.
Guía del producto
131
10
3
Paso
Acción
Paso 1 de 4 Seleccione una definición, varias definiciones o un grupo de dispositivos de
almacenamiento extraíbles de la lista disponible. Puede incluir o excluir definiciones.
Haga clic en Agregar elemento para crear una nueva definición de dispositivos de
almacenamiento extraíbles. Haga clic en Agregar grupo para crear un nuevo grupo de
dispositivos de almacenamiento extraíbles. Al finalizar, haga clic en Siguiente.
Paso 2 de 4 Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones
de archivos de la lista disponible. Haga clic en Siguiente.
Paso 3 de 4 Seleccione una o varias aplicaciones en lista blanca de la lista disponible. Haga clic
en Agregar para crear una nueva definición de aplicaciones en lista blanca o en Editar
para modificar una definición existente. Al finalizar, haga clic en Siguiente.
Paso 4 de 4 Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al
4
Creación y definición de una regla de dispositivos de disco duro fijo
Las reglas de dispositivos de disco duro fijo controlan la copia de la información confidencial en las
unidades fijas locales, y permiten configurar a modo de solo lectura las unidades fijas. Las unidades
dinámicas no son compatibles.
Las unidades de arranque y del sistema siempre quedan excluidas de las reglas de dispositivos de
disco duro fijo.
Procedimiento
1
132
2
disco duro fijo.
3
Paso
Acción
1 de 3
Seleccione una definición, varias definiciones o un grupo de dispositivos de
disco duro fijo de la lista disponible. Puede incluir o excluir definiciones. Haga
clic en Agregar elemento para crear una nueva definición. Haga clic en Agregar grupo
para crear un nuevo grupo. Al finalizar, haga clic en Siguiente.
2 de 3
vínculo.
3 de 3
(opcional)
Guía del producto
4
10
Creación y definición de una regla de dispositivos Citrix
Las reglas de dispositivos Citrix bloquean el funcionamiento de unidades de disquetes, CD, fijas o de
red en las sesiones de escritorio de Citrix.
Las reglas de dispositivos Citrix no se pueden utilizar con unidades organizativas (OU). Si se
selecciona un grupo de asignación de usuarios (UAG) que contenga una OU, la regla no se activará.
Procedimiento
1
2
dispositivos Citrix.
3
Cambie el nombre de la nueva regla de dispositivos (opcional) y haga doble clic en el icono. Siga
los pasos que se facilitan en el asistente.
Paso
Acción
1 de 2
Seleccione los dispositivos de almacenamiento que desee bloquear. Al
finalizar, haga clic en Siguiente.
2 de 2 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo
al hacer clic en Agregar. Haga clic en Finalizar.
4
Creación de una definición de aplicaciones en lista blanca
Las definiciones de aplicaciones en lista blanca se utilizan en reglas de acceso a archivos de dispositivo
de almacenamiento extraíbles para excluir específicamente del bloqueo los archivos con nombre.
Procedimiento
1
dispositivos, seleccione Aplicaciones en lista blanca.
Las aplicaciones de la lista blanca disponibles aparecerán en el panel de la derecha.
2
Haga clic con el botón derecho del ratón en el panel Aplicaciones en lista blanca y seleccione Nuevo |
Aplicación en lista blanca.
Aparece el icono de la nueva aplicación en lista blanca.
3
4
Introduzca un nombre, una descripción (opcional) y el nombre de archivo del ejecutable que desea
permitir ejecutar en los cuadros de texto adecuados.
5
Haga clic en Agregar para agregar el nombre de archivo a la lista. Repita la introducción y adición de
nombres de archivo según sea necesario.
6
Cuando haya terminado de agregar nombres de archivo, haga clic en Guardar.
Guía del producto
133
10
Parámetros de dispositivos
Los parámetros de dispositivos se usan para definir las definiciones de dispositivos.
En la tabla siguiente se proporcionan definiciones para todos los parámetros utilizados en las
definiciones de dispositivos. Indica en qué tipo de dispositivo se encuentra el parámetro y si se puede
importar como una lista desde un archivo (consulte Administración de parámetros de definición de
dispositivos).
Tabla 10-2 Definiciones de dispositivos para dispositivos Plug and Play y dispositivos de
Nombre del Encontrado
parámetro en...
Importar
Descripción
parámetros
Tipo de bus
Todos
Sí
Selecciona el tipo de BUS del dispositivo de la lista
disponible (Bluetooth, Firewire (IEEE1394), IDE/
SATA, PCI, PCMIA, SCSI, USB).
Unidades de
CD/DVD
Solo
almacenamiento
extraíble
No
Se selecciona para indicar cualquier unidad de CD o
DVD.
Contenido
cifrado por
McAfee
Endpoint
Encryption
for Files and
Folders
Sólo
almacenamiento
extraíble
No
Permite indicar un dispositivo protegido por McAfee
Endpoint Encryption for Files and Folders.
Clase de
dispositivos
Sólo PnP
No
Selecciona la clase de dispositivo de la lista
gestionada disponible.
ID
compatibles
con
dispositivos
Todos
Sí
Una lista de descripciones de dispositivos físicos.
Resulta especialmente útil con tipos de dispositivos
que no son USB ni PCI, ya que éstos últimos se
identifican más fácilmente mediante los ID de
proveedor o de dispositivo de PCI o el ID prov./ID
prod. de USB.
ID de
Todos
instancia del
dispositivo
(Microsoft
Windows XP/
Windows
2000)
Sí
Cadena generada por Windows que identifica de
forma exclusiva el dispositivo en el sistema. Por
ejemplo, USB\VID_0930&PID_6533\5&26450FC&0&6.
Ruta de
acceso a la
instancia del
dispositivo
(Microsoft
Windows
Vista/
Windows 7)
134
Nombre de
dispositivo
Todos
Sí
El nombre asociado a un dispositivo de hardware,
que representa su dirección física.
Tipo de
sistema de
archivos
Almacenamiento
extraíble y disco
duro
No
El tipo de sistema de archivos. Para discos duros,
seleccione uno de exFAT, FAT16, FAT32 o NTFS. Para
los dispositivos de almacenamiento extraíbles,
cualquiera de los anteriores además de CDFS o
UDFS.
Guía del producto
10
Tabla 10-2 Definiciones de dispositivos para dispositivos Plug and Play y dispositivos de
almacenamiento extraíbles (continuación)
Nombre del Encontrado
parámetro en...
Importar
Descripción
parámetros
Acceso al
sistema de
archivos
Sólo
almacenamiento
extraíble
No
Acceso al sistema de archivos: sólo lectura o
lectura‑escritura.
Etiqueta de
volumen del
sistema de
archivos
Almacenamiento
extraíble y disco
duro
Sí
Etiqueta de volumen definida por el usuario que se
muestra en el Explorador de Windows. Se permite la
coincidencia parcial.
Número de
serie del
volumen del
sistema de
archivos
Almacenamiento
extraíble y disco
duro
Sí
Número de 32 bits generado automáticamente
cuando se crea un sistema de archivos en el
dispositivo. Se puede ver si se ejecuta el comando en
la línea de comandos dir x:, donde x: es la letra de
unidad.
ID de
proveedor e
ID de
dispositivo
PCI
Todos
Sí
El ID de proveedor y el ID de dispositivo asociados al
dispositivo PCI. Estos parámetros se pueden obtener
de la cadena de ID de hardware de los dispositivos
físicos, por ejemplo, PCI
\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04.
Dispositivos
TrueCrypt
Solo
almacenamiento
extraíble
No
Se selecciona para especificar un dispositivo
TrueCrypt.
Código de
clase USB
Sólo PnP
No
Identifica un dispositivo USB físico por su
funcionalidad general. Seleccione el código de clase
en la lista disponible.
Número de
serie del
dispositivo
USB
Almacenamiento
extraíble y PnP
Sí
Una cadena alfanumérica exclusiva asignada por el
fabricante del dispositivo USB, generalmente para
dispositivos de almacenamiento extraíbles. El número
de serie es la últtima parte del ID de instancia; por
ejemplo, USB\VID_3538&PID_0042\00000000002CD8.
Un número de serie válido debe tener al menos 5
caracteres alfanuméricos y no debe incluir
ámpersands (&). Si la última parte del ID de
instancia no se ajusta a estos requisitos, no es un
número de serie.
ID de
proveedor e
ID de
producto
USB
Almacenamiento
extraíble y PnP
Sí
El ID de proveedor y el ID de producto asociados al
dispositivo USB. Estos parámetros se pueden obtener
de la cadena de ID de hardware de los dispositivos
físicos, por ejemplo: USB\Vid_3538&Pid_0042.
El software McAfee DLP Endpoint es compatible con Adobe LiveCycle™ Rights Management, Microsoft
Windows Rights Management Services y Seclore FileSecure™ information rights management (IRM).
Actualmente se admiten dos opciones de uso de la gestión de derechos (RM):
Guía del producto
135
10
•
El descubrimiento del sistema de archivos de McAfee DLP Endpoint puede aplicar directivas de RM a
los archivos detectados en los análisis de descubrimiento.
•
Las reglas de protección de correo electrónico, almacenamiento extraíble, sistema de archivos y
publicación web pueden reconocer archivos protegidos de gestión de derechos. Estos archivos se
pueden incluir en la regla o excluir de ella.
Adobe RM
McAfee DLP Endpoint admite Adobe LiveCycle Rights Management ES2 y and la extensión para
Microsoft Office. Puede aplicar protección de gestión de derechos a los siguientes tipos de
documentos:
•
Documentos PDF
•
Documentos de Microsoft Word 2003, Word 2007 o Word 2010
•
Documentos de Microsoft Excel 2003, Excel 2007 o Excel 2010
•
Documentos de Microsoft PowerPoint 2003, PowerPoint 2007 o PowerPoint 2010
Microsoft Windows Rights Management Services
McAfee DLP Endpoint admite Rights Management Services en Windows Server 2003 y Active Directory
RMS (AD‑RMS) en Windows Server 2008. Es posible aplicar la protección de Windows Rights
Management Services a:
•
Documentos de Microsoft Word 2003, Word 2007 o Word 2010
•
Documentos de Microsoft Excel 2003, Excel 2007 o Excel 2010
•
Documentos de Microsoft PowerPoint 2003, PowerPoint 2007 o PowerPoint 2010
•
Documentos de SharePoint 2007
•
Documentos de Exchange Server 2007
Seclore IRM
McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de
archivo, entre ellos los formatos de documento más usados:
•
Documentos de Microsoft Office
•
Documentos de Open Office
•
PDF
•
Formatos de texto y basados en texto, incluidos: CSV, XML y HTML
•
Formatos de imagen, incluidos: JPEG, BMP, GIF, etc.
•
Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF
El cliente de McAfee DLP Endpoint funciona con el cliente de escritorio FileSecure para proporcionar
integración con DLP tanto online como offline.
Para obtener más información sobre Adobe LiveCycle Rights Management, vaya a http://
www.adobe.com/products/livecycle.html. Para obtener más información sobre Microsoft RMS, vaya a
http://technet.microsoft.com/en‑us/library/cc772403.aspx. Para obtener más información sobre
Seclore IRM, vaya a http://seclore.com/seclorefilesecure_overview.html.
136
Guía del producto
10
Funcionamiento de Data Loss Prevention con gestión de
derechos
La gestión de derechos (RM) en McAfee DLP Endpoint se gestiona desde la sección RM y cifrado del panel
de navegación. En esta sección, se define el servidor de gestión de derechos y se gestionan las
directivas de gestión de derechos que utilizan las reglas de descubrimiento del sistema de archivos y
las reglas de protección de correo electrónico, almacenamiento extraíble y publicación web.
Al seleccionar la acción Aplicar directiva de gestión de derechos en una regla de descubrimiento del sistema de
archivos, deberá especificar la directiva y el servidor de gesión de derechos como propiedades.
Flujo de trabajo de Adobe LiveCycle Rights Management
Cuando el software McAfee DLP Endpoint que aplica la regla de descubrimiento del sistema de archivos
encuentra un archivo que proteger, lo envía al servidor de gestión de derechos. La protección se aplica
en función de la directiva seleccionada y el archivo se envía de nuevo al equipo gestionado. Si la
operación falla en el servidor de gestión de derechos (debido a que no puede conectarse al servidor
por algún motivo) el archivo se supervisa y el evento (error de gestión de derechos) se envía a la
consola de Administrador de incidentes de DLP. Si la operación falla en el McAfee DLP Endpoint (por
ejemplo, intenta proteger un tipo de archivo no compatible), el archivo se supervisa; sin embargo, no
aparece ningún evento de error en la pantalla de Administrador de incidentes de DLP.
Debe activar el evento Error al aplicar la directiva de gestión de derechos en Configuración de los agentes | Eventos y
registro para que el evento se registre.
Figura 10-2 Diagrama de flujo de la protección de Adobe LiveCycle Rights Management
Se recomienda crear un conjunto de directivas en Adobe LiveCycle Rights Management Server
exclusivamente para las directivas empleadas con McAfee DLP Endpoint. Al menos una directiva del
conjunto de directivas debe estar activada para que el conjunto aparezca en el cuadro de diálogo de
sincronización de directivas. Si desactiva una directiva en el servidor de gestión de derechos, ésta se
elimina de la página de directivas de gestión de derechos cuando se vuelve a realizar la sincronización.
Si la directiva desactivada se utiliza en una regla de descubrimiento del sistema de archivos, no se
elimina sino que pasa a estar Inactiva (con un icono diferente) y crea un error en el Analizador de
directivas de DLP.
Si una directiva está desactivada en el servidor de gestión de derechos pero no vuelve a realizar la
sincronización, la directiva permanece activa. Cuando el software McAfee DLP Endpoint intenta aplicar
la directiva, se envía el evento Fallo de protección administrativa de gestión de derechos al Administrador de
incidentes de DLP.
Guía del producto
137
10
Limitaciones
McAfee DLP Endpoint no inspecciona los archivos protegidos mediante la gestión de derechos en
relación con el contenido. Cuando un archivo marcado está protegido por gestión de derechos, sólo se
mantienen las marcas estáticas (ubicación y aplicación). Si un usuario modifica el archivo, todas las
marcas se pierden al guardar el archivo.
Flujo de trabajo de Windows Rights Management Services
Cuando el software McAfee DLP Endpoint que aplica la regla de descubrimiento del sistema de archivos
encuentra un archivo que proteger, utiliza el GUID de la plantilla como identificador exclusivo para
localizar la plantilla y aplicar la protección.
Figura 10-3 Diagrama de flujo de la protección de Windows Rights Management Services
Con Windows Rights Management Services, McAfee DLP Endpoint puede inspeccionar el contenido de
los archivos protegidos si el usuario actual dispone de permisos de visualización.
Usuarios de Adobe Rights Management
McAfee Data Loss Prevention requiere dos tipos de usuarios de Adobe LiveCycle Rights Management.
Los usuarios de Adobe LiveCycle Rights Management se mencionan en la definición de servidor de
Rights Management. Para que se puedan utilizar en McAfee DLP Endpoint, deben crearse y, asimismo,
deben definirse sus funciones en la sección Configuración | Admin. de usuarios del servidor ES2 de Adobe
LiveCycle Rights Management. En todos los casos, los usuarios de McAfee DLP Endpoint deben estar
incluidos en la lista Editor del documento para el conjunto de directivas de DLP y deben tener la
función de usuario de servicios. Se establecen en el servidor de gestión de derechos por parte del
administrador de Adobe LiveCycle Rights Management.
138
Guía del producto
10
•
McAfee DLP Endpoint McAfee DLP Endpoint: inicia sesión en el servidor de Adobe y sincroniza
las directivas.
•
McAfee DLP Endpoint Endpoint: aplica directivas de RM a los archivos del equipo gestionado.
Hay dos modos de configurar este usuario.
•
Mediante autenticación de Windows: el usuario debe tener las credenciales de Kerberos
(nombre principal del servicio: SPN) definidas en el servidor de Adobe LiveCycle. Para obtener
información detallada, consulte la Ayuda de Adobe LiveCycle.
•
Mediante autenticación de Adobe LiveCycle: el usuario debe estar incluido en la lista Editor del
documento para el conjunto de directivas de DLP y debe tener la función de Usuario de
servicios.
Definición del servidor de Adobe RM y sincronización de
directivas
Configure los usuarios en Adobe LiveCycle Rights Management Server con las funciones y los permisos
adecuados.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Gestión de
derechos y cifrado | Servidores de gestión de derechos.
2
En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo
| Adobe LiveCycle Rights Management Server.
3
Haga doble clic en el icono de regla. Aparecerá el cuadro de diálogo de Adobe LiveCycle Rights
Management Server.
4
Introduzca la ruta de acceso URL del servidor de gestión de derechos de Adobe, así como el
nombre de usuario y la contraseña de gestión de derechos de Adobe, y, a continuación, pruebe la
conexión.
Se recomienda crear un único conjunto de directivas para todas las directivas relacionadas con DLP.
El usuario nombrado debe ser un Editor del documento para este conjunto de directivas.
5
Introduzca las credenciales del usuario del agente de DLP.
6
Seleccione la casilla de verificación Importar directivas de RM en caso de aceptar para sincronizar
inmediatamente y, a continuación, haga clic en Aceptar.
Si no selecciona la casilla de verificación, puede realizar la sincronización en cualquier momento
desde el menú contextual. Deberá sincronizar directivas para utilizar directivas de gestión de
derechos en las reglas de descubrimiento de DLP.
Al realizar la sincronización, aparece el cuadro de diálogo Adobe LiveCycle Rights Management Server
con una lista de todos los conjuntos de directivas disponibles para el usuario conectado.
