Sophos Anti-Virus para VMware vShield: Sophos Central Edition

Transcripción

Sophos Anti-Virus para
VMware vShield: Sophos
Central Edition
Guía de inicio
Versión: 2.1
Edición: agosto de 2016
Contenido
1 Acerca de esta guía...........................................................................................................3
2 Acerca de Sophos Anti-Virus.............................................................................................4
3 Pasos clave para la instalación..........................................................................................6
4 Comprobar los requisitos del sistema................................................................................7
4.1 Requisitos de VMware..........................................................................................7
4.2 Requisitos de Sophos.........................................................................................10
5 Desinstalar otros productos antivirus...............................................................................12
6 Instalar equipos virtuales de seguridad de Sophos.........................................................13
6.1 Comprobar que dispone de las contraseñas necesarias...................................13
6.2 Descargar el programa de instalación................................................................13
6.3 Instalar los equipos virtuales de seguridad........................................................14
6.4 Comprobar que los equipos virtuales de seguridad están instalados................16
7 Instalar VMware Guest Introspection Agent.....................................................................18
7.1 Comprobar si el agente se encuentra instalado.................................................18
7.2 Preparar la instalación del agente......................................................................18
7.3 Instalar el agente................................................................................................19
8 Instalar el agente de equipo virtual de Sophos................................................................21
9 Comprobar que los equipos virtuales de seguridad funcionan........................................22
9.1 Comprobar el estado en vSphere Client............................................................22
9.2 Comprobar que el escaneado en tiempo real se encuentra activo....................23
9.3 Resolución de problemas de escaneado en tiempo real....................................24
10 Mantener los equipos virtuales de seguridad.................................................................25
11 Ver los equipos virtuales protegidos...............................................................................26
12 Escaneado de equipos virtuales....................................................................................27
13 Qué ocurre cuando se detecta una amenaza................................................................28
14 Limpiar una amenaza.....................................................................................................29
14.1 Limpieza automática.........................................................................................29
14.2 Limpieza manual..............................................................................................30
15 Desinstalar equipos virtuales de seguridad...................................................................31
16 Apéndice: cuenta de administrador de vCenter.............................................................32
17 Apéndice: Configuración de la CPU...............................................................................33
18 Apéndice: Cambiar datos para el servidor proxy............................................................34
19 Soporte técnico..............................................................................................................35
20 Aviso legal......................................................................................................................36
2
Guía de inicio
1 Acerca de esta guía
Esta guía va dirigida a administradores que desean:
■
Usar Sophos Anti-Virus para proteger una red de equipos virtuales contra virus y otras
amenazas.
■
Usar Sophos Central para administrar Sophos Anti-Virus.
En ella se describe cómo instalar Sophos Anti-Virus para VMware vShield en servidores ESXi
de VMware para proporcionar escaneado antivirus centralizado a equipos virtuales.
Sophos Anti-Virus se puede usar en las versiones de VMware 5.1, 5.5 y 6.0, pero estas
instrucciones están basadas en las versiones 5.1 y 5.5.
A continuación puede ver algunos enlaces a otros documentos útiles.
¿Necesita ayuda para configurar el entorno de VMware y vShield?
Consulte la guía de Sophos VMware y vShield: descripción general de la configuración. Esto
es solo para productos VMware 5.5.
Consulte también estos artículos de VMware:
■
Prácticas recomendadas para la instalación de vCloud Networking and Security 5.5.x (en
inglés)
■
Sistemas operativos invitados compatibles con el agente ligero de vShield Endpoint (en
inglés)
Nota: al vShield Endpoint Thin Agent se le denomina VMware Guest Introspection Agent
en las últimas versiones.
¿Necesita información sobre métodos alternativos para proteger equipos virtuales?
Para más información, consulte www.sophos.com/es-es/support/knowledgebase/110507.aspx.
3
2 Acerca de Sophos Anti-Virus
Sophos Anti-Virus para VMware vShield es un equipo virtual de seguridad que protege sus
equipos virtuales. El funcionamiento es el siguiente:
■
Coloca un equipo virtual de seguridad de Sophos en cada servidor VMware ESXi. Esto
permite detectar y bloquear amenazas en los equipos virtuales que se ejecutan en el
servidor.
■
Coloca un agente de equipo virtual de Sophos en cada equipo virtual. Esto permite
intentar la limpieza automática de las amenazas detectadas en el equipo virtual. Este
agente es opcional, pero se necesita para la limpieza automática.
■
Sophos Central Admin (la consola de administración central de Sophos) sirve para
gestionar los equipos virtuales de seguridad.
¿Qué equipos virtuales se pueden proteger?
El equipo virtual de seguridad de Sophos puede proteger equipos virtuales con sistemas
operativos Windows. Para obtener más información, consulte Equipos virtuales en la página
8.
4
Guía de inicio
Funcionamiento del escaneado
Cuando se intenta acceder a un archivo desde un equipo virtual:
■
VMware Guest Introspection Agent en el equipo virtual notifica al equipo virtual de seguridad
de Sophos.
■
El equipo virtual de seguridad escanea el archivo.
■
Si el equipo virtual de seguridad detecta alguna amenaza, se bloquea el acceso al archivo
y se envía una alerta a Sophos Central.
El equipo virtual de seguridad también puede realizar un escaneado remoto completo de los
equipos virtuales. Puede ejecutar este escaneado inmediatamente o programarlo.
¿Cómo se administra el equipo virtual de seguridad?
La administración y monitorización del equipo virtual de seguridad se realiza desde Sophos
Central.
Sophos Central permite configurar el escaneado mediante políticas.
Qué hacer ante una amenaza
El equipo virtual de seguridad puede eliminar muchas amenazas automáticamente, siempre
y cuando tenga instalado el agente de equipo virtual de Sophos en sus equipos virtuales.
También es posible limpiar las amenazas de forma manual.
Cómo se actualiza el equipo virtual de seguridad
El equipo virtual de seguridad recibe actualizaciones de forma automática desde Sophos.
5
3 Pasos clave para la instalación
Los pasos de instalación que se describen en las siguientes secciones son:
6
■
Comprobar los requisitos del sistema.
■
Desinstalar otros productos antivirus.
■
Instalar equipos virtuales de seguridad de Sophos.
