Instalación del Security Agent
Transcripción
Instalación del Security Agent
TM TREND MICRO TM Worry-Free Business Security Standard Edition 7 Administrator’s Guide TREND MICRO INCORPORATED 10101 North De Anza Blvd. Cupertino, CA., 95014, USA Tel:+1(408)257-1500/1-800 228-5651 Fax:+1(408)257-2003 [email protected] www.trendmicro.com Item Code: WBEM74598/100819 Ediciones Advanced y Standard de Worry-Free TM Business Security Securing Your Journey to the Cloud Administrator’s Guide Manual del administrador Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a utilizar el software, consulte los archivos Léame, las notas de la versión y la última versión de la correspondiente información para el usuario, documentación que encontrará disponible en el sitio Web de Trend Micro en: http://docs.trendmicro.com/es-es/smb/worry-free-business-security.aspx Trend Micro, el logotipo en forma de pelota de Trend Micro, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan y ScanMail son marcas registradas o marcas comerciales de Trend Micro Incorporated. El resto de nombres de productos o empresas pueden ser marcas comerciales o marcas comerciales registradas de sus respectivos propietarios. Copyright© 2012 Trend Micro Incorporated. Reservados todos los derechos. Nº de documento: WFSM85746/121025 Fecha de publicación: diciembre de 2012 Protegido por las patentes de Estados Unidos: 5 951 698 y 7 188 369 La documentación para el usuario de Trend Micro Worry-Free Business Security presenta las funciones principales del software y las instrucciones de instalación específicas para cada entorno de producción. Léala antes de instalar o utilizar el software. También encontrará información pormenorizada sobre cómo utilizar funciones específicas del software en el archivo de ayuda en línea y en la Base de conocimientos en línea del sitio Web de Trend Micro. Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda, comentario o sugerencia con relación a los documentos de Trend Micro, póngase en contacto con nosotros a través del correo electrónico [email protected]. Podrá obtener y valorar la documentación en el siguiente sitio Web: http://www.trendmicro.com/download/documentation/rating.asp Tabla de contenidos Prefacio Prefacio ............................................................................................................. xiii Documentación de Worry-Free Business Security .................................... xiv Destinatarios .................................................................................................... xiv Convenciones del documento ........................................................................ xv Capítulo 1: Introducción a Worry-Free Business Security Standard y Advanced Información general sobre Trend Micro Worry-Free Business Security 1-2 Novedades de esta versión ............................................................................ 1-2 Funciones y ventajas principales .................................................................. 1-3 Red de Protección Inteligente de Trend Micro ................................. 1-4 Servicios de File Reputation ................................................................. 1-4 Servicios de Reputación Web ............................................................... 1-4 Email Reputation (Advanced solo) ...................................................... 1-5 Comentarios inteligentes ....................................................................... 1-6 Filtrado de URL ...................................................................................... 1-7 Ventajas de la protección ............................................................................... 1-7 Descripción de las amenazas ........................................................................ 1-9 Virus y malware ...................................................................................... 1-9 Spyware y grayware .............................................................................. 1-11 Spam ....................................................................................................... 1-12 Intrusiones ............................................................................................. 1-12 Comportamiento malicioso ................................................................ 1-13 Puntos de acceso falsos ....................................................................... 1-13 Contenido explícito/restringido en las aplicaciones de mensajería instantánea (IM) .................................................................................... 1-13 Incidentes de phishing ......................................................................... 1-13 Ataques de correo masivo ................................................................... 1-14 Amenazas Web ..................................................................................... 1-15 i Manual del administrador de Worry-Free Business Security 8.0 Capítulo 2: Introducción Red de Worry-Free Business Security ......................................................... 2-2 Security Server ................................................................................................. 2-2 Servidor de exploración ......................................................................... 2-2 Agentes ............................................................................................................. 2-4 Consola Web ................................................................................................... 2-4 Abrir la consola Web ............................................................................. 2-5 Navegación por la consola Web ........................................................... 2-8 Iconos de la consola Web ................................................................... 2-11 Estado de actividad .............................................................................. 2-12 Capítulo 3: Instalar agentes Instalación del Security Agent ...................................................................... 3-2 Requisitos de instalación del Security Agent ...................................... 3-2 Consideraciones sobre la instalación del Security Agent .................. 3-2 Funciones disponibles del Security Agent .......................................... 3-3 Instalación del Security Agent y compatibilidad con IPv6 .............. 3-6 Métodos de instalación del Security Agent ................................................. 3-8 Instalar desde la página Web interna ................................................. 3-11 Instalar con Configuración de secuencia de comandos de inicio de sesión ...................................................................................................... 3-13 Instalar con Client Packager ............................................................... 3-15 Instalar con Instalación remota .......................................................... 3-19 Instalar con Vulnerability Scanner ..................................................... 3-23 Instalar mediante notificación por correo electrónico ................... 3-36 Migrar al Security Agent ...................................................................... 