7
Seleccione los conjuntos de directivas para importar. Todas las directivas activadas en el conjunto
se importan y se pueden ver en el panel Directivas de gestión de derechos.
Definición de un servidor de Microsoft Rights Management
Service y sincronización de plantillas
Configure los usuarios en el servidor de Microsoft Rights Management Service con las funciones y los
permisos adecuados.
Guía del producto
139
10
Procedimiento
1
2
| Servidor Microsoft RMS.
3
Haga doble clic en el icono de regla.
Aparecerá el cuadro de diálogo del Servidor Microsoft RMS.
4
Haga clic en Editar para configurar el origen de las plantillas RMS. Introduzca la ruta de acceso y la
contraseña, en caso necesario. Haga clic en Aceptar.
Puede recuperar plantillas desde un recurso compartido de red o desde un servicio web.
5
Especifique la URL del servidor RMS o seleccione Usando el descubrimiento de servicios automático para
localizar el servidor.
6
Introduzca un ID de usuario para especificar un usuario concreto, o bien seleccione la opción Usar
usuario que ha iniciado sesión de endpoint.
7
Seleccione la casilla de verificación Importar plantillas RMS en caso de aceptar para sincronizar directivas
inmediatamente y, a continuación, haga clic en Aceptar.
Si no selecciona la casilla de verificación, puede realizar la sincronización en cualquier momento
desde el menú contextual. Deberá sincronizar las directivas para utilizar plantillas RMS en las
reglas de descubrimiento de sistema de McAfee DLP Endpoint.
Existe una opción de configuración en las plantillas RMS mediante la que permitir navegadores de
confianza, como la actualización de Rights Management para Internet Explorer, a fin de ver el
contenido de documentos protegidos de RMS. Esta opción NO es compatible con el software McAfee
DLP Endpoint. Si una regla de descubrimiento de sistema de McAfee DLP Endpoint aplica una
plantilla de ese tipo, los archivos protegidos no podrán verse en navegadores de confianza.
8
Seleccione Directivas de gestión de derechos en el panel de navegación para ver las plantillas importadas.
Definición de un servidor Seclore y sincronización de directivas
El cliente de McAfee DLP Endpoint se integra con el cliente de escritorio Seclore FileSecure para el
descubrimiento del sistema de archivos y la creación de reglas de protección.
Antes de empezar
Configure un servidor Seclore FileSecure y cree usuarios y directivas. Para poder configurar
la integración con McAfee DLP Endpoint deberá conocer las direcciones URL de servidor
para todos los servidores disponibles, el ID de archivo CAB de Hot Folder y la frase de
contraseña.
La sincronización de servidor Seclore es compatible en ePolicy Orchestrator. No puede configurar la
integración con Seclore desde una extensión independiente de McAfee DLP Endpoint.
140
Guía del producto
10
Procedimiento
1
2
| Servidor Seclore FileSecure.
3
Haga doble clic en el icono de regla. Aparece el cuadro de diálogo Seclore Fileserver.
4
Edite el Nombre si es necesario, y escriba la Descripción (opcional).
5
Escriba una dirección URL de servidor de directivas Seclore y haga clic en Agregar para añadirla a la
lista. Repita el procedimiento hasta que aparezcan en la lista todos los servidores disponibles.
Seclore admite varios servidores. La API de Seclore elige el servidor al que se va a conectar.
6
Escriba el ID de archivo CAB de Hot Folder de Seclore y la frase de contraseña y haga clic en Probar
conexión para comprobar que puede conectarse al servidor.
El botón Probar conexión no está disponible si está ejecutando una versión independiente de la
consola de directivas de McAfee DLP Endpoint.
Es posible que la conexión falle si está ejecutando una versión de evaluación de FileSecure. En caso
de que esto ocurra, póngase en contacto con el representante del servicio de atención al cliente de
McAfee para encontrar una solución provisional.
7
Selecciones los tipos de licencia aplicables.
8
Seleccione Importar Hot Folders en caso de aceptar (opcional). Haga clic en Aceptar.
Si no elige importar en el momento en que crea la definición, siempre puede importar en cualquier
momento al seleccionar Sincronizar en el menú del botón derecho. También debería sincronizar
cuando se actualizan las directivas del servidor.
Los Hot folders y las descripciones del servidor aparecen en el panel Gestión de derechos y cifrado | Directivas
de gestión de derechos. Utilice estas directivas para definir las reglas de protección y descubrimiento.
Control del contenido de carácter confidencial con reglas de
protección
Las reglas de protección controlan el flujo de datos mediante la definición de la acción realizada
cuando se intenta transferir o transmitir información confidencial. Esto se lleva a cabo mediante la
vinculación de acciones con definiciones, marcas y categorías de contenido, así como con grupos de
asignación de usuarios.
Puede definir reglas de protección para incluir o excluir marcas, extensiones de archivo o propiedades
de documento específicas. También puede especificar tipos de archivo, usuarios y cifrado (incluida la
protección mediante contraseñas). (No todas las opciones están disponibles para todas las reglas.)
Estas opciones permiten la creación de reglas con considerable granularidad.
Cuando se excluyen marcas o categorías de contenido en reglas de protección, la regla de exclusión
funciona en relación con la regla de inclusión. Se debe incluir al menos una marca o categoría de
contenido para excluir cualquier otra marca o categoría de contenido.
Guía del producto
141
10
Funcionamiento con TrueCrypt
Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas de dispositivos
TrueCrypt o con reglas de protección de almacenamiento extraíble. Utilice una regla de dispositivos si
desea bloquear o supervisar un volumen TrueCrypt o para que solo sea de lectura. Utilice una regla de
protección si desea una protección basada en el contenido para los volúmenes TrueCrypt. Debe activar
la opción TrueCrypt en la marca Configuración de los agentes | Configuración avanzada para poder usar las reglas
de protección de almacenamiento extraíble con el fin de proteger los volúmenes TrueCrypt .
Los volúmenes TrueCrypt no son compatibles con los atributos extendidos de un archivo, lo que provoca
que el contenido marcado que se copie en los volúmenes TrueCrypt pierda sus marcas. Sin embargo,
puede especificar los tipos de archivos, extensiones de archivo, propiedades del documento, tipos de
cifrado o grupos de asignación de usuario para definir la regla de protección.
Reglas de protección del Portapapeles mejoradas
Las reglas de protección del Portapapeles bloquean el uso del Portapapeles para copiar datos
confidenciales.
Las reglas de protección del Portapapeles controlan el uso del Portapapeles. El contenido bloqueado se
puede limitar a los datos copiados desde sitios web o aplicaciones especificados, que tengan marcas
específicas o categorías de contenido o que los hayan copiado determinados usuarios o grupos de
usuarios.
Es posible permitir la operación de pegado en la misma aplicación desde la que se copió el contenido,
únicamente el mismo documento o en aplicaciones específicas, con el resto de posibilidades
bloqueadas. Ciertas aplicaciones se pueden incluir o excluir (permitir o bloquear) y pueden incluir tipos
de aplicaciones ICQ, IM y Skype que no se podían bloquear en las versiones anteriores del software
McAfee DLP Endpoint.
Comportamiento Pegar en
La opción predeterminada es bloquear el pegado que ocurra fuera de la aplicación actual. Esta opción
permite pegar en el documento o entre documentos que haya abierto la misma aplicación. La otra
opción consiste en especificar, mediante las casillas de verificación Incluir y Excluir, que aplicaciones
están permitidas y cuales bloqueadas. Al usar esta opción, siempre está permitido pegar en el
documento actual, pero la función de pegar entre documentos en la aplicación actual está bloqueada a
menos que la aplicación se excluya de forma específica de la regla.
Acciones
Las acciones de la regla de protección del Portapapeles incluyen Bloquear, Supervisar, Almacenar pruebas y
Notificar al usuario. Si se van a almacenar pruebas, también se debe seleccionar la acción Supervisar. Al
seleccionar la acción Notificación al usuario se activa la ventana emergente de notificación al usuario
(el Mensaje de notificación de los agentes del portapapeles en la ficha Configuración de los agentes | Servicio de interfaz
de usuario ya no aparece atenuado y se puede editar). El texto del portapapeles no se sustituye con una
notificación, como en la versiones anteriores del softwareMcAfee DLP Endpoint. La acción Bloquear ya
no es obligatoria, como en la versiones anteriores del software McAfee DLP Endpoint; la acción
Supervisar (independiente) también es una opción.
Limitaciones
El hecho de abrir un nuevo documento en el menú Archivo no se reconoce como un nuevo documento,
y sigue estando permitido copiar en él.
Funcionamiento de las reglas de protección
Las reglas de protección especifican el método de transferencia, las marcas con nombre y cómo debe
reaccionar el sistema cuando se transfieren datos. A cada evento se le asigna un nivel de gravedad y
142
Guía del producto
10
las opciones para responder al evento. Hay casos en los que las reglas de protección simplemente
registran el evento. En otros, pueden impedir la transferencia de datos y comunicar al usuario la
infracción. Las reglas de protección se aplican, opcionalmente, a los grupos de asignación. Esto
permite que una regla se aplique sólo a determinados grupos de usuarios.
Las reglas de protección definen la acción realizada cuando se produce un intento de transferir o
transmitir datos marcados. En las tablas siguientes se describen las acciones disponibles para cada
regla, los tipos de contenido asociados con las reglas y si la alerta predeterminada que aparece
cuando se activa la regla es o no personalizable.
Al seleccionar Notificar al usuario y se activan varios eventos, la ventana emergente muestra el mensaje:
Hay nuevos eventos DLP en su consola de DLP en lugar de mostrar múltiples ventanas emergentes.
Tabla 10-3 Matriz de acciones o reglas
Acciones
Reglas
Regla de dispositivos Citrix
Pr
Regla de dispositivos de disco
D/A D/A D/A
duro fijo
Reglas de dispositivos Plug
and Play
D/A D/A D/A
Reglas de dispositivos de
(incluye las reglas de los
dispositivos TrueCrypt)
D/A D/A D/A
Reglas de dispositivos de
acceso a archivos en
dispositivos de
Pr
P
D/A
D/A
1
Reglas de protección de
acceso a archivos por
aplicaciones
D/A D/A
D/A
D/A D/A
D/A
correo electrónico
D/A D/A D/A D/A
D/A
Reglas de protección del
sistema de archivos
D/A D/A D/A
D/A
Portapapeles
Pr
comunicaciones de la red
D/A D/A D/A
escritor de PDF/imágenes
D/A D/A D/A D/A
Reglas de protección contra
impresión
D/A D/A D/A D/A
D/A
D/A
Guía del producto
143
10
Tabla 10-3 Matriz de acciones o reglas (continuación)
Acciones
Reglas
almacenamiento extraíble
D/A D/A D/A D/A
D/A
Reglas de protección contra
capturas de pantalla
D/A D/A D/A
D/A
Reglas de protección de la
publicación web
D/A D/A D/A D/A
D/A
D/A
Reglas de descubrimiento del
sistema de archivos
D/A
D/A D/A
Reglas de descubrimiento de
correo electrónico
D/A
D/A
2
D/A D/A D/A
D/A
D/A
D/A
D/A
Tabla 10-4 Matriz de contenido o reglas
Tipos de contenido
Reglas
Marcas
Categorías
Propiedades Tipos de
de contenido de documento cifrado
Cambiar alerta
predeterminada
Regla de dispositivos
Citrix
Regla de dispositivos de
disco duro fijo
D/A
Plug‑and‑Play
D/A
de almacenamiento
extraíbles
D/A
de acceso a archivos en
dispositivos de
almacenamiento
extraíbles
Reglas de marcado
Reglas de marcado
basadas en aplicaciones
D/A
Reglas de marcado
basadas en ubicación
D/A
del contenido
D/A
Reglas de marcado de
documentos registrados
D/A
144
Guía del producto
10
Tabla 10-4 Matriz de contenido o reglas (continuación)
Tipos de contenido
Reglas
Marcas
Categorías
Propiedades Tipos de
de contenido de documento cifrado
Cambiar alerta
predeterminada
acceso a archivos por
aplicaciones
D/A
Portapapeles
D/A
D/A
correo electrónico
D/A
D/A
D/A
D/A
D/A
sistema de archivos
D/A
D/A
D/A
D/A
D/A
comunicaciones de la
red
D/A
D/A
D/A
D/A
D/A
escritor de PDF/
imágenes
D/A
contra impresión
D/A
D/A
almacenamiento
extraíble
D/A
D/A
contra capturas de
pantalla
D/A
la publicación Web
D/A
D/A
D/A
D/A
Reglas de
descubrimiento del
sistema de archivos
D/A
D/A
D/A
D/A
Reglas de
descubrimiento de
correo electrónico
D/A
D/A
D/A
D/A
D/A
D/A
D/A
D/A
D/A
D/A
Leyenda (para ambas tablas)
D/A disponible (para acciones)
asociado (para tipos de contenido)
Pr
predeterminado
P
parcial
Notas
1 Windows muestra un mensaje. McAfee DLP Endpoint no
muestra un mensaje.
2 Como alternativa, Eliminar (no se recomienda) debe
activarse en Herramientas | Opciones.
Guía del producto
145
10
Definiciones y cómo definen las reglas
Las definiciones son los bloques de construcción principales para crear reglas. Debe crear una
definición para cada categoría que desee controlar. Cuando se modifica una definición, ésta se propaga
automáticamente por todas las reglas que la utilizan.
Las definiciones permiten personalizar el sistema con el fin de implementar la directiva de seguridad
de la empresa, así como otros requisitos, como son los asuntos relacionados con la conformidad y la
legislación sobre la privacidad. La personalización de estas definiciones supone un método eficaz de
mantener las directivas de la empresa.
Las definiciones se pueden asignar a cualquier regla nueva o existente. Los cambios surten efecto
inmediato al volver a desplegar la directiva del sistema en los agentes.
Las definiciones se crean en dos pasos: en primer lugar, se crea la definición (haga clic con el botón
derecho del ratón y seleccione Nuevo) y, a continuación, se define (haga doble clic en la nueva
definición). Estos dos pasos deben realizarse siempre uno a continuación del otro. Si deja una
definición vacía (sin definir) se generará, en la mayoría de los casos, un error al intentar aplicar la
directiva a ePolicy Orchestrator. Como mínimo, generará una advertencia.
Tabla 10-5 Definiciones y las reglas de marcado y protección que las utilizan
146
Definición
Reglas de marcado/
clasificación asociadas
Reglas de protección asociadas
Aplicación
Marcado basado en la aplicación
Acceso a archivos por aplicaciones,
Portapapeles, Sistema de archivos,
Comunicaciones de la red, Impresión,
Dispositivos de almacenamiento
extraíbles, Capturas de pantalla
Diccionario
Clasificación del contenido
No aplicable
Destino de correo
electrónico
No aplicable
Correo electrónico
Extensión de archivo
Se basa en aplicación, se basa en Protección de acceso a archivo de
ubicación
aplicación, Protección del correo
electrónico, Protección del sistema de
archivos, Protección de comunicaciones
de la red, Protección de almacenamiento
extraíble, Protección de la publicación
Web
Servidor de archivos
No aplicable
Protección del sistema de archivos
Red
No aplicable
Protección de comunicaciones de la red
Impresora
No aplicable
Protección contra impresión
Repositorio de
Clasificación de documento
documentos registrados registrado
No aplicable
Categoría de marca/
contenido
Marcado basado en la aplicación,
Marcado basado en la ubicación,
Clasificación del contenido,
Clasificación de documento
registrado
Todas las reglas de protección
Patrón de texto
Clasificación del contenido,
Marcado basado en la aplicación,
Marcado basado en la ubicación
No aplicable
Guía del producto
10
Tabla 10-5 Definiciones y las reglas de marcado y protección que las utilizan
Definición
Reglas de marcado/
clasificación asociadas
Reglas de protección asociadas
Destino web
No aplicable
Protección de la publicación Web
Lista blanca
No aplicable
No aplicable
Si también trabaja con McAfee Endpoint Encryption for Files and Folders, tenga en cuenta que la
inclusión de procesos de McAfee DLP Endpoint en una lista de Procesos bloqueados de McAfee Endpoint
Encryption for Files and Folders impedirá que se activen las reglas de protección con definiciones cifrado
y puede provocar un mal funcionamiento de McAfee DLP Endpoint.
Creación y definición de una regla de protección de acceso a archivos de la
aplicación
Las reglas de protección de acceso a archivos de la aplicación supervisan o bloquean los archivos en
función de la aplicación o aplicaciones que los han creado. Gracias a la posibilidad de seleccionar
distintas combinaciones de definiciones de aplicaciones y extensiones de archivo, cuenta con formas
muy específicas de determinar qué archivos se deben bloquear.
Es posible especificar categorías de contenido y marcas para filtrar la regla.
Procedimiento
1
de contenido | Reglas de protección.
Las reglas de protección disponibles aparecerán en el panel de la derecha.
2
En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla de
protección de acceso a archivos de la aplicación.
3
Guía del producto
147
10
4
Paso
Acción
1 de 7
Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede
incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva
definición de aplicaciones. Haga clic en Siguiente.
Es necesario seleccionar al menos una definición de aplicación, la cual no debe
tener las estrategias Explorador o De confianza. Se genera un mensaje de error
si se infringe esta regla.
2 de 7
Seleccione las categorías de contenido o las marcas disponibles que se van a
incluir o excluir de la regla. Debe incluir al menos una marca o categoría de
contenido para usar la opción de exclusión de marcas. Haga clic en Agregar
elemento para crear una marca. Haga clic en Siguiente.