■
Instalar VMware Guest Introspection Agent en los equipos virtuales (si no se ha instalado
ya).
■
Instalar el agente de equipo virtual de Sophos en los equipos virtuales.
■
Comprobar que los equipos virtuales de seguridad funcionan.
Guía de inicio
4 Comprobar los requisitos del sistema
En esta sección se describen los requisitos necesarios y cómo comprobarlos.
También se indica la información que necesitará a la hora de instalar los equipos virtuales
de seguridad.
Se incluyen:
■
Los requisitos de VMware.
■
Los requisitos de los equipos virtuales.
■
Los requisitos de Sophos (otras cuentas o software de Sophos que necesita antes de
instalar los equipos virtuales de seguridad de Sophos).
4.1 Requisitos de VMware
En esta sección se indica el software necesario de VMware.
Para obtener ayuda con la configuración del software de VMware, consulte la guía de Sophos
VMware y vShield: descripción general de la configuración.También puede leer estos artículos
de la base de conocimiento de VMware:
■
Prácticas recomendadas para la instalación de vCloud Networking and Security 5.5.x (en
inglés)
■
Sistemas operativos invitados compatibles con el agente ligero de vShield Endpoint (en
inglés)
Nota: debe desactivar el programador de recursos distribuidos (DRS) y la alta disponibilidad
(HA) durante la instalación de los equipos virtuales de seguridad de Sophos.
4.1.1 Servidor ESXi
Instale los siguientes componentes en todos los servidores en los que vaya a ejecutar equipos
virtuales de seguridad de Sophos:
■
Servidor ESXi de VMware 5.1, 5.5 o 6.0.
Nota: si usa un host ESXi 6.0, también debe usar vCenter 6.0 y vShield Manager 5.5.4.1.
Nota: se recomienda que configure el host de modo que reciba actualizaciones de VMware.
Requisitos de hardware
El servidor ESXi debe ser capaz de asignar los recursos siguientes para el equipo virtual de
seguridad de Sophos:
■
2 procesadores.
■
20 Gb de espacio en disco.
■
2 Gb de RAM.
Notas
7
No se debe imponer ningún límite de recursos de los procesadores en el equipo virtual de
seguridad de Sophos.
Se asignan 2 procesadores de forma predeterminada. Si necesita proteger gran cantidad de
equipos virtuales, puede configurar más procesadores después de instalar el equipo virtual
de seguridad. En esta guía se explica cómo hacerlo.
El equipo virtual de seguridad de Sophos reserva memoria. Los sistemas de alta disponibilidad
y equilibrio de cargas eligen de forma automática según las reservas de recursos para los
equipos virtuales del entorno de VMware y podrían hacer elecciones diferentes una vez
instalado el equipo virtual de seguridad. No elimine la reserva de memoria del equipo virtual
de seguridad.
4.1.2 vCenter y vSphere
Es necesario el software de vCenter y vSphere siguiente.
Software
Versión
Notas
vCenter
Versión 5.1, 5.5 o 6.0
También necesitará:
Se requiere la versión 6.0
para administrar un host
ESXi 6.0, pero también
permite administrar
versiones anteriores de
ESXi.
La dirección de red.
vSphere Client
Una cuenta de administrador. Los permisos
necesarios se describen en Apéndice: cuenta
de administrador de vCenter en la página 32.
Una cuenta de solo lectura. Puede utilizar una
cuenta local o de dominio. En el nombre en
cuentas locales se distingue entre mayúsculas
y minúsculas.
Versión 5.1, 5.5 o 6.0.
4.1.3 Equipos virtuales
El equipo virtual de seguridad de Sophos puede proteger equipos virtuales que cumplan
estos requisitos.
Hardware virtual
El hardware virtual de VMware debe ser versión 7 o posterior.
Consejo: el hardware virtual que incluye de forma predeterminada ESXi versión 4.x o posterior
cumple este requisito.
Nota: para obtener información sobre cómo actualizar el hardware virtual, consulte el artículo
1010675 de la base de conocimiento de VMware.
Sistema operativo
Los equipos virtuales invitados deben utilizar uno de los sistemas operativos indicados aquí.
8
Guía de inicio
Sistema operativo
Service
Packs
Comentarios
Windows 8.1 (64 bits)
---
Solo con vSphere 5.5. Sistema de archivos ReFS
incompatible.
Windows 8 (64 bits)
---
incompatible.
Windows 7 (32 y 64 bits)
---
Windows Vista (32 bits)
SP2
Windows XP (32 bits)
SP3 +
No se admite la limpieza automática de amenazas.
Windows Server 2012 R2 (64 bits)
---
incompatible.
Windows Server 2012 (64 bits)
---
incompatible.
Windows Server 2008 R2 (64 bits)
---
Windows Server 2008 (64 bits)
---
Windows Server 2003 R2 (32 y 64 bits) SP2
Windows Server 2003 (32 y 64 bits)
SP2
Algunas plataformas, por ejemplo Vista 32 bit o Server 2003 32 y 64 bit, requieren los service
packs más recientes para poder instalar los controladores de vShield (también llamado
VMware Guest Introspection Agent).
Nota: anteriormente, Guest Introspection Agent se llamaba vShield Endpoint Thin Agent.
4.1.4 vShield
Es necesario el software de vShield siguiente.
Software
Versión
Notas
vShield Manager
Versión 5.1 o 5.5.
También necesitará:
Si usa un host ESXi 6.0, debe tener vShield La dirección de red.
Manager 5.5.4.1.
Una cuenta de vShield
Para ver si está instalado:
Administrator o Enterprise
Administrator.
1. Reinicie vSphere Client.
2. En vSphere Client, seleccione el servidor
ESXi correspondiente.
9
Software
Versión
Notas
3. Compruebe que existe la ficha vShield.
vShield Endpoint
Versión 5.1 o 5.5.
Debe instalarse en cada servidor ESXi en el
que vaya a instalar el equipo virtual de
seguridad de Sophos.
Para ver si está instalado:
2. En la ficha vShield, en la página General,
la fila vShield Endpoint debe mostrar la
versión 5.1.0 o posterior en la columna
Installed. De lo contrario, haga clic en
Install.
VMware Guest
Introspection Agent
(también llamado
"controlador vShield")
Debe instalarse en cada equipo virtual que
desee proteger.