3-37 Realizar tareas posteriores a la instalación en los Security Agents 3-38 Instalación de Messaging Security Agent .................................................. 3-40 Requisitos de instalación del Messaging Security Agent ................ 3-40 Instalar el Messaging Security Agent (Advanced solo) ................... 3-41 Eliminar agentes ........................................................................................... 3-42 Eliminar agentes desde la consola Web ............................................ 3-43 Desinstalar agentes desde la consola Web ........................................ 3-44 Desinstalar el Security Agent desde el cliente .................................. 3-45 ii Tabla de contenidos Usar la herramienta de desinstalación de SA ................................... 3-46 Desinstalación del Messaging Security Agent desde el servidor Microsoft Exchange (Advanced solo) ............................................... 3-48 Capítulo 4: Gestionar grupos Grupos .............................................................................................................. 4-2 Agregar grupos .............................................................................................. 4-10 Agregar agentes a grupos ............................................................................. 4-11 Mover agentes ............................................................................................... 4-12 Mover Security Agents entre grupos ................................................. 4-13 Mover agentes entre Security Servers usando la consola Web ...... 4-14 Mover un Security Agent entre Security Servers usando Client Mover .................................................................................................................. 4-15 Replicar configuración ................................................................................. 4-17 Replicar configuraciones de grupo de Security Agents .................. 4-17 Replicar configuraciones del Messaging Security Agent (Advanced solo) ........................................................................................................ 4-18 Importar y exportar la configuración de grupos de Security Agents .... 4-19 Exportar configuración ....................................................................... 4-22 Importar configuración ....................................................................... 4-23 Capítulo 5: Gestionar la configuración de seguridad básica para los Security Agents Resumen de la configuración de seguridad básica para los Security Agents ............................................................................................................................ 5-2 Métodos de exploración ................................................................................ 5-3 Configurar los métodos de exploración .............................................. 5-5 Exploración en tiempo real para los Security Agents ............................... 5-8 Configurar la exploración en tiempo real para los Security Agents .................................................................................................................... 5-8 Firewall ............................................................................................................. 5-9 Configurar el cortafuegos .................................................................... 5-11 Trabajar con las excepciones del cortafuegos .................................. 5-13 iii Manual del administrador de Worry-Free Business Security 8.0 Desactivar el cortafuegos en un grupo de agentes .......................... 5-16 Desactivar el cortafuegos en todos los agentes ............................... 5-16 Reputación Web ........................................................................................... 5-16 Configurar la reputación Web para los Security Agents ................ 5-18 Filtrado de URL ............................................................................................ 5-19 Configuración del filtrado de URL .................................................... 5-20 Supervisión del comportamiento ............................................................... 5-21 Configurar la supervisión del comportamiento ............................... 5-22 Programa de confianza ................................................................................ 5-24 Configurar programas de confianza .................................................. 5-24 Control del dispositivo ................................................................................ 5-25 Configurar el control de los dispositivos .......................................... 5-25 Herramientas del usuario ............................................................................. 5-27 Configurar las herramientas de usuario ............................................ 5-28 Derechos del cliente ..................................................................................... 5-28 Configurar los derechos del cliente ................................................... 5-29 Directorio de cuarentena ............................................................................. 5-31 Configurar el directorio de cuarentena ............................................. 5-33 Capítulo 6: Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Agentes Messaging Security Agent .............................................................. 6-2 Cómo explora Messaging Security Agent los mensajes de correo electrónico ............................................................................................... 6-3 Configuración predeterminada de Messaging Security Agent ......... 6-4 Exploración en tiempo real para los Messaging Security Agents ............ 6-5 Configurar la exploración en tiempo real para Messaging Security Agent ........................................................................................................ 6-6 Antispam .......................................................................................................... 6-6 Email Reputation .................................................................................... 6-7 Exploración del contenido .................................................................... 6-9 Filtrado de contenido ................................................................................... 6-15 Gestionar las reglas del filtrado de contenidos ................................ 6-16 iv Tabla de contenidos Tipos de reglas para filtrar contenidos .............................................. 6-20 Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones ........................................................................... 6-21 Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición .............................................................................. 6-24 Agregar reglas de supervisión para el filtrado de contenido .......... 6-27 Crear excepciones para las reglas de filtrado de contenidos .......... 6-30 Prevención de pérdida de datos ................................................................. 6-31 Tareas de preparación .......................................................................... 6-32 Gestionar reglas de prevención de pérdida de datos ...................... 