3 de 7
(opcional)
clic en Siguiente.
4 de 7
(opcional)
Las extensiones .dll y .exe están preseleccionadas como Excluir. Esto se debe a
que ciertas aplicaciones abren muchos archivos de este tipo y su inclusión puede
provocar una disminución de rendimiento importante. Es posible anular la
selección de la exclusión para aumentar la protección, pero tenga en cuenta el
efecto potencial en el rendimiento.
5 de 7
(opcional)
Seleccione una definición o un grupo de definiciones de propiedades de
documentos de la lista disponible. Puede incluir o excluir definiciones. Haga clic
en Agregar elemento para crear una nueva definición de propiedades de
documentos o en Agregar grupo para crear un nuevo grupo de propiedades de
documentos. Haga clic en Siguiente.
6 de 6
opción que no necesite. Las únicas opciones para las reglas de acceso a
archivos de la aplicación son Supervisar, Notificar al usuario y Almacenar
pruebas. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor.
7 de 7
(opcional)
Se pueden incluir o excluir marcas y extensiones de archivo, así como definiciones de aplicaciones.
5
seleccione Activar.
Creación y definición de una regla de protección del Portapapeles
Las reglas de protección del Portapapeles bloquean el uso del Portapapeles para copiar datos
confidenciales.
La protección del Portapapeles se ha mejorado para incluir los siguientes elementos:
148
Guía del producto
•
Bloqueo de las operaciones de copia y pegado desde cualquier aplicación a ICQ o mensajería
instantánea
•
Bloqueo de las operaciones de copia y pegado de cualquier dato a Skype
•
Bloqueo de las operaciones de copia y pegado desde las aplicaciones de Microsoft Office (Word,
Excel y PowerPoint) a Microsoft Office Communicator
10
Estas mejoras se añaden a las funciones anteriores de:
•
Bloqueo de las operaciones de copia y pegado desde Microsoft Word, Excel y PowerPoint a cualquier
otra aplicación (es decir, solo se permiten las operaciones de copia y pegado de Word a Word, de
Excel a Excel y de PowerPoint a PowerPoint)
•
Bloqueo de las operaciones de copia y pegado desde un documento de Word a otro
Los procesos de confianza no forman parte de la lógica de las reglas del Portapapeles. Las reglas del
Portapapeles pueden bloquear las aplicaciones con una estrategia De confianza.
Procedimiento
1
2
protección del Portapapeles.
3
Guía del producto
149
10
4
Paso
Acción
1 de 6
(opcional)
Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede
incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva
definición de aplicaciones. Haga clic en Siguiente.
2 de 6
(opcional)
Introduzca el título de una determinada ventana de aplicaciones y haga clic en
Agregar. Repita la acción según corresponda. Haga clic en Siguiente.
3 de 6
(opcional)
incluir o excluir de la regla. Debe incluir al menos una marca, categoría de
contenido o grupo para usar la opción de exclusión. Haga clic en Agregar elemento
para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo
para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en
Siguiente.
4 de 6
Seleccione la limitación de pegado. De forma predeterminada, la regla
bloqueará las opciones de pegado fuera de la aplicación actual. La segunda
opción consiste en restringir las operaciones de pegado en distintos
documentos en la aplicación actual. Esta regla más restrictiva también bloquea
las operaciones de pegado en el cuadro de diálogo de búsqueda y sustitución,
pero evita que se copie información confidencial de documentos marcados a
documentos sin marca en la misma aplicación. La tercera opción consiste en
bloquear las operaciones de pegado en las aplicaciones especificadas, ya sea
mediante la inclusión o la exclusión de las aplicaciones seleccionadas.
5 de 6
predeterminada para modificar el mensaje de alerta. Haga clic en Siguiente.
6 de 6
(opcional)
Se pueden incluir o excluir marcas, así como definiciones de aplicaciones.
5
seleccione Activar.
Creación y definición de una regla de protección de correo electrónico
Las reglas de protección del correo electrónico supervisan o bloquean los mensajes de correo
electrónico que se envían a determinados destinos o usuarios.
Antes de empezar
A fin de activar la compatibilidad con Lotus Notes, seleccione el Administrador de Lotus
Notes en la ficha Configuración de los agentes | Varios. Se recomienda desactivar los
administradores que no se utilicen.
En los sistemas en que están disponibles tanto Microsoft Exchange como Lotus Notes, las
reglas de correo electrónico no funcionarán si el nombre del servidor de correo electrónico
saliente (SMTP) no está configurado en ambos.
Para usar Titus Message Classifications como categorías de contenido, consulte la sección
sobre la configuración de la integración y compruebe que las opciones de configuración de
los agentes que se especifican en dicha sección sean correctos.
150
Guía del producto
10
Procedimiento
1
2
protección de correo electrónico.
3
Guía del producto
151
10
4
Paso
Acción
1 de 9
(opcional)
Seleccione la opción Seleccionar de la lista y seleccione una o más definiciones de
destino de correo electrónico. Haga clic en Agregar elemento para crear una
definición de destino de correo electrónico o en Agregar grupo para crear un grupo
de destino. Haga clic en Siguiente.
2 de 9
(opcional)
incluir o excluir de la regla. Debe incluir al menos una marca para usar la
opción de exclusión de marcas. Haga clic en Agregar elemento para crear una
nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un
nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente.
3 de 9
(opcional)
clic en Siguiente.
4 de 9
(opcional)
extensiones de archivos de la lista disponible. Haga clic en Siguiente. Puede
incluir o excluir extensiones de archivo.
5 de 9
(opcional)
6 de 9
(opcional)
Para aplicar la regla a datos adjuntos de tipos de cifrado específicos, seleccione
la opción Seleccionar de la lista y seleccione uno o más tipos de cifrado de archivos
adjuntos.
7 de 9
(opcional)
Función de omisión de correo electrónico: para excluir un correo
electrónico en función de su línea de asunto, seleccione No aplicar esta regla si el
asunto de los correos electrónicos contiene este patrón y seleccione un patrón.
Los patrones de texto deben estar predefinidos y sólo puede usarse uno por
regla.
5
8 de 9
vínculo. Si desea que Solicitar justificación bloquee el correo electrónico cuando no
se proporcione justificación, deberá seleccionar también Bloquear. Haga clic en
Siguiente.
9 de 9
(opcional)
seleccione Activar.
Véase también
Cómo se controla el contenido de carácter confidencial en el correo electrónico en la página 85
152
Guía del producto
10
Creación y definición de una regla de protección del sistema de archivos
Las reglas de protección del sistema de archivos protegen los archivos de determinados servidores de
archivos o dispositivos de almacenamiento masivo. Los archivos pueden supervisarse, pero no
bloquearse. Se pueden guardar pruebas y avisar al usuario de que se están supervisando archivos.
Pueden especificarse aplicaciones, tipos de archivos, extensiones de archivos o marcas para limitar la
regla.
Procedimiento
1
2
protección del sistema de archivos.
3
Guía del producto
153
10
4
Paso
Acción
1 de 9
Seleccione un destino o destinos donde enviar los archivos. Si selecciona
Servidores de archivos, se abrirá la ventana Configurar selección. Introduzca una ruta
de red y haga clic en Agregar o haga clic en Examinar para seleccionar un nuevo
destino de red y, a continuación, haga clic en Agregar para agregarlo a la lista.
2 de 9
(opcional)
3 de 9
(opcional)
Siguiente.
4 de 9
(opcional)
clic en Siguiente.
5 de 9
(opcional)
6 de 9
(opcional)
7 de 9
(opcional)
Para aplicar la regla a archivos con tipos de cifrado específicos, seleccione la
opción Seleccionar de la lista, y seleccione uno o más tipos de cifrado.
8 de 9
modificar el valor. Si desea que Solicitar justificación cifre archivos cuando no se
proporcione justificación, deberá seleccionar también Cifrar. Haga clic en
Siguiente.
9 de 9
(opcional)
5
154
seleccione Activar.
Guía del producto
10
Creación y definición de una regla de protección de comunicaciones de la
red
Las reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran o
salen de su red. Puede limitar la regla con aplicaciones o marcas específicas.
McAfee DLP Endpoint versión 9.3 usa un nuevo controlador de red (McAfee FireCore, una infraestructura
de interceptación de red compartida con otros productos individuales de McAfee). Como resultado de
este cambio, las reglas de protección de comunicaciones de la red solo son compatibles con sistemas
operativos Windows que no son servidores.
Procedimiento
1
2
protección de comunicaciones de la red.
3
Guía del producto
155
10
4
Paso
Acción
1 de 7
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione uno o
varios intervalos de direcciones de red disponibles. Puede proteger o excluir
definiciones del intervalo. Haga clic en Agregar elemento para crear una definición
de intervalo de direcciones de red. Haga clic en Agregar grupo para crear un
grupo de intervalos de direcciones de red. Haga clic en Siguiente.
2 de 7
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione uno o
varios intervalos de puertos de red disponibles. Puede proteger o excluir
definiciones del intervalo. Haga clic en Agregar elemento para crear una definición
de intervalo de puertos de red. Haga clic en Agregar grupo para crear un grupo de
intervalos de puertos de red. Haga clic en Siguiente.
3 de 7
Seleccione la dirección de conexión de red. Puede proteger las conexiones
salientes o las entrantes, o ambas. Haga clic en Siguiente.
4 de 7
(opcional)
5 de 7
(opcional)
Seleccione las marcas que se van a incluir o excluir de la regla. Debe incluir al
menos una marca para usar la opción de exclusión de marcas. Haga clic en
Agregar elemento para crear una marca. Haga clic en Siguiente.
6 de 7
predeterminada para modificar el mensaje de alerta, la dirección URL o el texto
del vínculo. Haga clic en Siguiente.
7 de 7
(opcional)
5
seleccione Activar.
Creación y definición de una regla de protección de escritor de PDF/
imágenes
El software McAfee DLP Endpoint puede bloquear los controladores de impresión de escritor de PDF e
imágenes que imprimen en archivos.
Procedimiento
1
156
2
protección de escritura de PDF/imágenes.
3
Guía del producto
4
5
10
Paso
Acción
1 de 2
vínculo. Si desea que Solicitar justificación bloquee la impresión cuando no se
proporcione justificación, deberá seleccionar también Bloquear. Haga clic en
Siguiente.
2 de 2
(opcional)
seleccione Activar.
Creación y definición de una regla de protección contra impresión
Las reglas de protección contra impresión supervisan o bloquean la impresión de los archivos. Puede
limitar la regla a determinadas aplicaciones o marcas.
Los complementos de impresora, que se activan en la ficha Configuración de los agentes | Varios, pueden
mejorar el rendimiento de la impresora cuando se utilizan determinadas aplicaciones comunes. Los
complementos sólo se instalan cuando está activada una regla de protección contra impresión en el
equipo gestionado.
Procedimiento
1
2
protección contra impresión.
3
Guía del producto
157
10
4
Paso
Acción
1 de 6
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione una
impresora de red disponible. Seleccione Otra impresora de red para proteger todas
las impresoras de red que no se han definido, incluidos los controladores de
impresoras de escritura de PDF e imágenes. Haga clic en Siguiente.
2 de 6
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione Cualquier
impresora local para proteger la impresión de las impresoras locales. Haga clic en
Siguiente.
Sólo uno de los dos primeros pasos es opcional. Debe seleccionar una
impresora de red, una local o ambas.
3 de 6
(opcional)
4 de 6
(opcional)
Siguiente.
5 de 6
vínculo. Si desea que Solicitar justificación bloquee la impresión cuando no se
proporcione justificación, deberá seleccionar también Bloquear. Haga clic en
Siguiente.
6 de 6
(opcional)
5
seleccione Activar.
Creación y definición de una regla de protección de almacenamiento
extraíble
Las reglas de protección de almacenamiento extraíble supervisan o bloquean las operaciones de
escritura en dispositivos de almacenamiento extraíbles.
Procedimiento
1
158
Guía del producto
10
2
protección de almacenamiento extraíble.
3
4
Paso
Acción
1 de 8
(opcional)
2 de 8
(opcional)
Siguiente.
3 de 8
(opcional)
clic en Siguiente.
4 de 8
(opcional)
5 de 8
(opcional)
6 de 8
(opcional)
Para aplicar la regla a tipos de cifrado específicos, seleccione la opción
Seleccionar de la lista y, después, seleccione uno o más tipos de cifrado.
7 de 8
opción que no necesite. Si selecciona Cifrar, haga clic en Seleccionar una clave de
cifrado para seleccionar una clave de cifrado o agregar una nueva. Si selecciona
Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al
usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de
alerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificación
bloquee archivos cuando no se proporcione justificación, deberá seleccionar
también Bloquear. Si desea que Solicitar justificación cifre archivos cuando no se
proporcione justificación, deberá seleccionar también Cifrar. Haga clic en
Siguiente.
8 de 8
(opcional)
5
seleccione Activar.
Guía del producto
159
10
Creación y definición de una regla de protección contra capturas de
pantalla
Las reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan de una
pantalla.
Antes de empezar
El módulo de capturas de pantalla debe activarse en la configuración del agente. En la ficha
Varios, seleccione Captura de pantalla y como mínimo una de las opciones: La opción Controlador de
la tecla Imprimir pantalla permite el bloqueo de capturas de pantalla con el teclado; la opción
Controlador de aplicaciones permite el bloqueo de programas de capturas de pantalla de
terceros. Si selecciona la opción Administrador de aplicaciones, especifique qué aplicaciones
están bloqueadas en la ficha Configuración avanzada con Aplicaciones de capturas de pantalla |
Configuración.
La función de capturas de pantalla solo es compatible con el bloqueo de API de interfaces
de dispositivo gráfico (GDI). Las aplicaciones que realizan capturas de pantalla mediante
DirectX o la API del Reproductor de Windows Media no se bloquean.
Procedimiento
1
160
2
protección contra capturas de pantalla.
3
Guía del producto
4
10
Paso
Acción
1 de 5
(opcional)
Los procesos de confianza no forman parte de la lógica de las reglas de
capturas de pantalla. Las aplicaciones con estrategia De confianza no están,
por lo tanto, exentas de las reglas de capturas de pantalla y se bloquearán
como cualquier otra aplicación.
2 de 5
Introduzca el título de una determinada ventana de aplicaciones y haga clic en
Agregar. Repita la acción según corresponda. Haga clic en Siguiente.
3 de 5
(opcional)
Seleccione las marcas que se van a incluir o excluir de la regla. Debe incluir al
menos una marca para usar la opción de exclusión de marcas. Haga clic en
Agregar elemento para crear una marca. Haga clic en Siguiente.
4 de 5
predeterminada para modificar el mensaje de alerta, la dirección URL o el texto
del vínculo. Haga clic en Siguiente.
5 de 5
(opcional)
5
seleccione Activar.
Creación y definición de una regla de protección de la publicación web
Las reglas de protección de la publicación web supervisan o bloquean la publicación de los datos en
sitios web, incluidos los sitios de correo electrónico web.
La regla de protección de la publicación web es compatible con Microsoft Internet Explorer 6 y posterior
y Firefox 3.6 y posterior. Con otros navegadores, utilice las reglas de protección de comunicaciones de
la red.
Las reglas de protección de la publicación web pueden bloquear o supervisar el contenido cargado en
sitios web basados en las tecnologías AJAX o Flash. Esto incluye los sitios siguientes:
•
Microsoft Outlook Web Access
•
Yahoo
•
Gmail
•
Hotmail
•
Google Docs
Cuando una regla de protección de la publicación web está activada, las cargas de archivo de
publicación web continúan ejecutándose en segundo plano a pesar de que la barra de carga indica que
la carga ha terminado.
Guía del producto
161
10
Procedimiento
1
162
2
protección de la publicación web.
3
Guía del producto
4
10
Paso
Acción
1 de 8
(opcional)
Seleccione la opción Seleccionar de la lista y, a continuación, seleccione un destino
web o un grupo de destinos web disponible para esta regla. Haga clic en Agregar
elemento para crear una definición de destino web. Haga clic en Agregar grupo para
crear un grupo de destinos web. Haga clic en Siguiente.
Si no se define ningún destino web determinado, se bloqueará todo el contenido
HTTP saliente.
2 de 8
(opcional)
Siguiente.
3 de 8
(opcional)
clic en Siguiente.
4 de 8
(opcional)
5 de 8
(opcional)
6 de 8
(opcional)
Para aplicar la regla a tipos de cifrado específicos, seleccione la opción Seleccionar
de la lista y, después, seleccione uno o más tipos de cifrado.
7 de 8
vínculo. Si desea que Solicitar justificación bloquee las publicaciones web cuando no
se proporcione justificación, deberá seleccionar también Bloquear. Haga clic en
Siguiente.
8 de 8
(opcional)
Se pueden incluir o excluir marcas y extensiones de archivo.
5
seleccione Activar.
Guía del producto
163
10
Eliminación de reglas, definiciones, clases de dispositivos o
grupos de usuarios
Se pueden eliminar reglas, clases de dispositivos o definiciones de las directivas, siempre que no estén
en uso.
No puede eliminar una definición o una clase de dispositivos que se esté utilizando. Antes de proceder
a la eliminación, debe anular su selección en todas las reglas y grupos en los que se encuentre. Para
eliminar las marcas, debe eliminar las reglas que las usan o bien eliminar las marcas de las reglas
antes de continuar.
Si no sabe si se está utilizando ese elemento o dónde se está utilizando, intente eliminarlo. Si se está
utilizando, un mensaje indica las reglas o los grupos en los que se encuentra.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione la
categoría (por ejemplo, definición de red) del elemento que desee eliminar.