Compatible con Windows.
Es parte de VMware Tools y
Nota: puede instalar el agente después de
se puede actualizar de forma
instalar el equipo virtual de seguridad de
automática.
Sophos. En esta guía se explica cómo hacerlo.
Para comprobar si está instalado:
2. Asegúrese de que el equipo virtual se
encuentra encendido.
3. En la ficha vShield, en la página
Endpoint, vea la lista de equipos virtuales
(aparecen como "vm").
4. Compruebe que en Description aparece
que el agente está activado.
4.1.5 vMotion
Los equipos virtuales de seguridad de Sophos se excluyen de forma automática de vMotion
para garantizar que permanecen en los servidores ESXi y proteger equipos virtuales invitados.
No es necesario modificar la configuración.
Nota: si vMotion migra equipos virtuales a un servidor distinto durante la limpieza de
amenazas, la limpieza y los informes de limpieza que ve el administrador pueden verse
afectados. Para más información, consulte la sección "Limpieza automática" de esta guía.
4.2 Requisitos de Sophos
Antes de poder proteger y administrar sus equipos virtuales, necesita:
■
10
Una cuenta de Sophos Central.
Guía de inicio
Aviso: asegúrese de que el agente de Sophos Endpoint Protection, también conocido como
Sophos Endpoint Security and Control, no esté instalado en los equipos virtuales invitados
que desea proteger con el equipo virtual de seguridad de Sophos. De esta forma evitará
conflictos entre los dos sistemas de protección en el mismo equipo virtual.
Desactivar el escaneado en acceso de Sophos Endpoint Security and Control no es suficiente
para evitar conflictos.
11
5 Desinstalar otros productos antivirus
Debe desinstalar los productos antivirus que ya estén instalados en sus equipos virtuales.
Sophos Anti-Virus para VMware vShield no se puede utilizar para proteger equipos virtuales
que utilicen otros productos antivirus, ya que los archivos podrían escanearse varias veces
(debido al diseño de VMware vShield).
Esta limitación se aplica a los equipos virtuales que ejecutan productos de otros proveedores
u otros productos antivirus de Sophos. la puerta de enlace de Sophos ni productos de
servidores que incluyan o exijan componentes antivirus. No es posible proteger equipos
virtuales que utilicen:
12
■
Sophos Endpoint Security and Control (incluye Sophos-Virus).
■
PureMessage para Microsoft Exchange.
■
PureMessage para Lotus Domino.
■
Sophos para Sharepoint.
■
Sophos Anti-Virus para NetApp.
■
Cualquier programa de terceros con SAV Interface integrado.
Guía de inicio
6 Instalar equipos virtuales de seguridad
de Sophos
Instale equipos virtuales de seguridad de Sophos en los servidores ESXi en los que desee
proteger equipos virtuales.
Antes de empezar, asegúrese de que el host cumpla los requisitos del sistema. También se
recomienda que configure el host de modo que reciba actualizaciones de VMware.
Los pasos necesarios para la instalación, que se describen en las secciones siguientes, son:
■
Comprobar que dispone de las contraseñas necesarias.
■
Descargar el programa de instalación.
■
Instalar equipos virtuales de seguridad.
6.1 Comprobar que dispone de las contraseñas necesarias
Al ejecutar el programa de instalación del equipo virtual de seguridad, es necesario introducir
ciertas contraseñas. Asegúrese de que dispone de las contraseñas para las siguientes
cuentas:
■
La cuenta de administrador de vCenter.
■
La cuenta de solo lectura de vCenter, utilizada para obtener información.
■
La cuenta de administrador de vShield.
■
La cuenta de Sophos Central.
Nota: la cuenta de usuario de vCenter se almacena en los equipos virtuales de seguridad.
Por lo tanto, recomendamos que sea de solo lectura.
6.2 Descargar el programa de instalación
Descargue el programa de instalación desde Sophos Central (si todavía no lo ha hecho).
Se asume que dispone de una cuenta de Sophos Central.
Notas:
■
Puede descargar el programa de instalación desde cualquier ordenador y después copiarlo
al ordenador donde desea utilizarlo.
■
No es posible utilizar el programa de instalación en equipos con Windows XP o Windows
Server 2003.
Para descargar el programa de instalación:
1. Iniciar sesión en Sophos Central Admin.
2. Vaya a la página Proteger dispositivos.
13
3. En Protección de entorno virtual, haga clic en Descargar programa de instalación
de equipo virtual host de seguridad de Sophos para descargar el programa de
instalación.
Nota: también verá un enlace para el programa de instalación del equipo virtual de
Sophos. Puede descargarlo ahora, pero no lo necesitará hasta más tarde.
Asegúrese de que el equipo Windows desde el que va a realizar la instalación dispone de
acceso en red a vCenter y vShield Manager. No se puede utilizar un proxy.
Nota: este equipo no se utiliza para la administración ni protección del equipo virtual de
seguridad ni de los otros equipos virtuales.
6.3 Instalar los equipos virtuales de seguridad
Para instalar equipos virtuales de seguridad, siga estos pasos.
Nota: debe desactivar el programador de recursos distribuidos (DRS) y la alta disponibilidad
(HA) durante la instalación de los equipos virtuales de seguridad de Sophos.
Nota: no es posible utilizar el programa de instalación en equipos con Windows XP o Windows
Server 2003.
Consejo: instale primero un solo equipo virtual de seguridad de prueba, antes de instalar
los demás con posterioridad. Para facilitar el proceso, hemos incluido una opción que permite
volver a ejecutar el programa de instalación con la configuración anterior, como se describe
al final de esta sección.
1. Asegúrese de que el equipo Windows desde el que realizó la instalación dispone de acceso
en red a vCenter y vShield Manager.
Nota: este equipo no se utiliza para la administración ni protección del equipo virtual de
seguridad ni de los otros equipos virtuales.
2. Haga doble clic en el programa de instalación.
Siga los pasos del asistente.
3.
4.
5.
6.
7.
Acepte el acuerdo de licencia.
Haga clic en Install para extraer los archivos de instalación a una carpeta en el equipo.
Seleccione Install new security VMs.
Compruebe que ha instalado todos los requisitos previos para la instalación.
Introduzca los datos de vCenter.
Los nombres de usuario del administrador deben introducirse con el mismo formato
utilizado al iniciar sesión en vCenter con vSphere Client, es decir, con o sin el prefijo del
dominio y con las mismas mayúsculas y minúsculas.
a) Introduzca la dirección de vCenter.
b) Introduzca el nombre de usuario y la contraseña del administrador de vCenter.
c) Introduzca el nombre de usuario y la contraseña de solo lectura de vCenter. Estos
datos se utilizan para realizar consultas en vCenter. Puede utilizar una cuenta de
dominio o local (de vCenter).
8. Introduzca las credenciales del administrador y la dirección de vShield Manager.
El nombre del administrador debe especificarse tal y como se utiliza para iniciar sesión
en la interfaz web de vShield Manager, es decir, con o sin el prefijo del dominio y con las
mismas mayúsculas y minúsculas.
14
Guía de inicio
9. El asistente muestra los servidores. Seleccione el servidor o los servidores en los que
desea instalar el equipo virtual de seguridad.
Nota: Como verá a continuación, el programa de instalación se basa en el nombre del
servidor o la dirección IP para nombrar los equipos virtuales de seguridad.
10. En Select the management console, seleccione Use Sophos Central.
11. Introduzca sus Sophos Central authentication and connection details:
a) Introduzca la dirección de correo electrónico y la contraseña que utilizó cuando se
registró en Sophos Central.
b) Introduzca los datos del servidor proxy que usó para conectarse a Sophos Central (si
procede).
Consejo: si desea cambiar los datos de su servidor proxy más tarde, puede hacerlo.
Consulte el Apéndice: Cambiar datos para el servidor proxy en la página 34.
12. Cree una contraseña de soporte.
Esta contraseña es necesaria para ver los equipos virtuales protegidos o si necesita que
el soporte técnico de Sophos solucione algún problema en la instalación de forma remota.
El equipo de soporte técnico la utiliza para obtener registros, que puede revisar y enviar
a Sophos si es necesario.
La contraseña puede incluir espacios y caracteres especiales.
13. Seleccione la zona horaria que el equipo virtual de seguridad utilizará para programar
escaneados.
14. Configure las opciones de IP de los equipos virtuales de seguridad.
De forma predeterminada, el DHCP asigna las direcciones IP de forma dinámica. Si la
política de red obliga a utilizar direcciones estáticas, seleccione la opción correspondiente
e introduzca los datos.
15. Seleccione el tipo de almacén de datos en el que desea instalar el equipo virtual de
seguridad.
Al seleccionar Select from list of visible datastores for each host, aparecerá una lista.
El equipo virtual de seguridad protegerá todos los equipos virtuales alojados en el servidor
ESXi que tengan instalado VMware Guest Introspection Agent, incluso si las plantillas
están almacenadas en almacenes de datos diferentes.
16. Seleccione una red de equipos virtuales para que el equipo virtual de seguridad pueda
comunicarse con Sophos Central. La opción predeterminada es VM network.
17. En la página Summary of installation, aparecen todos los datos de la instalación, incluidos
los nombres de los equipos virtuales de seguridad. Haga clic en Install.
18. En la página Installation complete puede ver si se ha producido algún error durante la
instalación de los equipos virtuales de seguridad. Revise el registro para obtener más
información.
Sugerencia: Si desea instalar más equipos virtuales de seguridad, deje el programa de
instalación abierto y haga clic en Start Over cuando esté listo para volver a empezar. El
programa de instalación utilizará la configuración anterior de forma predeterminada.
Los equipos virtuales de seguridad están instalados.
A continuación, compruebe que puede ver los equipos virtuales de seguridad en vSphere
Client y Sophos Central Admin.
15
6.4 Comprobar que los equipos virtuales de seguridad
están instalados
En esta sección se explica cómo comprobar que los equipos virtuales de seguridad están
instalados y disponen de los recursos necesarios.
Compruebe que puede ver los equipos virtuales de seguridad
Cuando se han instalado los equipos virtuales de seguridad, debería ver lo siguiente:
En vSphere Client
Transcurridos veinte minutos, los equipos virtuales de seguridad deberían aparecer en la
lista de estaciones de la ficha vShield de cada servidor.
Nota: si el VMware Guest Introspection Agent aún no está instalado en ningún equipo virtual,
no podrá verlos.
En Sophos Central Admin
Puede ver los equipos virtuales de seguridad en la página Servidores en Sophos Central
Admin. Busque "Equipos virtuales de seguridad de Sophos" en la columna "Nombre/SO".
Para ver solo los equipos virtuales de seguridad, seleccione Servidores virtuales en el filtro
de la lista.
Los nombres de los equipos virtuales de seguridad se basan en el nombre del servidor o (en
su defecto) en la dirección IP, lo que ayuda a identificar los servidores de cada equipo virtual
de seguridad (si utiliza varios). Aquí tiene algunos ejemplos.
Nombre o dirección del servidor
Nombre del equipo virtual de seguridad de
Sophos
MyESXhost
MyESXhost-SSVM
192.0.2.0
192-0-2-0-SSVM
Si cambia el nombre de un equipo virtual de seguridad más adelante, seguirá apareciendo
con el mismo nombre asignado durante la instalación.
Compruebe si necesita configurar recursos
Normalmente, no es necesario configurar recursos para el equipo virtual de seguridad. Tenga
en cuenta que:
16
■
El programa de instalación reserva memoria para los equipos virtuales de seguridad
de Sophos. Los sistemas de alta disponibilidad y equilibrio de cargas eligen de forma
automática según las reservas de recursos para los equipos virtuales del entorno de
VMware y podrían hacer elecciones diferentes una vez instalados los equipos virtuales
de seguridad. No elimine la reserva de memoria del equipo virtual de seguridad.
■
Si tiene una gran cantidad de equipos virtuales alojados en un solo servidor, asegúrese
de que el equipo virtual de seguridad dispone de capacidad de procesamiento suficiente
para el escaneado. Consulte el Apéndice: Configuración de la CPU en la página 33.
Guía de inicio
■
Los equipos virtuales de seguridad de Sophos se excluyen de forma automática de
vMotion para garantizar que permanecen en los servidores ESXi y proteger equipos
virtuales invitados.