Los grupos y elementos disponibles aparecen en el panel principal.
2
Seleccione el elemento o el grupo que desee eliminar, haga clic con el botón derecho del ratón y
seleccione Eliminar.
3
Utilización de definiciones predefinidas
Las plantillas son definiciones del sistema preestablecidas, como definiciones de aplicaciones o
patrones de texto.
Mediante el asistente Sincronizador de plantillas, puede copiar plantillas en una directiva existente o
crear plantillas a partir de las definiciones creadas para la directiva del sistema actual. Las definiciones
de directivas almacenadas en el directorio de plantillas se pueden compartir o utilizar más tarde.
Cuando distribuya una plantilla para crear una definición de dispositivos Plug‑and‑Play, asegúrese de
que todas las clases de dispositivos utilizadas en las definiciones se incluyan en los valores
predeterminados del sistema. Si utiliza una clase de dispositivo que no está en la configuración
predeterminada del sistema, la definición se elimina y se muestra un mensaje de notificación.
Sincronización de plantillas
Las plantillas son definiciones del sistema preestablecidas, como definiciones de aplicaciones o
patrones de texto.
Utilice esta tarea para sincronizar plantillas con la directiva actual.
Procedimiento
1
En la consola de directivas de McAfee DLP Endpoint, en el menú Archivo, seleccione Sincronizar
plantillas.
Aparecerá el asistente Sincronización de plantillas.
164
Guía del producto
2
10
Seleccione el tipo de plantilla correspondiente en las fichas.
Si no hay correspondencia entre la carpeta de plantillas y la directiva del sistema actual, la
definición aparecerá como Falta.
Figura 10-4 Asistente Sincronización de plantillas
3
Para ver las propiedades de la definición seleccionada, haga clic en Vista (
). Para eliminar la
definición seleccionada, haga clic en Eliminar ( ).
4
Para copiar una plantilla en la directiva actual o crear una plantilla nueva a partir de una definición
de directiva actual, seleccione la definición y haga clic en uno de los iconos de desplazamiento,
o
.
La entrada de la definición cambia de Falta al nombre de la definición.
5
A excepción de que la regla especifique lo contrario, las reglas de dispositivos y de protección se
aplican por igual a todos los equipos y usuarios que reciben una directiva. Sin embargo, cuando es
necesario, las reglas se pueden aplicar a usuarios, grupos, unidades organizativas o equipos
concretos.
La definición de grupos de asignación se puede realizar con Microsoft Active Directory o con
OpenLDAP. La flexibilidad para definir usuarios o grupos específicos permite a los administradores
aplicar reglas apropiadas para la función de un usuario. Las personas o los equipos que no deben
tener acceso a la información confidencial tendrán grupos de reglas restrictivas, mientras que el
conjunto de reglas de un administrador será mucho más amplio. Cuando se crean reglas de
protección, se pueden aplicar a un usuario o a un grupo específicos a través del grupo de asignación, o
bien a determinados equipos mediante un despliegue con ePolicy Orchestrator.
Contenido
Asignación de usuarios
Grupos de asignación de equipos
Guía del producto
165
10
Asignación de usuarios
A excepción de que la regla especifique lo contrario, las reglas de dispositivos y de protección se
aplican por igual a todos los equipos y usuarios que reciben una directiva. Sin embargo, cuando es
necesario, las reglas se pueden aplicar a usuarios, grupos, unidades organizativas o equipos
concretos.
Se puede utilizar la opción Usuarios con permisos para omitir la aplicación de las reglas de bloqueo o de
supervisión a determinados usuarios. Hay dos estrategias disponibles para los usuarios con permisos:
Sólo supervisar y Reemplazar todo. El procedimiento para crear la lista es similar al utilizado para crear los
grupos de asignación: se analiza la lista de usuarios y se seleccionan los nombres.
Además, se puede incluir o excluir usuarios de la regla a la que está asignado el grupo o agregar
usuarios locales a un grupo de asignación.
Los usuarios excluidos son similares a los usuarios con permisos, ya que están exentos de
determinadas reglas. La diferencia entre ellos radica en que los usuarios excluidos se definen en el
grupo de asignación, por lo que sólo es necesario asignar ese grupo a una regla. Por otro lado, no
podrá supervisar a esos usuarios si el grupo es bloqueado. La elección entre utilizar usuarios excluidos
o usuarios con permisos ofrece al administrador una considerable flexibilidad a la hora de determinar
cómo aplicar las reglas.
Los usuarios locales se definen como usuarios que han iniciado sesión de forma remota con
autenticación local.
Creación de un grupo de asignación de usuarios
Los grupos de asignación de usuarios definen grupos de usuarios que se van a incluir o excluir de las
reglas.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Asignación de
directivas, seleccione Grupos de asignación de usuarios.
Los grupos de asignación disponibles aparecerán el panel de la derecha.
2
En el panel Grupos de asignación de usuarios, haga clic con el botón derecho y seleccione Nuevo | Grupo de
asignación de usuarios.
Aparecerá el icono del nuevo Grupo de asignación de usuarios.
3
Asigne un nombre al nuevo grupo de asignación de usuarios y haga doble clic en el icono.
Aparecerá la ventana de edición con la ficha Asignación de directiva.
4
Haga clic en Agregar para seleccionar los objetos de este grupo (dominios, unidades organizativas,
grupos y usuarios).
Aparecerá una ventana de búsqueda.
166
5
Seleccione los Tipos de objeto que vaya a buscar y especifique un filtro; a continuación, haga clic en
Buscar para buscar usuarios y grupos.
6
Seleccione los usuarios y grupos que vaya a agregar al grupo de asignación y haga clic en Aceptar.
Guía del producto
7
10
Los usuarios y grupos se incluyen de forma predeterminada. Para excluir uno de ellos de las reglas
del grupo al que está asignado, debe seleccionarlo.
Figura 10-5 Inclusión y exclusión de usuarios
8
Para agregar usuarios locales al grupo, haga clic en Agregar usuarios locales.
9
Si ha creado reglas a las que desea asignar el grupo, haga clic en la ficha Reglas de protección a fin de
seleccionar las reglas de protección para este grupo de asignación. Cuando haya terminado de
seleccionar las opciones necesarias, haga clic en Aceptar.
El orden no importa. Puede crear las reglas primero y asignárselas a un grupo en este paso, o bien
crear antes los grupos y asignárselos a las reglas una vez que las haya creado.
Creación de un grupo de usuarios con permisos
Se puede utilizar la configuración de Usuarios con permisos para omitir la aplicación de las reglas de
bloqueo o de supervisión para determinados usuarios.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Asignación de
directivas, seleccione Usuarios con permisos.
Los grupos disponibles aparecerán en el panel de la derecha.
2
En el panel Usuarios con permisos, haga clic con el botón derecho y seleccione Buscar usuarios y grupos.
Se abrirá una ventana de búsqueda.
3
Seleccione los Tipos de objeto que vaya a buscar y especifique un filtro; a continuación, haga clic en
Buscar para buscar usuarios y grupos.
Guía del producto
167
10
4
Seleccione los usuarios y grupos que vaya a agregar al grupo de usuarios con permisos y haga clic
en Aceptar.
El nuevo icono de Usuarios con permisos aparecerá en la ventana.
5
La estrategia predeterminada para los usuarios con permisos es Reemplazar todo. Para cambiarla,
haga clic con el botón derecho en el icono del grupo y seleccione Definir estrategia | Sólo supervisar.
Grupos de asignación de equipos
Los grupos de asignación de equipos especifican las directivas que se asignan a cada equipo. Puede
utilizar esta función para aplicar diferentes directivas a los grupos de equipos de la red. Cuando se
asignan directivas específicas a un grupo de equipos, estas directivas se aplican en dichos equipos y
los grupos de asignación del usuario de las reglas de McAfee DLP Endpoint se pierden.
Los grupos de asignación de equipos constituyen una función de ePolicy Orchestrator. Se describen
aquí por el efecto que tienen en las reglas de McAfee DLP Endpoint. A los grupos de asignación de
equipos se accede a partir del catálogo de directivas especificando la categoría del grupo de asignación
de equipos.
Asignación de directivas con grupos de asignación de equipos
La función de grupo de asignación de equipos permite elegir las reglas de McAfee DLP Endpoint que
desea asignar a un grupo concreto de equipos.
Figura 10-6 Asignación de reglas con grupos de asignación de equipos de ePO
Si, por ejemplo, ha asignado equipos de marketing a un grupo y después selecciona una regla de
protección del correo electrónico y una regla de protección de la publicación web en la definición del
grupo de asignación de equipos, estas reglas de DLP se aplicarán a todos los usuarios del grupo de
equipos de marketing, no de acuerdo al grupo de asignación de usuarios definido en la regla de
protección de DLP. Todas las reglas que no estén incluidas en el grupo de asignación del equipo (por
ejemplo, una regla de protección de almacenamiento extraíble) se aplicarán de acuerdo a la definición
del grupo de asignación de usuarios de la regla.
168
Guía del producto
Supervisión y generación de
informes
En esta sección se describe el Administrador de incidentes de DLP y cómo
debe usarlo para realizar un seguimiento de las infracciones de directivas y
revisarlas, y Eventos operativos de DLP, que se utiliza para realizar un
seguimiento de los eventos administrativos como, por ejemplo, el despliegue
de agentes, la actualización de directivas, etc.
Capítulo 11
Capítulo 12
Guía del producto
169
170
Guía del producto
11
Los administradores pueden ver los eventos de seguridad en Administrador de incidentes de DLP.
McAfee DLP Endpoint versión 9.3 divide los eventos en dos clases: incidentes (es decir, infracciones de
directivas) y eventos administrativos. Dichos eventos se ven en las dos consolas, Administrador de
incidentes de DLP y Eventos operativos de DLP.
Cuando el software McAfee DLP Endpoint de un equipo gestionado determina que se ha producido una
infracción de directiva, genera un evento y lo envía al Analizador de eventos de ePolicy Orchestrator.
Estos eventos se pueden ver, filtrar y clasificar en la consola de Administrador de incidentes de DLP, lo
que permite a los responsables de la seguridad o a los administradores ver los eventos y responder
inmediatamente. En caso necesario, se adjunta el contenido sospechoso como prueba del evento.
Ya que McAfee DLP Endpoint es fundamental en la estrategia de una empresa para cumplir las
normativas y la legislación que protege los datos confidenciales, Administrador de incidentes de DLP
presenta la información sobre la transmisión de datos confidenciales de forma precisa y flexible. Los
auditores, responsables de firmas, administradores de información confidencial y otros empleados
relevantes pueden utilizar el Administrador de incidentes de DLP para observar actividades
sospechosas o no autorizadas y actuar conforme a la política de privacidad de la empresa, a la
normativa correspondiente y a otras leyes aplicables. El administrador del sistema o el responsable de
la seguridad pueden seguir los eventos administrativos relativos a los agentes y al estado de
distribución de directivas.
La consola de Eventos operativos de DLP muestra detalles sobre el despliegue del cliente, cambios en
las directivas, despliegue de directivas, inicios de sesión en modo seguro, omisiones de agentes y
otros eventos administrativos.
Contenido
Recopilación y administración de datos
Redacción y control de acceso según funciones
Los datos de las tablas DLP en la base de datos de ePolicy Orchestrator se pueden ver en las páginas
Administrador de incidentes de DLP y Eventos operativos de DLP o se pueden intercalar en los
informes y paneles.
La supervisión del sistema consiste en la recopilación y revisión de pruebas y eventos, así como en la
generación de informes. Puede utilizar las herramientas de administración de la base de datos para
gestionarla y ver sus estadísticas.
La revisión de los eventos y las pruebas registradas permite a los administradores determinar si las
reglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son poco
estrictas, lo que facilita la fuga de datos.
Guía del producto
171
11
Contenido
Administrador de incidentes de DLP/Eventos operativos de DLP
Tareas de incidentes
Edición del ejecutor de tareas
Creación de informes
Funcionamiento con la base de datos
Documentación de eventos mediante pruebas
Administrador de incidentes de DLP/Eventos operativos de DLP
Los administradores usan la página Administrador de incidentes de DLP en ePolicy Orchestrator para ver los
eventos de seguridad de las infracciones de directivas, junto con las pruebas y el resaltado de
coincidencias especificado en la configuración de los agentes, así como los recuentos de referencias y
otros detalles. también define las Tareas de incidentes. Los administradores usan la página Eventos
operativos de DLP para ver los eventos administrativos como, por ejemplo, los despliegues de
agentes.
Con el fin de mejorar la seguridad, el software McAfee DLP Endpoint versión 9.3 ha eliminado el
vínculo de conexión del servicio WCF que previamente se usaba para conectar la base de datos de
ePolicy Orchestrator al McAfee DLP Monitor. La nueva interfaz del supervisor forma parte integral de
ePolicy Orchestrator y consta de dos páginas de ePolicy Orchestrator:
•
Administrador de incidentes de DLP: para mostrar eventos de seguridad
•
Eventos operativos de DLP: para mostrar eventos administrativos
Se incluye la nueva función Tareas de incidentes como una ficha en el Administrador de incidentes. En la
versión 9.3, hay tres tareas disponibles: notificaciones por correo electrónico sobre infracciones de
directivas, purgado según los criterios predeterminados y definición de un revisor.
Cómo funciona
La ficha Lista de incidentes del Administrador de incidentes de DLP dispone de toda la funcionalidad del
anterior McAfee DLP Monitor. Los detalles del evento se pueden ver al hacer clic en el evento en
cuestión. Puede crear y guardar filtros para modificar la vista. También puede modificar la vista al
seleccionar y ordenar las columnas. Puede etiquetar eventos individuales (para el filtrado por etiqueta)
y configurar propiedades para el estado, resolución y revisor asignado. La página Eventos operativos
de DLP funciona del mismo modo con los eventos administrativos.
Figura 11-1
Administrador de incidentes de DLP
Use la ficha Tareas de incidentes para configurar los criterios de las tareas planificadas. Para las tareas de
correo electrónico debe configurar el correo electrónico (destinatarios, asunto, cuerpo) y definir los
criterios que las activarán al ser enviados.
172
Guía del producto
11
La pestaña Tareas de incidentes funciona con las tareas servidor de ePolicy Orchestrator para planificar
las tareas. Se instala una nueva tarea servidor, Ejecutor de tareas de DLP, con el softwareMcAfee DLP
Endpoint para este propósito. La pestaña Lista de incidentes funciona con las consultas e informes de
ePolicy Orchestrator para crear informes y mostrar los datos en los paneles de ePolicy Orchestrator.
Caso práctico: configuración de propiedades
Las propiedades son datos que se añaden a un incidente que requiere un seguimiento.
Puede agregar las propiedades desde Acciones | Definir propiedades o desde el panel Detalles
del incidente. Las propiedades son: Gravedad, Estado, Solución y Revisor. El revisor puede
ser cualquier usuario de ePolicy Orchestrator. El motivo por el cual es posible cambiar la
gravedad es porque, en caso de que el administrador determine que el estado es un falso
positivo, la gravedad original dejará de ser importante.
Caso práctico: cambio de la vista
Además de utilizar los filtros para modificar la vista, también puede personalizar los
campos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizar
de nuevo.
Crear un filtro implica las siguientes tareas:
1
Haga clic en Acciones | Vista | Elegir columnas para abrir la ventana de edición de la vista.
2
Utilice el icono x para eliminar columnas y los iconos de flechas para desplazar las
columnas desde la izquierda hacia la derecha.
3
Haga clic en Actualizar vista para aplicar la vista personalizada y Acciones | Vista | Guardar
vista para guardar y usar en un futuro. Al guardar la vista también puede guardar la
hora y los filtros personalizados. En el menú desplegable de la parte superior de la
página puede seleccionar las vistas guardadas.
Visualización de los detalles del evento
Puede ver los detalles del evento y las pruebas en la página Administrador de incidentes de DLP.
También puede asignar un revisor, así como editar la gravedad, el estado y la solución del incidente.
Procedimiento
1
Dentro deEn ePolicy Orchestrator, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.
2
En el panel Lista de incidentes, ordene la lista haciendo clic en cualquier columna. Puede ordenar por
gravedad, hora, usuario, etc.
3
Haga clic en un evento de la lista para ver todos los detalles. La información del evento aparece en
el panel Información sobre incidentes de DLP.
Guía del producto
173
11
4
Para ver los campos redactados, seleccione Acciones | Publicar redacción. En el cuadro de diálogo que
aparece, introduzca el nombre de usuario y la contraseña de un administrador con permiso para
acceder a información confidencial. La prueba redactada se visualiza de modo similar.
Según como estén configurados los permisos basados en funciones, podrán ser necesarios dos
administradores: uno con permiso para ver la pantalla Administrador de incidentes de DLP (excepto
texto confidencial) y otro con permiso para ver el texto confidencial. Consulte Creación y definición
de conjuntos de permisos en esta guía para obtener información sobre la configuración de conjuntos
de permisos.
5
Si la opción Almacenar pruebas forma parte de la regla de protección o descubrimiento que provoca el
evento, el número de archivos de pruebas se mostrará en la ficha Pruebas en la sección inferior del
panel Información sobre incidentes de DLP. Para ver el archivo de pruebas, seleccione la ficha para mostrar
la lista de archivos. Haga clic en un vínculo para mostrar el archivo de pruebas.