17
7 Instalar VMware Guest Introspection
Agent
Debe disponer de VMware Guest Introspection Agent en los equipos virtuales que desee
proteger.
Nota: anteriormente Guest Introspection Agent se llamaba vShield Endpoint Thin Agent,
también conocido como "controlador vShield".
En esta sección se describe cómo:
■
Comprobar si el agente se encuentra instalado.
■
Preparar la instalación del agente.
■
Instalar el agente.
7.1 Comprobar si el agente se encuentra instalado
Para comprobar si VMware Guest Introspection Agent se encuentra instalado:
1. En vSphere Client, seleccione el servidor ESXi en el que haya instalado un equipo virtual
de seguridad..
2. Asegúrese de que el equipo virtual se encuentra encendido.
3. En la ficha vShield, en la página Endpoint, vea la lista de equipos virtuales (aparecen
como "vm").
4. Compruebe si en Description aparece "Thin Agent enabled".
Si el agente no se encuentra instalado, vea a continuación.
7.2 Preparar la instalación del agente
Antes de instalar el agente, debe realizar algunos preparativos. Los pasos dependen de si
ya dispone de software antivirus en los equipos virtuales.
Si ya dispone de software antivirus en los equipos virtuales
Si ya dispone de software antivirus (de Sophos o de otro fabricante) en los equipos virtuales,
debería:
1. Asegurarse de que el equipo virtual se encuentra encendido.
2. Desinstalar el software antivirus.
3. Reinicie los equipos virtuales si se le indica que lo haga. De esta forma se completa la
desinstalación.
Ahora ya puede instalar el agente.
Si no dispone de software antivirus en los equipos virtuales
Si no dispone de software antivirus en los equipos virtuales, asegúrese de que no están
conectados a la red.
18
Guía de inicio
Ahora ya puede instalar el agente.
7.3 Instalar el agente
VMware Guest Introspection Agent es un componente de las herramientas VMware Tools.
El agente no está incluido en las instalaciones estándar de VMware Tools, por lo que
es necesario realizar uno de estos pasos:
■
Instalar VMware Tools con la opción Custom y seleccionar el agente (que también se
muestra como "VMCI driver").
■
Actualizar VMware Tools para añadir el componente Guest Introspection.
En las siguientes secciones se describe cómo hacerlo de forma manual (interactiva) o
automática (no interactiva).
Nota: esta guía asume que utiliza vSphere Client para instalar el agente. Si esta utilizando
vSphere 5.1, puede usar otro software de administración de VMware, según se describe en
Instalación y configuración de VMware Tools.
7.3.1 Instalar el agente de forma manual
Para instalar el agente de forma manual en un equipo virtual:
1. Encienda el equipo virtual.
2. Inicie la sesión en el equipo virtual con derechos de administrador.
3. Desde vSphere Client, monte el disco virtual VMware Tools. El comando depende de la
versión de vSphere Client.
Versión
Comando
vSphere Client
Seleccione Inventory > Virtual Machine > Guest >
Install/Upgrade VMware Tools.
Nota: para localizar un equipo virtual:
Seleccione el datacenter o cluster.
Abra la ficha Virtual Machines.
vSphere Web Client
Haga clic con el botón derecho en el equipo virtual y seleccione
All vCenter Actions > Guest OS > Install/Upgrade VMware
Tools.
Nota: para localizar un equipo virtual:
Seleccione el datacenter, la carapeta, el cluster, resource
pool, host o vApp.
Abra la ficha Related Objects y haga clic en Virtual
Machines.
19
4. Inicie la instalación. El comando depende de si está actualizando/reinstalando o instalando
VMware Tools.
Tipo de instalación
Comando
Actualización
En el cuadro de diálogo Install/Upgrade VMware Tools,
seleccione Interactive Tools Upgrade y haga clic en Aceptar.
Instalación
En la pantalla Install VMware Tools, haga clic en Aceptar.
5. Confirme que desea ejecutar el programa de instalación.
Si tiene activada la reproducción automática del CD-ROM, se iniciará el asistente de
instalación de VMware Tools.
Nota: de lo contrario, inicie el asisntente de forma manual. Seleccione Inicio > Ejecutar
y escriba D:\setup.exe, donde D: es la unidad virtual de CD-ROM.
6. El asistente de instalación le guiará en el proceso de instalación. Haga lo siguiente:
■
■
Seleccione Modify si se está actualizando. Seleccione Custom si está realizando la
instalación inicial.
En la página Custom setup, seleccione VMCI driver > vShield Drivers.
7. Si se inicia el asistente de Windows Nuevo hardware, complételo. Acepte las opciones
predeterminadas.
Este asistente puede aparecer si dispone de controladores que simulan el cambio de
hardware.
8. Cuando se le pida, reinicie el equipo virtual.
7.3.2 Instalar el agente de forma automática
Es posible automatizar la instalación del agente VMware Guest Introspection Agent.
Consulte las instrucciones de muestra disponibles en VMware vSphere Documentation Center.
Tras la instalación, reinicie el equipo virtual.
20
Guía de inicio
8 Instalar el agente de equipo virtual de
Sophos
El agente de equipo virtual de Sophos se ejecuta en cada equipo virtual y permite la eliminación
automática de amenazas. Su instalación es opcional.
Notas:
Este agente solo se puede instalar en equipos virtuales con Windows Vista y posterior.
Antes de instalar el agente, debe estar instalado VMware Guest Introspection Agent en los
equipos virtuales.
2. Vaya a la página Proteger dispositivos.
3. En Protección de entorno virtual, haga clic en Descargar programa de instalación
de equipo virtual invitado de Sophos para descargar el programa de instalación.
Se descargará el paquete de instalación sgvmagent_sfx.exe.
4. Copie el archivo descargado en el equipo virtual en el que desea instalar el agente.
5. Haga clic en el paquete para extraer los archivos e iniciar el programa de instalación. Siga
las instrucciones en pantalla. Alternativamente puede:
■
■
Usar la línea de comandos. Introduzca: msiexec /i <path to
SophosGvmAgentInstaller.msi>
Utilice la implementación de política de grupo. Para más información, consulte este
artículo de Microsoft: http://support.microsoft.com/kb/816102
Ahora el equipo virtual de seguridad intentará limpiar las amenazas automáticamente.