Figura 11-2 Detalles de la Lista de incidentes
Definición de filtros
Cuando se visualizan eventos en las páginas Administrador de incidentes de DLP o Eventos operativos
de DLP, es posible que sea conveniente reducir la cantidad de información visible de forma que pueda
concentrarse rápidamente en los detalles relevantes. Puede aplicar un filtro con el fin de definir
criterios específicos que reduzcan la lista de eventos a los datos que le interesan. Puede utilizar un
filtro de tiempo predefinido (por ejemplo las últimas 24 horas) o crear un filtro personalizado.
Las funciones de supervisión de McAfee DLP Endpoint versión 9.3 (Administrador de incidentes de DLP
y Eventos operativos de DLP) no disponen de filtros predefinidos (excepto filtros temporales), solo
filtros definidos por el usuario. Para Administrador de incidentes de DLP, los filtros se crean a partir de
una lista de propiedades en la que se incluyen propiedades de ePolicy Orchestrator y del equipo,
además de propiedades de DLP.
Con la excepción de las marcas de ePolicy Orchestrator y de la ruta de acceso del árbol de sistemas de
ePolicy Orchestrator, estas propiedades adicionales no son relevantes para los filtros de Administrador
de incidentes de DLP.
Para Eventos operativos de DLP, solamente las propiedades de eventos operativos de DLP y las
etiquetas de DLP se muestran como opciones de filtro.
Cuando crea un filtro nuevo, se muestra como unsaved en la ventana Filtro y se guarda para esa sesión
de usuario. Es decir, puede alternar entre unsaved y no custom filter sin perder el filtro. Debe
guardar el filtro antes de cerrar la sesión de usuario (es decir, cerrar la sesión de ePolicy Orchestrator)
o si desea trabajar con más de un filtro.
174
Guía del producto
11
Los parámetros del filtro pueden definir eventos (ID de evento, tipo de evento), aspectos de la
directiva (tipos de archivo, reacciones), o propiedades (resolución, estado). Si ha creado Etiquetas de
DLP, puede utilizarlas para definir filtros.
Procedimiento
1
2
Seleccione la lista de eventos que desee filtrar:
•
Seleccione Menú | Protección de datos | Administrador de incidentes de DLP para la página Lista de incidentes.
•
Seleccione Menú | Protección de datos | Eventos operativos de DLP para la página Lista de eventos operativos.
Seleccione Acciones | Filtro | Editar Filtro o haga clic en Editar al lado de la ventana Filtro. .
Aparece la página Editar criterios de filtrado.
3
Agregue propiedades de la lista Propiedades disponibles; para ello, haga clic en la flecha situada a la
derecha del nombre de la propiedad. Rellene los campos Comparación y Valor mediante las listas
desplegables o, cuando el campo sea un cuadro de texto, escriba el valor.
Puede eliminar una propiedad; para ello, haga clic en la flecha situada a la izquierda del campo
Propiedad. También puede agregar más valores a una propiedad si hace clic en +.
Use la propiedad Producido (UTC) para agregar horas y Producido (Endpoint) para agregar fechas. La
propiedad Producido hace referencia al estado online/offline.
4
Haga clic en Actualizar filtro para aplicar el filtro.
El mensaje (sin guardar) aparece en la ventana de la lista desplegable Filtro. Los filtros que no se
hayan guardado permanecerán disponibles hasta que cierre la sesión de ePolicy Orchestrator.
5
Para guardar el filtro para usarlo en el futuro, seleccione Acciones | Filtro | Guardar filtro.
Se le solicitará un nombre y que defina el filtro como Privado o Público. Haga clic en Aceptar cuando
haya terminado.
6
Para eliminar un filtro, selecciónelo en la lista desplegable Filtro y, a continuación, seleccione Acciones
| Filtro | Eliminar filtro.
Ejemplo: filtrar por versión de agente
Si utiliza McAfee DLP Endpoint en modo de compatibilidad con versiones anteriores y ha
desplegado varias versiones de cliente, quizá le interese examinar los resultados
correspondientes a una versión de cliente en particular. Para ello, haga lo siguiente:
1
En la sección Incidentes de DLP de la lista de propiedades, seleccione Versión del agente.
Esta propiedad hace referencia a la versión del cliente de McAfee DLP Endpoint, no a la
versión de McAfee Agent. Esa propiedad se muestra como Versión del producto (agente).
2
Seleccione la Comparación para incluir o excluir la versión del agente que se desee. El Valor
se debe introducir desde una lista. El software analiza todos los incidentes y solo muestra
los valores existentes.
Véase también
Utilización de etiquetas para marcar eventos en la página 176
Guía del producto
175
11
Utilización de etiquetas para marcar eventos
Las etiquetas personalizadas permiten asignar a los eventos una marca exclusiva. Gracias al uso de
estas etiquetas personalizadas, los eventos se pueden clasificar y personalizar fácilmente.
Procedimiento
1
En ePolicy Orchestrator, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.
Las etiquetas también se pueden usar con Eventos operativos de DLP de forma similar.
2
Para agregar una etiqueta, seleccione uno o varios eventos. Seleccione Acciones | Administrar etiquetas |
Definir.
•
Seleccione Agregar y escriba el nombre de la etiqueta nueva. Haga clic en Aceptar.
•
Seleccione Sustituir todo y, a continuación, seleccione una o varias etiquetas existentes. Haga clic
en Aceptar.
La(s) etiqueta(s) se asocian a los eventos. Ahora ya puede usar estas etiquetas para filtrar u
ordenar la lista.
3
Para eliminar una etiqueta de eventos específicos, seleccione el evento o eventos y, acto seguido,
seleccione Acciones | Administrar etiquetas | Separar. En el cuadro de diálogo, seleccione la(s) etiqueta(s)
que desee eliminar del evento. Haga clic en Aceptar.
4
Para eliminar una etiqueta de todos los eventos, seleccione Acciones | Administrar etiquetas | Eliminar. En
el cuadro de diálogo, seleccione la(s) etiqueta(s) que desee eliminar de la lista. Haga clic en Aceptar.
Véase también
Definición de filtros en la página 174
Tareas de incidentes
La ficha Tareas de incidentes de Administrador de incidentes de DLP usa las Tareas servidorde ePolicy
Orchestrator para llevar a cabo operaciones cuando se cumplen determinados criterios.
En la versión actual, se admiten tres tareas de incidentes:
•
Notificación por correo electrónico: se usa para informar a usuarios, administradores u otras
personas en función de los criterios especificados.
•
Definir revisor: se utiliza para limitar el acceso de visualización al asignar incidentes a un revisor
o grupo.
•
Purga: se usa para purgar los incidentes de la base de datos. Los criterios pueden incluir cualquier
campo de incidentes, así como las marcas de ePolicy Orchestrator o la ruta de acceso del árbol de
sistemas.
La tarea servidor de ejecutor de tareas de DLP ejecuta las tareas.
Caso práctico: creación de una nueva tarea de incidentes
Haga clic en Acciones | Nuevo y seleccione uno de los tres tipos de tareas. Rellene los campos
obligatorios y opcionales en el panel Propiedades de tarea. Agregue y defina las
propiedades en el panel de propiedades de incidentes. Guarde la tarea.
Los valores de las propiedades de incidentes solo se pueden agregar a partir de los valores
que ya existen en la base de datos. No puede crear una tarea basándose en los resultados
esperados teóricos.
176
Guía del producto
11
Caso práctico: cambio de la vista
La vista Tareas de incidentes es personalizable. Seleccione Acciones | Elegir columnas para ver la
página Seleccionar las columnas que se van a mostrar. Puede agregar o eliminar columnas y cambiar
el orden. Haga clic en Guardar para activar la vista personalizado o Usar predeterminada para
volver a la vista estándar.
Caso práctico: activación/desactivación, edición y eliminación
En la vista predeterminada se muestra la columna Acciones, lo que le permite poder Editar,
Activar/Desactivar o Eliminar la tarea directamente en la página Tareas de incidentes. Si no se
muestra la columna, seleccione Acciones | Establecer para activar/desactivar, Acciones | Editar
para editar o Acciones | Eliminar para eliminar la tarea.
Edición del ejecutor de tareas
La tarea servidor de ejecutor de tareas de DLP de ePolicy Orchestrator planifica y ejecuta las tareas
definidas en Tareas de incidentes de Administrador de incidentes de DLP.
Antes de empezar
Defina una o más tareas en Tareas de incidentes de Administrador de incidentes de DLP.
La planificación predeterminada del ejecutor de tareas de DLP es de una vez al día, sin embargo, las
tareas no se activan de forma predeterminada. Debe editar los parámetros predeterminados para
poder ejecutar cualquier tarea o crear un nuevo ejecutor de tareas.
Procedimiento
1
En la página Tareas servidor de ePolicy Orchestrator, haga clic en Nueva tarea.
Aparece el Generador de tareas servidor.
2
En la página Descripción, escriba el nombre de la tarea. Haga clic en Siguiente.
3
En la página Acciones, seleccione Ejecutor de tareas de incidentes de DLP de la lista desplegable Acciones.
Haga clic en Seleccionar tareas y seleccione las tareas de la lista.
Figura 11-3 Edición del ejecutor de tareas
Las tareas se muestran en la página Acciones.
Guía del producto
177
11
4
Use las flechas para establecer el orden de las tareas o para borrar aquellas que no desee ejecutar,
para ello haga clic en X.
5
En la página Planificación, ajuste la planificación según sea necesario. Haga clic en Siguiente.
6
Revise los parámetros y haga clic en Guardar.
Creación de informes
El software McAfee DLP Endpoint utiliza funciones de generación de informes de ePolicy Orchestrator.
hay disponibles varios informes preprogramados, así como la opción para diseñar informes
personalizados.
Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicy
Orchestrator para obtener más información.
Se admiten dos tipos de informes:
•
Informes de propiedades de DLP
•
Informes de eventos de DLP
Nueve informes de propiedades de DLP se muestran en los paneles DLP: Resumen de estado. Se facilitan
doce consultas de eventos predefinidas. Las veintiuna consultas se encuentran en la consola de ePolicy
Orchestrator en Menú | Informes | Consultas e informes | Grupos compartidos.
ePolicy Orchestrator incluye una función de datos acumulados, la cual ejecuta consultas que informan
sobre datos de resumen de varias bases de datos de ePolicy Orchestrator. Todos los informes de
McAfee DLP Endpoint están configurados para admitir consultas de datos acumulados.
Opciones de informes
El software McAfee DLP Endpoint utiliza los informes de ePolicy Orchestrator para revisar los eventos.
Asimismo, puede ver información sobre las propiedades del producto en el panel de ePolicy
Orchestrator.
Informes de ePolicy Orchestrator
El software McAfee DLP Endpoint integra las funciones de generación de informes con el servicio de
generación de informes de ePolicy Orchestrator. Para obtener información sobre el uso del servicio de
generación de informes de ePolicy Orchestrator, consulte la Guía del producto de McAfee ePolicy
Orchestrator.
Se admiten las consultas y los informes de datos acumulados de ePolicy Orchestrator, que resumen
los datos procedentes de varias bases de datos de McAfee ePO.
Se admiten las notificaciones de ePolicy Orchestrator. Consulte el tema Envío de notificaciones de la
Guía del producto deMcAfee ePolicy Orchestrator para obtener más información.
Panel de ePO/informes de ePO
Puede ver información sobre las propiedades del producto DLP en la página Menú | Generación de informes |
Paneles de ePolicy Orchestrator. Seleccione DLP: Resumen de estado para ver los paneles de McAfee DLP
Endpoint.
178
•
En McAfee ePolicy Orchestrator 4.5, seleccione la ficha DLP: Resumen de estado de la consola de paneles
de ePO.
•
En McAfee ePolicy Orchestrator 4.6 y 5.0, seleccione la ficha DLP: Resumen de estado en la lista
desplegable Panel.
Guía del producto
11
Se muestran nueve supervisores predefinidos. Los supervisores se pueden editar y personalizar.
Asimismo, se pueden crear nuevos supervisores. Consulte la documentación de McAfee ePolicy
Orchestrator para obtener instrucciones.
Los nueve informes de panel y los doce otros informes predefinidos están disponibles en Menú | Informes
| Consultas e informes. Aparecen bajo Grupos compartidos | Data Loss Prevention. Los seis informes estándar
también disponibles como informes de datos acumulados se indican en las tablas.
Paneles predefinidos
En la siguiente tabla se detallan los paneles predefinidos de McAfee DLP Endpoint.
Tabla 11-1 Paneles predefinidos de DLP (Consultas públicas)
Nombre
Descripción
modo de operación de
agente
Muestra un gráfico circular de agentes por modos de funcionamiento de
DLP. Los modos de funcionamiento son:
• Modo de solo control de dispositivos
• Modo de protección de contenido completo y control de dispositivos
• Modo de protección de almacenamiento extraíble basada en contenido y
control de dispositivos
• Desconocido
Estado del agente
Muestra todos los agentes y su estado.
Versión del agente
Muestra la distribución de los endpoints en la empresa. Se utiliza para
supervisar el progreso del despliegue de los agentes.
Agentes omitidos
Muestra el número de nodos de DLP que están en modo de omisión de la
directiva. Se trata de una visualización en tiempo real que se actualiza
cuando empieza o caduca una omisión.
Reglas implementadas
Muestra el número de sesiones de usuario que implementan de cada
regla, agrupadas por tipo de regla. Este panel sustituye a los paneles
separados de reglas implementadas de dispositivo, protección y
descubrimiento de versiones anteriores.
Distribución de las
directivas
Muestra la distribución de las directivas de DLP en la empresa. Se utiliza
para supervisar el progreso al desplegar una nueva directiva.
Informes de eventos predefinidos
En la siguiente tabla se detallan los informes de eventos predefinidos de McAfee DLP Endpoint.
Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas)
Nombre
Descripción
modo de operación de agente
Muestra los agentes por modo de funcionamiento.
Estado del agente
Muestra todos los agentes y su estado. Este informe cuenta con
valores nuevos para los clientes de la versión 9.3:
(también informe de datos
acumulados)
• Error al instalar el
controlador
• Error al instalar el agente
• Agente instalado:
pendiente de reiniciar
• El agente se está
ejecutando
• Agente activo: no hay
directiva
• El agente no se está
ejecutando
• Agente no instalado
Guía del producto
179
11
Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) (continuación)
Nombre
Descripción
Distribución de comunicación del Muestra los endpoints conforme a la fecha de su última
agente a ePO
comunicación con ePolicy Orchestrator.
acumulados)
Versión del agente
acumulados)
Muestra la distribución de los endpoints en la empresa. Se utiliza
para supervisar el progreso del despliegue de los agentes.
Eventos de dispositivos de
bloqueo de escritura y bloqueo
Muestra los eventos del dispositivo que se han bloqueado o que se
han bloqueado contra escritura.
Agentes omitidos
Muestra el número de nodos de DLP que están en modo de omisión
de la directiva. Se trata de una visualización en tiempo real que se
actualiza cuando empieza o caduca una omisión.
acumulados)
Distribución de eventos diarios
según gravedad
Muestra los eventos de un día ordenados por gravedad.
Reglas implementadas
Muestra el número de sesiones de usuario que implementan de
cada regla, agrupadas por tipo de regla.
acumulados)
Eventos según tipo de evento
Muestra el número de eventos de cada tipo de evento.
acumulados)
Eventos por regla de protección
Muestra el número de eventos de cada regla.
Eventos según regla de
protección/descubrimiento por
fecha
Muestra el número de eventos de cada regla en distintas fechas.
Eventos según gravedad
Muestra el número de eventos para cada nivel de gravedad.
acumulados)
Eventos por marca y categoría
acumulados)
Distribución de las rutas de las
pruebas
Muestra los distintos recursos compartidos de prueba que utilizan
los agentes. Resulta útil cuando hay varias configuraciones de
agente diferentes.
Distribución de las directivas
Muestra la distribución de las directivas de DLP en la empresa. Se
utiliza para supervisar el progreso al desplegar una nueva
directiva.
acumulados)
180
Muestra el número de eventos de cada marca y la categoría de
contenido que reconocen.
Permisos con privilegios
Muestra los usuarios de DLP con privilegios actualmente. Le
permite desglosar la información para ver los usuarios de DLP
normales, así como los usuarios con permisos sólo supervisar y los
usuarios a los que se les permite omitir todos los eventos de DLP.
Clases de dispositivos no
definidas
Presenta una lista y un gráfico de barras de aquellos dispositivos
cuya clase no puede ser determinada.
Guía del producto
11
Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) (continuación)
Nombre
Descripción
Impresoras no gestionadas
Presenta una lista y un gráfico de barras de las impresoras no
gestionadas (en lista blanca) y del número de nodos asociados a
cada una de ellas. Si hace clic en una impresora de la lista o en
una barra del gráfico, se desglosará una lista de los equipos
conectados a ella. Si hace clic en un equipo, se desglosan las
propiedades del equipo.
Impresoras no admitidas
Presenta una lista y un gráfico de barras de las impresoras no
admitidas (es decir, impresoras detectadas por DLP Endpoint que
no estaban en la lista blanca pero que no pudieron instalar un
controlador proxy de DLP), así como el número de nodos asociados
a cada una. Si hace clic en una impresora de la lista o en una barra
del gráfico, se desglosará una lista de los equipos conectados a
ella. Si hace clic en una estación de trabajo, se desglosan las
propiedades del equipo.
Compatibilidad con los paneles e informes de los clientes de versiones anteriores a
la 9.3
Los clientes de McAfee DLP Endpoint de la versión anterior a la 9.3 no admiten sesiones de varios
usuarios. Los clientes más antiguos siguen proporcionando información sobre las propiedades como lo
hacían anteriormente, y dichas propiedades se muestran en la página Detalles del producto del árbol
de sistemas de ePolicy Orchestrator. Estos clientes se marcan para indicar que no admiten sesiones de
varios usuarios.
Para hacer que la tarea de generación de informes de propiedades DLP MA sea compatible con
versiones anteriores, algunas propiedades (Estado del agente, Distribución de comunicaciones del
agente a ePO, Agentes omitidos y Distribución de las directivas) se han hecho obsoletas, es decir, hay
una versión de la propiedad para los clientes nuevos y otra versión para los clientes antiguos. En una
ampliación, en las consultas definidas y modificadas por el usuario se agregar la nota "Obsoleto,
consulte las notas de la versión". Los informes que no se han modificado se sustituyen por la nueva
funcionalidad.
Configuración de informes de datos acumulados de Data Loss Prevention
Los informes de datos acumulados son una función de ePolicy Orchestrator que se puede utilizar con
datos de McAfee DLP Endpoint.
Procedimiento
1
En ePolicy Orchestrator seleccione Menú | Automatización | Tareas servidor.
2
Seleccione Nueva tarea (o Acciones | Nueva Tarea).
3
Escriba un nombre para la tarea y notas (opcionales) y, acto seguido, haga clic en Siguiente.
4
En la lista desplegable Acciones, seleccione Acumular datos. En la lista desplegable Tipo de datos,
seleccione uno de los tipos de informe de McAfee DLP Endpoint: Reglas implementadas de DLP, Eventos de
DLP, Propiedades DLP MA o Contraseñas de DLP.
5
Continúe con la configuración según sea necesario. Haga clic en Siguiente.
6
Defina el tipo de planificación, la fecha y la hora. Haga clic en Siguiente.
7
Revise la información de configuración y haga clic en Guardar.
Guía del producto
181
11
Funcionamiento con la base de datos
El software McAfee DLP Endpoint incluye dos herramientas para trabajar con la base de datos.
Administración de la base de datos
Es posible eliminar los eventos no deseados de la base de datos de eventos.
Antes de empezar
Al eliminar eventos de la base de datos, asegúrese de que se haya informado de ellos y se
hayan analizado debidamente. Se recomienda crear una copia de seguridad de la base de
datos antes de eliminar eventos. La eliminación de todos los eventos del sistema podría
eliminar las infracciones antes de que los responsables de seguridad o los administradores
las hayan detectado.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de la
base de datos, seleccione Administración de la base de datos.
Las acciones administrativas aparecerán en el panel de la derecha.
2
Seleccione una acción de la lista disponible. Aparecerá la ventana de confirmación.
Preste atención a la descripción de cada opción. En particular, la opción Fecha elimina los eventos
anteriores a la fecha especificada.
3
Haga clic en Ejecutar para continuar con la operación o en Cerrar para cancelarla.
Aparecerá la ventana de la barra de progreso.
Visualización de las estadísticas de la base de datos
Las estadísticas de la base de datos se pueden ver directamente en la consola de directivas.
Procedimiento
1
En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de la
base de datos, seleccione Estadísticas de la base de datos.
La lista de valores estadísticos disponibles aparece en el panel derecho.
2
En la barra de herramientas, seleccione Actualizar estadísticas de la base de datos para actualizar la
información.
3
Seleccione cualquier valor de la lista disponible para ver los detalles.
Documentación de eventos mediante pruebas
La prueba es una copia del archivo o del correo electrónico que ha provocado la publicación de un
evento de seguridad enAdministrador de incidentes de DLP.
Algunas reglas permiten la opción de almacenar pruebas. Cuando esta opción está seleccionada, se
almacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebas
predefinida en el equipo del endpoint. Cuando McAfee DLP Endpoint pasa información al servidor, la
182
Guía del producto
11
carpeta se purga y la prueba se almacena en la carpeta de pruebas del servidor. Las opciones de la
ficha Prueba de Configuración de los agentes pueden usarse para controlar el tamaño y la antigüedad
máximos del almacenamiento de pruebas local cuando el equipo está sin conexión.
Requisitos previos para almacenamiento de pruebas
Debe habilitarse el almacenamiento de pruebas antes de poder usarse. Éste es el estado
predeterminado de McAfee Data Loss Prevention. Si no desea guardar pruebas, puede aumentar el
rendimiento deshabilitando el servicio de pruebas. A continuación se indican las opciones obligatorias
o los valores predeterminados a la hora de configurar el software:
•
Carpeta de almacenamiento de pruebas: la especificación de la ruta UNC a la carpeta de
almacenamiento de pruebas es un requisito para aplicar una directiva a McAfee ePolicy
Orchestrator. Consulte Creación y configuración de carpetas de repositorio en esta guía para
obtener información sobre la configuración de la carpeta y de los permisos de acceso (también se
conoce comorecurso compartido de red de pruebas).
•
Servicio de pruebas: el servicio de pruebas se activa en la ficha Configuración de los agentes | Varios.
Es una entrada secundaria situada debajo de Servicio de generación de informes, que también debe estar
activado para la recopilación de pruebas.
•
Configuración de replicación de pruebas: una opción de la ficha Configuración de los agentes | Prueba
le permite seleccionar la recopilación de pruebas, el resaltado de coincidencias o ambas.
Almacenamiento de pruebas y memoria
El número de archivos de pruebas almacenados por evento tiene sus implicaciones en cuanto a
volumen de almacenamiento, rendimiento del analizador de eventos y la generación en pantalla (y,
por tanto, la experiencia de usuario) de las páginas Administrador de incidentes de DLP y Eventos
operativos de DLP. Para gestionar los distintos requisitos en materia de pruebas, el software McAfee
DLP Endpoint hace lo siguiente:
•
El número máximo de archivos de pruebas que se debe almacenar por evento se define en la ficha
Configuración de los agentes | Prueba. El valor predeterminado es 1000; las entradas permitidas oscilan
entre 1 y 10 000.
•
Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros
100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detalles
deAdministrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo
definido) se almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian
al evento. Los informes y consultas que filtren las pruebas en función del nombre de archivo solo
tienen acceso a estos 100 primeros nombres de archivo.
•
En el campo Recuento de pruebas original de Administrador de incidentes de DLP se muestra el número
total de pruebas.
•
Para todos los eventos que almacenan pruebas y los eventos de liberación de la cuarentena, el
software cliente de McAfee DLP Endpoint crea un archivo all_evidences.csv que se almacena en la
base de datos con las pruebas. El archivo se puede enviar a los usuarios finales para la
autocorrección. Esto se puede hacer automáticamente si selecciona la opción Adjuntar CSV de pruebas
en una tarea de notificación por correo electrónico.
El archivo CSV está codificado en UTF‑16 para permitir los nombres de archivos localizados y
contiene el nombre de archivo, la ubicación de la ruta de acceso completa de la carpeta que
contiene el archivo, el tamaño, el número de coincidencias y vínculos https:// a las pruebas y al
resaltado de coincidencias en la base de datos.
Cuando trabaje en modo de compatibilidad con versiones anteriores con versiones anteriores del
cliente, los archivos de pruebas por encima de los 100 almacenados en la base de datos no se pueden
mostrar porque los clientes anteriores no crean el archivo all_evidences.csv.
Guía del producto
183
11
Subrayado de coincidencias
La opción de subrayado de coincidencias permite a los administradores identificar exactamente el
contenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, guarda un
archivo HTML cifrado que contiene el texto extraído. Para marcas y categorías de contenido, el texto
consta de una palabra o frase resaltada que va precedida y seguida de cien caracteres (como
referencia de contexto) que organiza la marca o la categoría de contenido desencadenante del evento
y que incluye el número de eventos que contiene cada marca o categoría de contenido. Para patrones
de texto protegido y diccionarios, se extrae el texto exacto. Las palabras clave de expresiones
regulares y coincidencias exactas muestran hasta 100 coincidencias por expresión; los diccionarios
pueden mostrar un máximo de 250 coincidencias por entrada de diccionario. Las opciones de
visualización se configuran en la ficha Configuración de los agentes | Prueba:
•
Mostrar coincidencias abreviadas (opción predeterminada): se muestran 1.500 caracteres (5‑7
coincidencias) por sección.
•
Mostrar todas las coincidencias: se muestran todas las coincidencias, con las limitaciones descritas
anteriormente.
Reglas que permiten almacenamiento de pruebas
Las siguientes reglas tienen la opción de almacenamiento de pruebas.
Tabla 11-3 Pruebas guardadas por las reglas
Regla
Qué guarda
Reglas de protección de correo electrónico
Copia del correo electrónico
Reglas de protección del sistema de archivos
Copia del archivo
Reglas de protección contra impresión
Copia del archivo
Reglas de protección de almacenamiento extraíble
Copia del archivo
Reglas de protección contra capturas de pantalla
JPEG de la pantalla
Reglas de protección de la publicación web
Copia de la publicación web
Reglas de descubrimiento del sistema de archivos
Copia del archivo
Reglas de descubrimiento de almacenamiento de correo electrónico
Copia del archivo .msg
Supervisión de la actividad mediante recuentos de referencias
Un recuento de referencias es el número de marcas y categorías de contenido que activa un evento.
Un único evento puede generar varias referencias.
El Administrador de incidentes de DLP mantiene recuento de referencias, es decir, el número de
categorías de contenido y marcas que activaron cada evento. En el panel de detalles de evento, el
número total de referencias está concatenado con cada ruta de archivo de pruebas. Los recuentos de
referencias se registran en dos campos de McAfee DLP Monitor:
•
Número de referencias: la suma de referencias de categoría de contenido. Las múltiples referencias de
diccionario se agregan al total. Las marcas no se cuentan.
•
Número de marcas y categorías: la suma de todas las categorías de contenido y marcas encontradas.
•
Tamaño del contenido: tamaño total del archivo en KB.
Un único evento puede generar varias referencias. Por ejemplo, si se bloquea un mensaje de correo
electrónico con dos archivos de datos adjuntos, el primero porque activó un diccionario y el segundo
porque activó un patrón de texto y contenía contenido marcado, esta circunstancia aparecería en
forma de dos referencias y tres marcas y categorías.
184
Guía del producto
11
El software McAfee DLP Endpoint limita la visualización de los incidentes de dos modos.
Para cumplir las exigencias legales de algunos mercados y proteger la información confidencial en
todas las circunstancias, el software, McAfee DLP Endpoint ofrece una función de redacción de datos.
Al utilizar la redacción de datos, los campos específicos en las pantallas Administrador de incidentes de
DLP y Eventos operativos de DLP que contienen información confidencial, se cifran para evitar la
visualización no autorizada y se ocultan los vínculos a las pruebas.
Además de poder designar determinados campos como confidenciales, también se puede limitar a los
revisores de modo que solo puedan ver los incidentes asignados a ellos o a los grupos de usuarios
específicos.
Protección de la confidencialidad con la redacción
La redacción de datos consiste en el cifrado de la información confidencial para impedir visualizaciones
no autorizadas. Algunos países requieren aplicar prácticas de redacción y se considera una práctica
recomendada (incluso cuando no es un requisito legal) separar los permisos de revisión de los
eventos operativos e incidentes y bloquear los datos confidenciales de aquellas personas que no
precisen verlos.
La información redactada está cifrada en:
•
la pantalla Administrador de incidentes de DLP
•
la pantalla Eventos operativos de DLP
Actualmente, los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales.
Hay dos modos de ver los datos confidenciales:
•
Otorgar a los administradores permisos para ver todos los campos de los incidentes que están
autorizados a ver.
•
Crear un "revisor de redacción", un revisor que no puede ver los incidentes pero que puede acceder
a los campos cifrados cuando otro revisor ve dicho incidente.
(Este es el modelo de doble revisión y era la única opción en las versiones anteriores de McAfee DLP
Endpoint.)
Permisos de DLP en ePolicy Orchestrator
La tabla siguiente muestra de qué modo los permisos de DLP afectan al acceso a las funciones e
informes de ePolicy Orchestrator:
Guía del producto
185
11
Tabla 11-4 Resumen de los permisos de los eventos operativos e incidentes de DLP y sus
efectos
Sección Permiso
Directiva
Efecto en el
Administrador
de directivas
de DLP
Efecto en
Administrador
de incidentes
de DLP
Efecto en Efecto en
Eventos
informes
operativos de ePO
de DLP
El usuario no
puede ver
directivas.
El usuario no
está autorizado
a ver o crear
directivas de
DLP.
La ficha
Administrador
de directivas de
DLP no está
disponible.
El usuario
solo puede
ver
directivas.
El usuario está
autorizado a
ver las
directivas pero
no puede
crearlas ni
editarlas.
La ficha
Administrador
de directivas de
DLP está
disponible.
No es
importante.
Depende de los
permisos de
acceso a
incidentes.
No es
No es
importante. importante.
Depende
de los
permisos
de acceso a
eventos
operativos.
El usuario
puede ver y
guardar
directivas.
El usuario está
autorizado a
crear y editar
directivas.
La ficha
Administrador
de incidentes
de DLP no está
disponible.
No es
importante.
Depende
de los
permisos
de acceso a
eventos
operativos.
Control de El usuario no
acceso de puede ver los
incidentes incidentes de
DLP.
El usuario no
está autorizado
a ver el
Administrador
de incidentes
de DLP.
El usuario
puede ver los
incidentes
que se le han
asignado.
Los usuarios
pueden ver
todos los datos
de los
incidentes de
DLP asignados
personalmente.
El usuario
puede ver los
incidentes
asignados a
los miembros
de los
siguientes
conjuntos de
permisos:
El usuario
puede ver los
incidentes de
DLP asignados
a los grupos de
los cuales es
miembro así
como los
incidentes
asignados a
cualquier
miembro de
dichos grupos.
El usuario
puede ver
todos los
incidentes.
El usuario
puede ver
todos los datos
de incidentes
de DLP.
Los datos
confidenciales
están
redactados.
El usuario no
No es
La pantalla está disponible pero los
está autorizado importante.
campos confidenciales están redactados.
a ver los
Depende de los Las pruebas no son accesibles.
campos
confidenciales.
Redacción
de datos
de
incidentes
186
Descripción
No es
importante.
Depende de los
permisos de
acceso a
directivas.
La ficha
Administrador
de incidentes
de DLP está
disponible.
Se filtran
todos los
incidentes
de DLP
para que
no se
muestren.
Los
incidentes
se filtran
por los
derechos
de acceso
del usuario.
Se
muestran
todos los
incidentes.
Guía del producto
11
Tabla 11-4 Resumen de los permisos de los eventos operativos e incidentes de DLP y sus
efectos (continuación)
Sección Permiso
Creación
de tarea
de
incidente
Descripción
Efecto en el
Administrador
de directivas
de DLP
Efecto en
Administrador
de incidentes
de DLP
Efecto en Efecto en
Eventos
informes
operativos de ePO
de DLP
Los datos
confidenciales
aparecen en
texto no
cifrado.
El usuario
puede ver
todos los
campos.
permisos de
acceso a
directivas.
Se muestran todos los campos y las
pruebas son accesibles.
El usuario
puede
acceder a los
datos
confidenciales
redactados.
El usuario no
está autorizado
a ver
incidentes de
DLP, pero
puede descifrar
campos
confidenciales
en presencia
de un usuario
que sí puede
ver incidentes
de DLP.
El usuario
puede crear
una tarea de
notificación
de correo
electrónico.
El usuario
puede crear las
tareas
seleccionadas.
El usuario no
está autorizado
a ver la
pantalla
Eventos
operativos de
DLP.
No es
importante.
No es
Ningún
importante. informe de
DLP está
autorizado.
No es
importante.
Depende de los
permisos de
acceso a
directivas.
Solo disponible
para los
usuarios con
acceso parcial
como mínimo.
No es
No es
importante. importante.
Depende
de los
permisos
de acceso a
incidentes.
No es
importante.
Depende de los
permisos de
acceso a
directivas.
No es
importante.
Depende de los
permisos de
acceso a
incidentes.
La ficha
Eventos
operativos
de DLP no
está
disponible.
Los
eventos
operativos
se filtran
por los
derechos
de acceso
del usuario.
La ficha
Eventos
operativos
de DLP está
disponible.
Se
muestran
todos los
eventos
operativos.
El usuario
puede crear
una tarea de
purga.
El usuario
puede crear
una tarea de
definición de
revisor.
Eventos
El usuario no
operativos puede ver los
eventos
operativos.
El usuario
puede ver
todos los
eventos
operativos.
El usuario
puede ver
todos los datos
de eventos
operativos de
DLP.
Véase también
Creación y definición de conjuntos de permisos en la página 191
Guía del producto
187
11
Control de acceso según funciones
Los incidentes de las consolas de Administrador de incidentes de DLP o Eventos operativos de DLP se
pueden asignar a usuarios o a grupos de usuarios específicos.
El control de acceso según funciones ofrece un control pormenorizado de la visualización de los datos
de Administrador de incidentes de DLP y Eventos operativos de DLP. Mediante la asignación de
incidentes a administradores o grupos específicos y la definición de permisos en los conjuntos de
permisos de ePolicy Orchestrator, puede controlar los incidentes que puede ver cada revisor.
Flujo de trabajo
Para usar la función de control de acceso según funciones, utilice el flujo de trabajo siguiente:
•
Crear un revisor: puede utilizar un usuario o un grupo de usuarios existente, o crear un usuario
nuevo en ePolicy Orchestrator Menú | Administración de usuarios | Usuarios.