Recomendamos que haga una instántanea del equipo virtual antes de instalar el agente. Así
podrá revertir el equipo virtual con seguridad posteriormente caso de que sea necesario (por
ejemplo, para eliminar la amenaza manualmente).
21
9 Comprobar que los equipos virtuales de
seguridad funcionan
En esta sección se describe cómo comprobar que:
■
El equipo virtual de seguridad de Sophos funciona correctamente.
■
Los equipos virtuales disponen de escaneado en acceso.
Nota: los equipos virtuales aparecen como UNPROTECTED en la ficha vShield de la consola
de vSphere Client. Esto se refiere solamente a la protección mediante vShield App, no a la
protección de Sophos mediante vShield Endpoint. Siga las instrucciones en esta sección
para comprobar que los equipos virtuales están protegidos.
9.1 Comprobar el estado en vSphere Client
A continuación se describe cómo comprobar el estado de un equipo virtual de seguridad en
vSphere Client.
Importante:
Puede existir un retraso de hasta 20 minutos entre la activación del equipo virtual de seguridad
y el cambio en el estado de vSphere Client.
1. En vSphere Client, en la ficha vShield, en la página Endpoint, localice el equipo virtual
de seguridad en la lista de ordenadores.
En Description debería aparecer “vShield Endpoint Solution, Sophos Anti-Virus for VMware
vShield, enabled”, sin errores críticos en Endpoint Status.
2. Si en la descripción no aparece “enabled” y existe algún error crítico, realice la acción
correspondiente como se muestra en esta tabla:
Descripción
Acción
Existe algún problema de protocolo con el
módulo vShield Endpoint.
Asegúrese de que el protocolo del módulo
vShield Endpoint es compatible con el del equipo
virtual de seguridad.
vShield Endpoint no pudo conectar con el equipo Asegúrese de que el equipo virtual de seguridad
virtual de seguridad.
se encuentra encendido y con acceso a la red.
El equipo virtual de seguridad no ha comunicado Error interno. Póngase en contacto con el
su estado aunque se encuentra conectado.
soporte técnico de VMware.
3. Vea la lista de equipos virtuales (aparecen como "vm").
En Description debe aparecer “Thin agent enabled”.
4. Si en la descripción no aparece “enabled”, encienda o reinicie el equipo virtual afectado.
Esto debería actualizar el estado.
22
Guía de inicio
9.2 Comprobar que el escaneado en tiempo real se
encuentra activo
El escaneado en tiempo real es el principal método de protección contra amenazas. Al copiar,
guardar, mover o abrir un archivo, el equipo virtual de seguridad lo escanea y permite el
acceso sólo si no supone una amenaza para el equipo.
Importante: asegúrese de que Sophos Endpoint Security and Control no se encuentra
instalado en los equipos virtuales que desea proteger con el equipo virtual de seguridad.
Para comprobar que el equipo virtual de seguridad realiza el escaneado en acceso de archivos:
1. Visite eicar.org/86-0-Intended-use.html. Copie el texto de prueba EICAR en un archivo
nuevo. Ponga la extensión de archivo .com y cópielo a un equipo virtual de prueba.
2. Haga doble clic en el archivo desde el equipo virtual de prueba.
■
■
Si no tiene activada la limpieza automática, busque en la página Alertas. Debería
ver una alerta en el equipo virtual de seguridad. EICAR ha sido detectad, pero no se
ha limpiado.
Si tiene la limpieza automática activada, vaya a la página Servidores y haga clic
en el equipo virtual de seguridad para abrir su página de detalles. En su ficha Eventos,
debe ver que se ha detectado y limpiado EICAR.
Si es necesario limpiar EICAR, vea la siguiente sección.
9.2.1 Limpiar EICAR
Para limpiar el virus de prueba EICAR, haga lo siguiente:
1. Detenga el VMware Guest Introspection Agent en el equipo virtual afectado.
Desde la línea de comandos con derechos de administrador, escriba:
net stop vsepflt
2. Elimine EICAR.
3. Reinice Guest Introspection Agent. Escriba:
net start vsepflt
4. En Sophos Central, quite la alerta de amenaza.
En la página Alertas, seleccione la alerta y haga clic en Marcar como leído.
23
9.3 Resolución de problemas de escaneado en tiempo
real
Si el escaneado en tiempo real no funciona:
1. Asegúrese de que el escaneado en tiempo real está activado en la política del servidor
aplicada al equipo virtual de seguridad:
a) En Sophos Central Admin, vaya a la página Servidores, busque el equipo virtual de
seguridad y haga clic en él para ver sus detalles.
b) En la ficha Resumen, verá la política de programas maliciosos aplicada al servidor en
la sección Resumen. Haga clic en el nombre de la política.
c) En la política, compruebe la configuración de Protección de amenazas. En la sección
Escaneado en tiempo real, asegúrese de que Escanear esté activado.
d) Compruebe que el equipo virtual de seguridad cumple con la política.
2. Asegúrese de que cada equipo virtual tiene instalado VMware Guest Introspection Agent:
a) En cada equipo virtual, ejecute el asistente de VMware Tools.
b) En la página Custom Setup, seleccione VMware Device Drivers > VMCI Driver >
vShield Drivers.
3. Si el problema persiste, póngase en contacto con soporte técnico de Sophos.
24
Guía de inicio
10 Mantener los equipos virtuales de
seguridad
Esta sección ofrece consejos sobre las tareas de mantenimiento y posteriores a la instalación.
■
Encienda el equipo virtual de seguridad de forma manual cada vez que retire el
servidor ESXi del modo de mantenimiento o espera. Enciéndalo antes que los equipos
virtuales para que estén protegidos de forma inmediata.
■
Para desinstalar equipos virtuales de seguridad, vuelva a ejecutar el programa de
instalación y seleccione la opción de eliminación, según se describe en la sección sobre
desinstalaciones de esta guía. Los equipos virtuales de seguridad no se pueden desinstalar
eliminándolos en vCenter.
25
11 Ver los equipos virtuales protegidos
Puede ver todos los equipos virtuales protegidos por sus equipos virtuales de seguridad.
Para ver los equipos virtuales protegidos, se utiliza una función incluida en el programa de
instalación que utilizó para configurar los equipos virtuales de seguridad.
1. Vaya al directorio en el que descargó el programa de instalación y haga doble clic en
ssvmtool.exe.