•
Crear un conjunto de permisos: en ePolicy Orchestrator Menú | Administración de usuarios | Conjuntos
de permisos, cree un conjunto de permisos nuevo y, a continuación, asigne el permiso de Data Loss
Prevention a su usuario.
•
Cree una tarea Definir revisor en Administrador de incidentes de DLP | Tareas de incidentes para asignar revisores
según las condiciones predefinidas.
Caso práctico: reglas de protección de correo electrónico
Como ejemplo, imaginemos que desea asignar un administrador para que revise todas las
infracciones de reglas de protección de correo electrónico. El orden exacto no es
importante, pero debe realizar las acciones siguientes:
1
Crear un revisor de directivas de correo electrónico de DLP. En ePolicy Orchestrator, en
Administración de usuarios | Usuarios, cree un usuario con un nombre adecuado, por ejemplo
"DLP email reviewer".
2
Cree un nuevo conjunto de permisos, que podemos denominar "Review DLP email",
asígnele el nuevo revisor y defina los permisos de Data Loss Prevention. Para activar los
permisos basados en funciones, debe permitir que su usuario "vea" o "vea
parcialmente" los incidentes y eventos. Si selecciona "ver parcialmente", el revisor no
podrá ver los campos privados (redactados).
3
Puede asignar a revisores de forma manual (desde el panel de detalles de los
incidentes) o automática. Para asignar todos los incidentes de correo electrónico
automáticamente a su revisor, vaya a Administrador de incidentes de DLP | Tareas de incidentes y
cree una nueva tarea de definición de revisor. Seleccione la propiedad Producto del proceso y
configúrela como en Microsoft Outlook. Si es posible que vea incidentes de Lotus Notes,
agregue también dicha propiedad.
El nuevo revisor se asignará la próxima vez que se ejecute la tarea servidor de ePolicy
Orchestrator Ejecutor de tareas de incidentes de DLP.
188
Guía del producto
12
Recomendamos crear funciones y permisos de administrador específicos en ePolicy Orchestrator para
la consola de directivas de McAfee DLP Endpoint y Administrador de incidentes de DLP. Entre estas
funciones se incluye la creación y el almacenamiento de directivas; la visualización de las directivas
(sin opción de cambiarlas); la creación de claves de desbloqueo para omisión, desinstalación y puesta
en cuarentena; la visualización de Administrador de incidentes de DLP; y la revelación de campos
confidenciales.
Redacción de datos confidenciales y los conjuntos de permisos de ePolicy
Orchestrator
Para cumplir las exigencias legales de algunos mercados sobre la protección de información
confidencial bajo cualquier circunstancia, el software McAfee DLP Endpoint ofrece una función de
redacción de datos. Los campos de Administrador de incidentes de DLP y Eventos operativos de DLP
que contienen información confidencial se cifran para impedir visualizaciones no autorizadas y se
ocultan los vínculos a pruebas confidenciales. La función se ha diseñado con una "clave doble" de
desbloqueo. Esto quiere decir que, para utilizar la función, debe crear dos conjuntos de permisos: uno
para ver los incidentes y los eventos y otro para ver los campos cifrados. Para utilizar la característica,
son necesarias ambas funciones.
Contenido
Conjuntos de permisos sobre DLP
Creación y definición de administradores de McAfee DLP
Creación y definición de conjuntos de permisos
Conjuntos de permisos sobre DLP
Los conjuntos de permisos sobre DLP asignan permisos para ver y guardar las directivas y para ver los
campos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC,
role‑based access control)
.
Los conjuntos de permisos de Data Loss Prevention se dividen en cinco secciones:
•
Directiva
•
Creación de tarea de incidente
•
Control de acceso de incidentes
•
Eventos operativos
•
Redacción de datos de incidentes
Guía del producto
189
12
Ello le permite diferenciar entre los administradores de directivas de DLP, los administradores de
incidentes y eventos operativos, y los revisores de incidentes. La opción El usuario no puede ver los incidentes
de DLP de la sección Control de acceso de incidentes hace que las demás secciones de incidentes no estén
disponibles (con la excepción de la opción de acceso a datos redactados). Por lo demás, las opciones
son independientes y las funciones administrativas y de revisión se pueden asignar como se desee.
Los permisos para configurar las claves de desbloqueo de omisión y desinstalación del agente y para
desbloquear correos electrónicos y archivos en cuarentena se han trasladado al conjunto de permisos
Acciones del servicio de asistencia.
Caso práctico: administrador de DLP
Utilice las selecciones siguientes para un administrador de DLP que solo cree directivas y
que no tenga responsabilidades de revisión de eventos.
•
En la sección Directiva, seleccione El usuario puede ver y guardar directivas.
•
En la sección Control de acceso de incidentes, seleccione El usuario no puede ver los incidentes
de DLP.
De forma opcional, se puede permitir que el administrador de DLP vea eventos operativos.
Caso práctico: revisor de campos redactados
En este ejemplo es necesario configurar permisos para dos revisores: uno que revisa los
eventos e incidentes y otro que visualiza los campos redactados. Suponiendo que las
funciones del revisor estén separadas de las funciones del administrador de directivas,
realice las selecciones siguientes:
•
Para ambos revisores: en la sección Directiva, seleccione El usuario no puede ver y guardar
directivas.
•
Para el revisor de incidentes: en la sección Control de acceso de incidentes, seleccione
una de las opciones de vista parcial: El usuario puede ver los incidentes asignados a él o El usuario
puede ver los incidentes asignados a los miembros de los siguientes conjuntos de permisos:. En la sección
Redacción de datos de incidentes, seleccione Los datos confidenciales están redactados.
•
Para el revisor de redacción: en la sección Control de acceso de incidentes, seleccione El
usuario no puede ver los incidentes de DLP. En la sección Redacción de datos de incidentes,
seleccione El usuario puede acceder a datos confidenciales redactados (principio de doble revisión).
Pueden crearse usuarios administrativos antes o después de los conjuntos de permisos asignados a
ellos.
Procedimiento
190
1
En McAfee ePolicy Orchestrator, seleccione Menú | Administración de usuarios | Usuarios.
2
Haga clic en Nuevo usuario.
Guía del producto
3
12
Escriba un nombre de usuario y especifique el estado de inicio de sesión, el tipo de autenticación y
los conjuntos de permisos.
Recomendamos crear grupos de usuarios relacionados con la función, por ejemplo Administrador
de cuarentena de DLP.
El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero usuarios,
los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede adjuntarlos al
conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de permisos
aparecen en el formulario de usuario y puede adjuntar el usuario.
4
Los conjuntos de permisos resultan útiles para definir distintas funciones administrativas en el
Procedimiento
1
En McAfee ePolicy Orchestrator, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2
Seleccione un conjunto de permisos predefinido o haga clic en Acciones | Nuevo conjunto de permisos para
crear un nuevo conjunto.
a
Escriba un nombre para el conjunto y seleccione los usuarios.
El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero
usuarios, los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede
adjuntarlos al conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de
permisos aparecen en el formulario de usuario y puede adjuntar el usuario.
b
3
En el campo Data Loss Prevention (Prevención de fuga de datos) del conjunto de permisos, haga clic en
Editar.
4
Para definir el control de acceso según funciones (RBAC, role‑based access control) para este
usuario o grupo, seleccione los permisos deseados y, a continuación, haga clic en Guardar.
Guía del producto
191
12
Los permisos se pueden configurar por separado para cinco categorías:
•
directivas
•
creación de tarea de incidente
•
control de acceso de incidente
•
eventos operativos
•
redacción de datos de incidentes
Figura 12-1 Edición de un conjunto de permisos para McAfee DLP Endpoint
192
Guía del producto
En este apartado se tratan los procedimientos operativos no estándar como
la omisión del agente.
Capítulo 13
Guía del producto
193
194
Guía del producto
13
Solución de problemas y operaciones no
estándar
Durante el funcionamiento normal, ePolicy Orchestrator se utiliza para realizar todos los cambios en el
sistema. No obstante, se pueden producir situaciones en la que sea necesario llevar a cabo
determinadas acciones, como ampliar las directivas o desinstalar el software cliente, de forma manual.
Contenido
Herramientas del sistema
Omisión de agente y funciones relacionadas
Despliegue manual de los productos de software del endpoint de McAfee
Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos
Herramientas del sistema
Las herramientas del sistema del software McAfee DLP Endpoint permiten rastrear las alertas sobre el
mantenimiento del sistema y configurar las funciones avanzadas.
Las herramientas del sistema están concebidas para ser el primer paso en la solución de problemas. A
ellas se accede mediante el menú Herramientas. Existen herramientas para:
•
Análisis de la directiva
•
Visualización del registro del sistema
•
Nueva ejecución del asistente de Inicialización
•
Configuración de las opciones de herramientas
Caso práctico: análisis de una directiva
Las directivas que contienen errores no pueden aplicarse a la base de datos de ePolicy
Orchestrator. Antes de intentar aplicar una nueva directiva, compruebe la directiva con el
analizador de directivas y corrija los errores. El analizador de directivas también muestra
advertencias que indican si una regla o definición están incompletas o desactivadas. Las
directivas incompletas se pueden aplicar a la base de datos, lo que le permite probar
directivas parciales durante la creación de nuevas directivas.
Para ver el analizador de directivas, seleccione Herramientas | Ejecutar Analizador de directivas en la
consola de directivas de McAfee DLP Endpoint (o pulse F8). Las entradas del analizador de
directivas se muestran en la parte inferior de la ventana.
Guía del producto
195
13
Caso práctico: visualización del registro del sistema
Utilice el registro del sistema para observar y recibir alertas sobre el mantenimiento del
sistema y otros eventos relacionados. El registro del sistema es fundamental para la
solución de problemas.
Para ver el registro del sistema, seleccione Herramientas | Ver registro en la consola de
directivas deMcAfee DLP Endpoint (o pulse F7). Las entradas del registro del sistema se
muestran en la parte inferior de la ventana.
La omisión de agente es una suspensión temporal de las reglas de bloqueo. Se aplica cuando un
usuario necesita un permiso temporal para enviar información que normalmente se considera
confidencial.
El modo de omisión de agente suspende de forma temporal el bloqueo que realiza el software del
endpoint durante un tiempo determinado. En este modo, el software del endpoint sigue recopilando y
enviando información sobre eventos al Analizador de eventos de ePolicy Orchestrator. Los eventos se
marcan con la etiqueta de omisión. El usuario no recibe notificaciones visuales de los eventos mientras
está activo el modo de omisión.
El mecanismo de omisión se conoce como "desafío/respuesta". El usuario abre una ventana emergente
del cliente McAfee DLP Endpoint que muestra un Código de identificación y un ID de revisión. El código y el ID
se envían al administrador de DLP para solicitar un código de autorización. El administrador acepta la
solicitud mediante la creación de un código de autorización que enviará al usuario y, quien a su vez, lo
introducirá en el cuadro de texto emergente Código de autorización. Por motivos de seguridad, cada vez
que abre la ventana emergente, se genera un nuevo código ID a partir del cual se genera el código de
autorización. Por lo tanto, el usuario debe dejar la ventana emergente abierta hasta que se introduzca
el correspondiente código de autorización.
La omisión de agente ya no finaliza al cerrar la sesión o al reiniciar el equipo sino que permanece activa
durante todo el período de tiempo establecido en la directiva (el intervalo de duración de la omisión
puede ser de 5 minutos a 30 días).
Para crear el código de autorización de omisión de agente se requiere la utilidad McAfee Help Desk,
que está incluida en el instalador de McAfee DLP Endpoint. Consulte la documentación de McAfee Help
Desk si desea más información sobre los códigos de autorización.
Funciones relacionadas
Desinstalación del agente
El software cliente de McAfee DLP Endpoint está protegido frente a la eliminación no autorizada.
Existen dos métodos de eliminación autorizada:
•
La desinstalación en red desde ePolicy Orchestrator, realizada por el administrador de McAfee ePO.
•
La desinstalación local mediante la función Agregar o quitar programas de Windows. Este método utiliza
el mecanismo de desafío/respuesta.
Liberar de la cuarentena
Cuando el robot de rastreo (crawler) de McAfee DLP Discover pone en cuarentena mensajes de correo
electrónico o archivos de carácter confidencial, se utiliza el mecanismo de desafío/respuesta para
liberar la información de la cuarentena. Para liberar de la cuarentena solo se utiliza el Código de
autorización y no el ID de revisión.
196
Guía del producto
13
Caso práctico: códigos de autorización maestros
Normalmente, los códigos de autorización se generan a partir de códigos de identificación y
son exclusivos para los usuarios que los solicitan. Sin embargo, en algunos casos, el
administrador puede desear publicar un código de autorización para varios equipos. El
típico caso es cuando ocurre un problema con una compilación específica del software
cliente de McAfee DLP Endpoint y se debe desinstalar desde varios endpoints. En dicho
caso, el administrador crea un código de autorización maestro que se puede usar en
cualquier cliente deMcAfee DLP Endpoint. El código maestro está basado en el tiempo y
caduca tras un tiempo especificado.
Para obtener más información acerca de los códigos de autorización maestros, consulte la
Guía del producto de McAfee Help Desk.
Solicitud de una clave de omisión
En algunas ocasiones el usuario necesita copiar algo que está bloqueado por una regla. En estos
casos, el usuario solicita una clave de omisión que omite las acciones normales de McAfee DLP
Endpoint durante un período de tiempo preestablecido.
Antes de empezar
La opción Mostrar la tarea "Solicitar omisión de DLP" en la consola de DLP Endpoint debe seleccionarse en
la ficha Configuración de los agentes | Servicio de interfaz de usuario.
Cuando está en modo de omisión, el software de endpoints sigue recopilando y enviando información
al Analizador de eventos de ePolicy Orchestrator y los marca con una etiqueta de omisión. El usuario
no recibe notificaciones visuales de los eventos mientras está activo el modo de omisión.
Procedimiento
1
En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y, a
continuación, seleccione Administrar funciones | Consola de DLP Endpoint.
Aparece la consola de DLP Endpoint.
Guía del producto
197
13
2
Haga clic en la ficha Tareas.
Figura 13-1 Solicitud de omisión de la consola de DLP Endpoint
3
Envíe el Código de identificación y el ID de revisión al administrador, junto con el nombre de usuario y la
dirección de correo electrónico. También puede incluir como información opcional el nombre del
equipo y la justificación empresarial para la omisión. Cuando está aprobado, el administrador
genera el Código de autorización y se lo envía al usuario. El administrador del sistema define durante
cuánto tiempo se aplicará la omisión antes de la generación del código.
Cada vez que se selecciona la opción Solicitar omisión de agente en el menú, se genera un nuevo código
de identificación. Debe dejar la ventana de solicitud de omisión abierta hasta que reciba el
correspondiente código de autorización.
4
Introduzca o pegue el Código de autorización en el cuadro de texto y haga clic en Aceptar.
El código de autorización es un código alfanumérico de 8 o 16 dígitos. Si el código contiene guiones
(para facilitar su lectura), debe eliminarlos antes de copiar el número en el cuadro de texto. Si
introduce un código incorrecto tres veces y la directiva de bloqueo de código de autorización se ha
activado en la ficha Configuración de los agentes | Servicio de notificación, la ventana emergente deja de
aparecer durante 30 minutos (configuración predeterminada).
La ventana emergente del agente muestra una verificación.
Despliegue manual de los productos de software del endpoint
de McAfee
El método preferido de despliegue de los productos de software del endpoint de McAfee es mediante el
ePolicy Orchestrator. Sin embargo, existen varios métodos de despliegue manual para aquellos casos
en que no sea posible o no se desee realizar el despliegue con ePolicy Orchestrator.
El despliegue manual se puede usar para desplegar el software cliente de McAfee DLP Endpoint o para
actualizar las directivas en equipos offline. Cuando se utiliza para actualizar las directivas, este método
se conoce como inyección de directivas.
198
Guía del producto
13
Como ejemplo, en este apartado se describe el despliegue con Microsoft Systems Management Server
(SMS) 2003. SMS ofrece una solución integral para desplegar y gestionar aplicaciones y sistemas
operativos en servidores y equipos basados en Windows. Cuando utilice SMS para el despliegue en
lugar del ePolicy Orchestrator, también deberá instalar manualmente el archivo(.opg) de la directiva.
En los sistemas Windows Vista, Windows 7 y Windows Server 2008, si se ejecuta el instalador del
software cliente de McAfee DLP Endpoint independiente mientras que el UAC (Control de cuentas de
usuario) está activo, deberá usar la opción Ejecutar como administrador.
Creación de un paquete de instalación
Cree un paquete para instalar un producto de software del endpoint de McAfee con Microsoft Systems
Management Server. En este procedimiento no se requiere ePolicy Orchestrator.
Instale Microsoft Visual C++ 2005 SP1 Redistributable Package (x86). El paquete se puede descargar
en:
http://www.microsoft.com/downloads/details.aspx?
familyid=200B2FD9‑AE1A‑4A14‑984D‑389C36F85647
Procedimiento
1
En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y
seleccione Nuevo | Paquete.
2
En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma
(opcional).
3
En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y, a continuación, haga clic en
Establecer.
4
En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de conexión
con los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de origen en
el campo y haga clic en Aceptar.
5
En la ficha Configuración de distribución, seleccione Alta en la lista desplegable Prioridad de envío, y haga clic
en Aceptar.
El paquete aparece en el nodo Paquetes del árbol del sitio.
6
Expanda el nuevo paquete en el nodo Paquetes.
7
Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo | Punto de distribución.
Seleccione el servidor o los servidores que desee convertir en puntos de distribución para este
paquete y haga clic en Finalizar.
8
Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo | Programa. Escriba el
nombre de la aplicación.
Guía del producto
199
13
9
En el campo Línea de comandos, escriba el ejecutable de línea de comandos de McAfee DLP, por
ejemplo:
msiexec /I DLPAgentInstaller.msi /qn
/forcerestart
El nombre del archivo .msi se extrae manualmente del archivo DLPAgentInstaller.x86.exe.
Recomendamos reiniciar el equipo gestionado después de instalar el paquete del endpoint. Para
activar esta opción, use el parámetro
/forcerestart
. Para activar el registro de instalación, use
/log <LogFile>
10 En la ficha Entorno, seleccione Si un usuario ha iniciado sesión o no en la lista desplegable El programa se puede
ejecutar. Haga clic en Aceptar.
Compruebe que la opción Ejecutar con derechos de administrador esté seleccionada. La configuración del
software McAfee Data Loss Prevention Endpoint requiere derechos de administrador para que la
instalación se lleve a cabo correctamente.
Creación de un anuncio
Los paquetes de SMS se deben "anunciar". Así se crea el anuncio de un paquete de SMS.
Procedimiento
1
En la consola de Systems Management Server, haga clic con el botón derecho del ratón en Anuncios
y seleccione Nuevo | Anuncio. Escriba el nombre para el anuncio.
2
En la lista desplegable Paquete, seleccione el nombre del paquete de McAfee DLP.
3
En la lista desplegable Programa, seleccione el nombre de la aplicación de McAfee DLP.
4
Haga clic en Examinar y seleccione la colección a la que se debe aplicar el paquete de instalación de
McAfee DLP; a continuación, haga clic en Aceptar.
5
En la ficha Planificación, confirme la hora a la que se debe ofrecer el anuncio y especifique si el
anuncio debe caducar y cuándo. Haga clic en Aceptar.
Creación del paquete de desinstalación de SMS
Cree un paquete para desinstalar el software McAfee Data Loss Prevention Endpoint con Microsoft
Systems Management Server. En este procedimiento no se requiere ePolicy Orchestrator.
Procedimiento
200
1
2
(opcional).
3
En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y, a continuación, haga clic en
Establecer.
Guía del producto
13
4
En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de conexión
con los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de origen en
el campo y haga clic en Aceptar.
5
En la ficha Configuración de distribución, seleccione Alta en la lista desplegable Prioridad de envío, y haga clic
en Aceptar.
El paquete aparece en el nodo Paquetes del árbol del sitio.
6
Expanda el nuevo paquete en el nodo Paquetes.
7
Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo | Punto de distribución.
Seleccione el servidor o los servidores que desee convertir en puntos de distribución para este
paquete y haga clic en Finalizar.
8
Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo | Programa. Escriba un
nombre para el programa.
9
En el campo Línea de comandos, escriba el ejecutable de línea de comandos del producto del enpoint,
por ejemplo:
msiexec /x DLPAgentInstaller.msi /qn
/forcerestart
El nombre del archivo .msi se extrae manualmente del archivo .exe del instalador del producto de
endpoint.
10 En la ficha Entorno, seleccione Si un usuario ha iniciado sesión o no en la lista desplegable El programa se puede
ejecutar. Haga clic en Aceptar.
Creación de un paquete de desinstalación de SMS para su
ejecución desde una línea de comando
Cree un paquete para la desinstalación de productos de software de endpoint McAfee que se ejecute
desde una línea de comandos.
Procedimiento
1
2
(opcional).
3
En la ficha Origen de datos, desactive la casilla Este paquete contiene archivos de origen y haga clic en
Establecer.
4
Localice la cadena de desinstalación correspondiente al agente de McAfee DLP.
a
En el editor del registro, vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall.
b
Haga clic en las entradas hasta encontrar DisplayName: McAfee DLP Endpoint.
c
Copie la UninstallString, por ejemplo:
MsiExec.exe /X{287AAE25‑B0F4‑4E9E‑A7FD‑8EA81FF635E1}
5
Para desinstalar, use la línea de comando:
<cadena de desinstalación>/qn/forcestart
Guía del producto
201
13
Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos
Temas avanzados: Ejecución del robot de rastreo (crawler) de
PST desde la línea de comandos
El descubrimiento de almacenamiento de correo electrónico se puede ejecutar desde la línea de
comandos.
La separación de la función del robot de rastreo (crawler) de PST a un ejecutable distinto (fcpst.exe)
ofrece la posibilidad de ejecutar análisis de almacenamiento de correo electrónico desde la línea de
comandos. De forma predeterminada, el robot de rastreo (crawler) solo realiza enumeraciones de los
elementos existentes e impresiones en un archivo de registro. Se pueden utilizar los siguientes
parámetros de la línea de comandos:
Parámetro
Definición
‑t1
Analiza los archivos PST que se encuentran en los discos duros locales
‑t2
Analiza el archivo OST
‑t4
Analiza los archivos PST asignados
Si se combinan valores se combinan las operaciones. Por ejemplo:
Comando
Definición
fcpst.exe ‑t3 Analiza los archivos PST en las unidades locales Y analiza el archivo OST
fcpst.exe ‑t7 Se analizan todos los elementos: todos los archivos PST que se encuentran en las
unidades locales, los archivos PST asignados y el archivo OST
202
Guía del producto
Índice
A
C
acciones/matriz de reglas (gráfico) 142
acerca de esta guía 7
administrador de incidentes 172
Administrador de incidentes de DLP 172
eventos y alertas del sistema 173
responder a eventos 171
administradores de DLP, definición 190
administradores, definición 190
Adobe LiveCycle Rights Management, véase gestión de
derechos
agente de DLP, véase DLP Endpoint
agregación de mensajes emergentes 142
almacenamiento extraíble
reglas de protección 158
ampliación (descripción de tarea) 43
ampliación por fases 44
ampliación, elementos no admitidos 41
ampliación, por fases 44
Analizador de eventos de ePO 14
analizador de eventos, al ampliar 41
carpeta de la lista blanca, configuración en Windows Server
2003 30
carpeta de la lista blanca, configuración en Windows Server
2008 29
carpeta de lista blanca 28
carpeta de pruebas 28
carpeta de pruebas, configuración en Windows Server 2003 30
carpeta de pruebas, configuración en Windows Server 2008 29
catálogo de categorías 109
categorías de contenido 101, 107, 109
clase de dispositivos
crear nuevos 118
eliminar 164
tipos 116
anuncios de SMS 200
aplicaciones, en reglas 93
archivador, estrategia de aplicaciones 93
archivo all_evidences.csv 182
archivo, acceso
reglas, acerca de 124
reglas, dispositivos de almacenamiento extraíbles 131
archivos asignados a la memoria, análisis 93
asignaciones de equipos, al ampliar 41
asistentes
Generador de tareas cliente 104
Sincronización de plantillas 164
asistentes, Data Loss Prevention
Sincronización de plantillas 164
B
base de datos
eliminar eventos 182
estadísticas, ver 182
Clasificación de mensajes de Titus, integración 68
clústeres
comprobación de la instalación 28
preparación del entorno 27
uso de software DLP en un entorno de clúster 27
Compatibilidad con Citrix 14
Compatibilidad con RDP 14
Compatibilidad con VDI 14
compatibilidad con versiones anteriores 20, 36, 41
compatibilidad con versiones anteriores, errores 51
Compatibilidad con VMware 14
componentes, Data Loss Prevention (diagrama) 21
componentes, descripción 14
comportamiento de evento agregado 93
configuración de endpoint
acerca de 57
modo seguro 58
configuración de los agentes
asignar con ePolicy Orchestrator 52
global 58
configuración del servidor 26
configuración del sistema 57
configuración global de los agentes 58
configuración, servidor 26
conjuntos de permisos, definición 191
consola de directivas
consola, ilustración 10
consola de directivas de DLP, instalación 35
consultas de datos acumulados 178
Guía del producto
203
Índice
consultas, al ampliar 41
control de acceso según funciones 185, 188, 191
convenciones tipográficas e iconos utilizados en esta guía 7
correo electrónico
envío de eventos de DLP 176
cuarentena 196
liberar de 182
restaurar archivos o elementos de correo electrónico 78
D
datos
clasificación 61
datos en tránsito 85, 90
datos en uso 99
datos de DLP, clasificación 63
datos en reposo 71
de confianza, estrategia de aplicaciones 93
definiciones
aplicación 93
destino de correo electrónico 85
destino web 90
diccionarios 61
dispositivo, véase definiciones de dispositivos
documentos registrados 84
eliminar 164
extensión de archivo 63, 82, 99
impresora 87
lista blanca 69
lista de servidores de archivos 79
marcas 107
patrón de texto 63
propiedades de documento 63
propiedades de documentos 82
red 80
repositorio de documentos registrados 82
tabla 146
definiciones de aplicaciones
acerca de 93
aplicaciones web 97
crear 96
crear desde la lista de aplicaciones empresariales 97
eliminar 164
estrategia 92
plantillas 164
usar 93
definiciones de dispositivos
almacenamiento extraíble 122
gestión de parámetros 120
grupos 124
importación 123
importar a existente 123
Plug and Play 121
definiciones de red
(tabla) 146
204
definiciones de red
acerca de 80
eliminar 164
grupo de intervalos de direcciones 81
intervalo de direcciones 80
intervalo de puertos 82
regla de protección 155
desafío/respuesta 78
descubrimiento
acerca de 71
configurar 76
crear regla de descubrimiento de almacenamiento de
correo electrónico 75
crear una regla de descubrimiento de sistema de archivos
73
planificar 77
descubrimiento de almacenamiento de correo electrónico 202
desinstalación del agente 196
desinstalación desde línea de comando 201
despliegue manual 198
destinos de correo electrónico
acerca de 85
crear 85
definiciones (tabla) 146
eliminar 164
grupos 86
destinos web
acerca de 90
crear 90
eliminar 164
grupos 91
diccionarios
acerca de 61
crear 62
importar entradas 62
directiva de DLP
consola, ilustración 10
directiva, restauración tras ampliación 45
directivas
actualización 53
aplicar 51
asignación de usuarios 166
asignar 50, 52
definición 12
editar una descripción 53
omisión 196
directivas, inicialización 36
dispositivos
de lista blanca 119
gestión 116
listas, agregar definiciones de dispositivos Plug and Play
122
parámetros, lista 134
Plug and Play 119
Guía del producto
Índice
dispositivos de almacenamiento extraíbles 119
dispositivos Plug and Play de la lista blanca 119
DLP Discover 71
DLP Endpoint
definición 14
desinstalación con SMS 200
despliegue 48
incorporación en ePolicy Orchestrator 39
llamada de activación 53
verificación del despliegue 50
documentación
convenciones tipográficas e iconos 7
destinatarios de esta guía 7
específica de producto, buscar 8
documento, definiciones de propiedades 63
E
editor, estrategia de aplicaciones 93
ePolicy Orchestrator
directiva del sistema, asignar 51
grupos de asignación de equipos 168
sincronización de plantillas de directiva, asistente 50
escritor de PDF, reglas de protección contra impresión 156
escritura de imágenes, en reglas de protección contra impresión
157
estrategia, véase definiciones de aplicaciones
estrategia de aplicaciones 93
estrategia, para aplicaciones 93
etiquetas, marcado de eventos con 176
eventos
eliminar 182
marcar con etiquetas 176
supervisión 171
visualización 173
Eventos de DLP
ver las estadísticas de la base de datos 182
explorador, estrategia de aplicaciones 93
extensiones de archivos
acerca de 99
creación de grupos 100
crear 100
definiciones 63
eliminar 164
F
FileSecure 140
filtro de eventos 174
filtro de incidentes 174
filtros
definiciones de red 80
funcionamiento con conexión/sin conexión 14
funciones y permisos 28
G
generación de informes 178
generador de claves 196
gestión de derechos 138, 140
configuración del servidor 139
configurar el servidor 139
funcionamiento con Data Loss Prevention 137
sincronización de directivas 139
sincronizar plantillas 139
usuarios 138
grupos
definiciones de dispositivos 124
intervalo de direcciones de red 81
patrones de texto 64, 67
grupos de asignación
crear 166
definición 12
equipo 168
usuarios con permisos 167
usuarios, inclusión y exclusión 166
grupos de asignación de equipos 168
grupos de asignación de usuarios
crear 166
grupos de documentos
registrados, crear 84
GUID, véase GUID del dispositivo
GUID del dispositivo 117
H
herramientas del sistema 195
I
impresoras
acerca de 87
de lista blanca 87, 89, 90
incompatibles 87
no gestionadas 87, 89
impresoras no gestionadas, véase impresoras de la lista blanca
informes de datos acumulados 178
informes de ePO 178
inyección de directivas 198
J
justificación, véase justificación empresarial
justificación empresarial 150, 161
L
licencia, Device Control y DLP 38
lista blanca
agregar contenido 69
definición (tabla) 146
eliminación de contenido 70
impresora 87
Guía del producto
205
Índice
lista de aplicaciones empresariales
acerca de 93
eliminar aplicaciones 99
importación 98
importación mediante análisis 99
lista de impresoras
agregar impresoras 88
crear 88
lista de servidores de archivos
acerca de 79
agregar un servidor 80
crear 79
listas blancas 12
acerca de 69
definiciones de aplicaciones 133
definiciones Plug and Play, crear 122
impresoras 90
impresoras no gestionadas 89
llamada de activación 53
Lotus Notes, regla de protección de correo electrónico 150
M
marcas
acerca de 107
contenido, véase categorías de contenido
crear 108
eliminar 164
grupos de marcas 110
manuales 113, 114
vincular marcas a contenido 110
marcas manuales 113
McAfee Endpoint Encryption for Files and Folders 119
McAfee Endpoint Encryption for Removable Media 119
McAfee ServicePortal, acceso 8
modo de omisión, véase directivas, omisión
modo seguro 58
N
notificaciones de ePO 178
notificaciones, ePolicy Orchestrator 178
números de revisión 50
números de revisión de directivas 50
O
omisión
clave, solicitud 197
omisión de agente 196
omisión de correo electrónico 150
omisión de la directiva 197
OpenLDAP 166
206
P
paneles, opciones de informes 179
paquete de desinstalación de SMS, creación 200
paquete de desinstalación de SMS, línea de comando 201
paquete de instalación de SMS, creación 199
parámetros, dispositivo 134
patrones de texto
acerca de 63
crear 64
eliminar 164
grupos 67
para la integración de clasificación de mensajes de Titus 68
prueba 66
permisos del usuario 185
plantillas 164
plantillas, Data Loss Prevention 164
Plug and Play, dispositivos
de lista blanca 119
definición de la lista blanca, crear 122
definiciones de dispositivos 121
protección del Portapapeles
reglas, crear 148
prueba
Administrador de incidentes de DLP 173
almacenamiento para contenido cifrado 182
eventos de endpoint 171
R
recuento de referencias 184
redacción 185, 189
acerca de 185
ver texto redactado 173
registro del sistema, ver 195
regla de protección de impresora 157
regla de protección del sistema de archivos 153
regla predeterminada, definición 47
reglas
Citrix 124
clasificación 101
eliminar 164
marcado 11, 110
reglas de clasificación 10, 101
reglas de descubrimiento 11
reglas de dispositivos
acerca de 124
Citrix 133
definición 12
disco fijo 132
Plug and Play 129
Reglas de dispositivos Citrix 124
Reglas de dispositivos TrueCrypt 124, 130
Guía del producto
Índice
reglas de DLP
acceso a archivos de dispositivos de almacenamiento
extraíbles 131
clasificación 10
dispositivo 12, 129, 130
marcado 11
protección 12
reglas de marcado
basadas en aplicaciones 111
basadas en el contenido 102
basadas en la ubicación 112
crear 111
definición 11
diccionario 103
vínculos al contenido 110
reglas de protección
acceso a archivos de la aplicación 147
captura de pantalla 160
comunicaciones de la red 155
definición 12
funcionamiento 142, 146
impresora 157
Portapapeles 142, 148
publicación web 161
sistema de archivos 153
reglas de protección contra capturas de pantalla 160
reglas de protección de correo electrónico 150
reglas de protección de la publicación web 161
Reglas de protección del Portapapeles 142
reglas de protección, Data Loss Prevention
funcionamiento 142
repositorios de DLP, documento registrado 82
repositorios de documentos registrados 82, 83, 104
repositorios de documentos registrados, uso 83
repositorios, documento registrado 83
requisitos de hardware 24
requisitos de software del servidor 24
requisitos del sistema 24
resaltado de referencias, eventos 182
S
Seclore FileSecure 140
ServicePortal, buscar documentación del producto 8
servicio de protección de vigilancia, acerca de 57
sesiones de usuarios 124
sistemas operativos compatibles 24
software Data Loss Prevention, descripción 19
Soporte técnico, buscar información del producto 8
supervisión 14, 172
T
tarea de definición de revisor 176
tarea de notificación por correo electrónico 176
tarea de purga 176
tarea servidor de ejecutor de tareas de DLP 176
tareas de incidentes 172, 176, 177
títulos de ventanas en reglas de protección contra capturas de
pantalla 160
TrueCrypt 141
U
usuarios
exclusión de un grupo de asignación de usuarios 166
grupos de asignación 166
locales 166
usuarios con permisos, grupos de asignación 167
usuarios locales 166
V
validadores 63, 66
verificación de la instalación 50
vigilancia del servicio del agente de DLP 57
Guía del producto
207
TP000036-A02

McAfee Data Loss Prevention Endpoint 9.3.0 Guía del

Transcripción

Documentos relacionados

Crear un nuevo curso

caso completo

Vista Previa