Se inicia un asistente.
2.
3.
4.
5.
6.
Seleccione View protected guest VMs.
Introduzca las credenciales y la dirección de vCenter.
Introduzca las credenciales y la dirección de vShield Manager.
Seleccione el servidor o los servidores en los que desea ver equipos virtuales.
En Support password, introduzca la contraseña creada al instalar los equipos virtuales
de seguridad.
7. En la página Ready to find guest VMs, haga clic en Find.
El asistente empieza a buscar equipos virtuales.
8. Una vez finalizada la búsqueda, haga clic en View.
9. Aparecerá una lista con los equipos virtuales protegidos encontrados.
La lista está disponible también en un archivo en el disco duro. Para encontrarlo, haga
clic en Show file location.
26
Guía de inicio
12 Escaneado de equipos virtuales
El equipo virtual de seguridad siempre escanea los archivos en acceso, es decir, cuando se
abren y cierran.
Un equipo virtual de seguridad también puede realizar un escaneado remoto completo de
todos los equipos virtuales. Puede realizar el escaneado de forma inmediata o de forma
programada.
El escaneado remoto puede detectar amenazas, pero no limpiarlas.
Nota: el equipo virtual de seguridad realiza los escaneados por fases para impedir la
sobrecarga del servidor ESXi. Por defecto se escanean siempre dos equipos virtuales a la
vez. Por lo tanto, el escaneado de todos los equipos virtuales administrados por el equipo
virtual de seguridad puede tardar algo más de tiempo.
Escanear equipos virtuales ahora
Para realizar un escaneado remoto de los equipos virtuales de forma inmediata:
2. Vaya a la página Servidores.
3. Busque el equipo virtual de seguridad de Sophos y haga clic en él para abrir su página
de detalles.
4. En el panel de la izquierda, haga clic en Escanear ahora.
Escanear equipos virtuales de forma programada
Para realizar un escaneado remoto de los equipos virtuales de forma programada:
2. Vaya a la página Servidores.
3. Busque el equipo virtual de seguridad de Sophos y haga clic en él para ver su página de
detalles.
4. En la ficha Resumen, localice la política de programas maliciosos aplicable en la sección
Resumen. Haga clic en ella para editarla.
5. En la política, en la ficha Protección de amenazas, vaya a la sección Escaneado
programado. Active el escaneado y especifique los momentos en los que se ejecutará
el escaneado.
27
13 Qué ocurre cuando se detecta una
amenaza
Si el equipo virtual de seguridad detecta alguna amenaza en algún equipo virtual:
■
Bloquea la amenaza.
■
Trata de limpiar la amenaza automáticamente (si está instalado el agente de equipo virtual
de Sophos).
■
Envía una alerta a Sophos Central si necesita tomar alguna medida.
Nota: el equipo virtual de seguridad no limpia automáticamente las amenazas durante un
escaneado remoto completo de todos los equipos virtuales.
Lo que ve en Sophos Central
Sophos Central:
■
Muestra que la amenaza ha sido bloqueada. Consulte la ficha Eventos de la página de
detalles del equipo virtual de seguridad.
■
Muestra una alerta en la página Alertas. Esto muestra qué es la amenaza, en qué equipo
virtual se encuentra y si es posible limpiarla.
■
Elimina la alerta si se realiza correctamente la limpieza automática.
Si la limpieza automática no está disponible o no se realiza correctamente, aparece una alerta
en la página Alertas que le solicita que la limpie manualmente.
Para más información sobre la limpieza, consulte Limpiar una amenaza en la página 29.
Lo que el usuario ve en el equipo virtual
Si la amenaza se detecta cuando el usuario intenta acceder a un archivo, puede aparecer
un mensaje de aviso en el equipo virtual indicando que no se puede acceder al archivo.
Aunque este depende de la aplicación usada para acceder al archivo.
28
Guía de inicio
14 Limpiar una amenaza
En esta sección se describe la limpieza automática y la manual de amenazas.
Para obtener información sobre una amenaza y consejos para su limpieza, vaya a la página
Alertas en Sophos Central Admin, busque la alerta de la amenaza y haga clic en el nombre
de la amenaza.
14.1 Limpieza automática
El equipo virtual de seguridad puede limpiar amenazas automáticamente.
14.1.1 Acerca de la limpieza automática
El equipo virtual de seguridad puede limpiar automáticamente las amenazas que detecta,
siempre y cuando el sistema del equipo virtual sea compatible con la limpieza automática y
el agente de equipo virtual de Sophos esté instalado en la máquina virtual.
La limpieza automática es compatible en:
■
Windows Vista y posterior.
■
Sistemas de archivos NTFS.
La limpieza automática no es compatible en:
■
Versiones de Windows anteriores a Windows Vista, como Windows XP y Windows Server
2003. Limpie en estos sistemas las amenazas manualmente según se describe en las
secciones siguientes.
■
Sistemas de archivos ReFS, CDFS, UDF, o FAT.
■
Medios y sistemas de archivos de solo lectura y CD.
■
Sistemas de archivos remotos.
14.1.2 ¿Qué sucede en una limpieza automática?
Cuando se detecta una amenaza y se limpia automáticamente, Sophos Central:
■
Muestra una alerta en la página Alertas. Esto muestra qué es la amenaza, en qué equipo
virtual se encuentra y si es posible limpiarla.
■
Elimina la alerta si se realiza correctamente la limpieza.
Ocasionalmente puede ser necesario reiniciar un equipo virtual para que se complete la
limpieza. En este caso se muestra una alerta "Requiere reiniciar" del equipo virtual de
seguridad. La alerta indica qué equipo virtual está afectado.
Nota: el estado de limpieza final no se notifica de vuelta a Sophos Central y la alerta no se
elimina (incluso aunque la limpieza se haya realizado con éxito) en caso de que se produzca
alguno de los siguientes eventos:
■
Se mueve un equipo virtual de un servidor físico a otro usando vMotion.
■
Se mueve un equipo virtual de un equipo virtual de seguridad a otro durante la limpieza.
29
En este caso, deberá limpiar la alerta manualmente. Si la limpieza falla, su equipo virtual
seguirá protegido y la limpieza se intentará la siguiente vez que se detecte la amenaza.
14.2 Limpieza manual
Para limpiar un equipo virtual manualmente, puede:
■
Restaurar el equipo virtual.
■
Utilizar una herramienta de Sophos para eliminar las amenazas.
Restaurar el equipo virtual
Si puede permitirse perder los datos, simplemente restáurelo. Utilice uno de estos métodos:
■
Eliminar el equipo virtual afectado y volver a crearlo.
■
Revertir el equipo virtual afectado a un estado anterior limpio.
Independientemente del método usado, ejecute un escaneado completo del equipo virtual
posteriormente para asegurarse de que está limpio.
Utilizar una herramienta de Sophos
Puede usar la herramienta de eliminación de virus de Sophos para eliminar amenazas en
los siguientes casos:
■
No tiene configurada la limpieza automática.
■
Tiene amenazas en equipos virtuales que se ejecutan en Windows XP o Windows Server
2003, los cuales no admiten la limpieza automática.
Nota: no use este método si ha probado sin éxito la limpieza automática. La herramienta de
eliminación de virus utiliza los mismos procedimientos y también fracasará.
En el equipo virtual afectado, haga lo siguiente:
1. Detenga VMware Guest Introspection Agent.
2. Instale y ejecute la herramienta gratuita de eliminación de virus de Sophos. Descargue la
herramienta desde www.sophos.com/es-es/products/free-tools/virus-removal-tool.aspx.
3. Reinicie VMware Guest Introspection Agent.
30
Guía de inicio
15 Desinstalar equipos virtuales de
seguridad
Para desinstalar equipos virtuales de seguridad, se utiliza el mismo programa de instalación
que para instalarlos.
Son necesarias las credenciales del administrador de vCenter y vShield Manager. Introdúzcalas
tal y como si estuviera iniciando sesión en vCenter o vShield Manager.
ssvmtool.exe.
2. Siga los pasos del asistente. Haga lo siguiente:
■
■
■
■
■
■
Acepte el acuerdo de licencia y extraiga los archivos del programa de instalación.
Seleccione Remove existing security VMs.
Introduzca las credenciales y la dirección de vCenter.
Introduzca las credenciales y la dirección de vShield Manager.
Seleccione los servidores en los que desea eliminar equipos virtuales de seguridad de
Sophos.
En la página de resumen, haga clic en Uninstall.
El programa de instalación desinstala los equipos virtuales de seguridad.
31
16 Apéndice: cuenta de administrador de
vCenter
La cuenta de administrador de vCenter debe disponer de los sigueintes permisos:
32
■
Datastore > Allocate space
■
Network > Assign network
■
vApp > Import
■
vApp > vApp instance configuration
■
Virtual machine > Configuration > Add new disk
■
Virtual machine > Guest Operation > Guest Operation Modifications
■
Virtual machine > Guest Operation > Guest Operation Program Execution
■
Virtual machine > Guest Operation > Guest Operation Queries
■
Virtual machine > Interaction > Power Off
■
Virtual machine > Interaction > Power On
■
Virtual machine > Inventory > Remove
Guía de inicio
17 Apéndice: Configuración de la CPU
Si tiene una gran cantidad de equipos virtuales en un servidor, asegúrese de que el equipo
virtual de seguridad dispone de capacidad de procesamiento suficiente para escanear los
archivos que utilizan al iniciarse.
Para ello, modifique la configuración de la CPU del equipo virtual de seguridad.
Nota: puede hacerlo en cualquier momento. Sin embargo, si lo hace inmediatamente después
de la instalación, debe esperar hasta que el equipo virtual de seguridad cumpla con la política
de Sophos Central.
1. Apague el equipo virtual de seguridad.
2. En vSphere Client, seleccione el equipo virtual de seguridad.
3. Seleccione Edit Settings > Hardware > CPUs. A continuación, especifique el número de
procesadores o CPU.
Añadir CPU aumenta el número de equipos virtuales que puede gestionar el equipo virtual
de seguridad, como se muestra en la tabla.
CPU
Rendimiento
2
Esta es la opción predeterminada.
4
Gran aumento en comparación con 2 CPU.
6
Pequeño aumento en comparación con 4 CPU.
8
Mínimo aumento en comparación con 6 CPU.
33
18 Apéndice: Cambiar datos para el servidor
proxy
Puede actualizar los detalles del servidor proxy que usan los equipos virtuales de seguridad
para conectarse a Sophos Central.
ssvmtool.exe.
Si no tiene acceso al programa de instalación, inicie sesión en Sophos Central Admin y
vaya a la página Proteger dispositivos para descargarlo de nuevo.
2. Abra una ventana del símbolo del sistema y ejecute el programa de instalación con el
modificador --proxy-configure:
ssvmtool.exe --proxy-configure
3. Siga las instrucciones para actualizar los detalles del servidor proxy.
34
Guía de inicio
19 Soporte técnico
Para obtener asistencia técnica sobre cualquier producto de Sophos, puede:
■
Visitar el foro Sophos Community en community.sophos.com/ para consultar casos
similares.
■
Visitar la base de conocimiento de Sophos en www.sophos.com/es-es/support.aspx.
■
Descargar la documentación correspondiente desde
www.sophos.com/es-es/support/documentation.aspx.
■
Abrir un ticket de incidencia con nuestro equipo de soporte en
https://secure2.sophos.com/support/contact-support/support-query.aspx.
35
20 Aviso legal
Copyright © 2016 Sophos Limited. Todos los derechos reservados. Ninguna parte de esta
publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún
medio, sea éste electrónico, mecánico, grabación, fotocopia o cualquier otro sin la
correspondiente licencia del producto, bajo dichos términos, o sin la previa autorización escrita
por parte del propietario.
Sophos, Sophos Anti-Virus y SafeGuard son marcas registradas de Sophos Limited, Sophos
Group o Utimaco Safeware AG, según corresponda. Otros productos y empresas mencionados
son marcas registradas de sus propietarios.
Licencias de terceros
Para las licencias de terceros aplicables a su uso de este producto, consulte la siguiente
carpeta del equipo virtual de seguridad de Sophos: /usr/share/doc
36

Sophos Anti-Virus para VMware vShield: Sophos Central Edition

Transcripción

Documentos relacionados

Referencias de la unidad

presupuesto gastos de manutención

Líder en seguridad