6-33 Reglas de prevención de pérdida de datos predeterminadas ......... 6-40 Agregar reglas de prevención de pérdida de datos .......................... 6-41 Bloqueo de archivos adjuntos ..................................................................... 6-47 Configurar el bloqueo de archivos adjuntos .................................... 6-47 Reputación Web ........................................................................................... 6-50 Configurar la reputación Web para los Messaging Security Agents .................................................................................................................. 6-52 Cuarentena para los Messaging Security Agents ...................................... 6-54 Consultar directorios de cuarentena .................................................. 6-55 Ver resultados de las consultas y realizar acciones .......................... 6-56 Mantener directorios de cuarentena .................................................. 6-58 Configurar directorios de cuarentena ................................................ 6-59 Configuración de notificaciones para los Messaging Security Agents .. 6-60 Definir configuraciones de notificación para los Messaging Security Agents .................................................................................................... 6-62 Configurar el mantenimiento del spam ..................................................... 6-63 Gestionar End User Quarantine ........................................................ 6-64 Depurador y asistencia de Trend Micro .................................................... 6-66 Generar informes del depurador del sistema ................................... 6-67 Supervisor en tiempo real ............................................................................ 6-68 Usar un supervisor en tiempo real ..................................................... 6-68 Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes ...................................................................................... 6-69 v Manual del administrador de Worry-Free Business Security 8.0 Capítulo 7: Gestionar las exploraciones Acerca de las exploraciones .......................................................................... 7-2 Exploración en tiempo real ........................................................................... 7-2 Exploración manual ....................................................................................... 7-3 Ejecutar exploraciones manuales ......................................................... 7-4 Exploración programada ............................................................................... 7-7 Configurar exploraciones programadas .............................................. 7-7 Explorar destinos y acciones para los Security Agents ........................... 7-11 Explorar destinos y acciones para los Messaging Security Agents ....... 7-19 Capítulo 8: Administrar las actualizaciones Información general sobre actualizaciones ................................................. 8-2 Componentes que se pueden actualizar ...................................................... 8-4 Archivos Hotfix, parches y Service Packs .......................................... 8-9 Actualizaciones del Security Server ............................................................ 8-10 Configurar la fuente de actualización del Security Server .............. 8-12 Actualizar manualmente el Security Server ...................................... 8-13 Configuración de actualizaciones programadas para el Security Server ...................................................................................................... 8-14 Recuperación de componentes .......................................................... 8-15 Actualizaciones del Security Agent y el Messaging Security Agent ...... 8-16 Agentes de actualización .............................................................................. 8-17 Configurar agentes de actualización .................................................. 8-20 Capítulo 9: Gestionar las notificaciones Notificaciones ................................................................................................. 9-2 Configurar sucesos de notificaciones .......................................................... 9-3 Variables de símbolo .............................................................................. 9-4 Capítulo 10: Utilizar la función Defensa frente a epidemias Estrategia de la defensa frente a epidemias .............................................. 10-2 vi Tabla de contenidos Valoración de vulnerabilidades ................................................................... 10-5 Política de prevención de epidemias .......................................................... 10-6 Estado actual de Defensa frente a epidemias ........................................... 10-6 Detalles sobre la defensa automática frente a epidemias ............... 10-8 Defensa frente a epidemias, amenazas potenciales ................................. 10-9 Archivo de patrones de valoración de vulnerabilidades ............... 10-10 Damage Cleanup Services ................................................................. 10-11 Configurar las opciones de Defensa frente a epidemias ...................... 10-12 Defensa frente a epidemias, excepciones ....................................... 10-15 Definir la configuración de la valoración de vulnerabilidades .... 10-18 Capítulo 11: Administrar la configuración general Configuración general .................................................................................. 11-2 Configurar el proxy de Internet .................................................................. 11-3 Definir la configuración del servidor SMTP ............................................ 11-4 Definir la configuración de los equipos de sobremesa/servidores ....... 11-5 Definir la configuración de sistemas ....................................................... 11-12 Capítulo 12: Usar los registros y los informes Registros ......................................................................................................... 12-2 Utilizar la consulta al registro ............................................................. 12-4 Informes ......................................................................................................... 12-5 Uso de informes puntuales ................................................................. 12-6 Trabajar con informes programados ................................................. 12-7 Interpretar informes ........................................................................... 12-12 Realizar tareas de mantenimiento para informes y registros ............... 12-14 Capítulo 13: Realizar tareas administrativas Cambiar la contraseña de la consola Web ................................................ 13-2 Trabajar con Plug-in Manager .................................................................... 13-2 Gestionar la licencia del producto ............................................................. 13-3 vii Manual del administrador de Worry-Free Business Security 8.0 Participar en el programa Smart Feedback ............................................... 13-5 Cambiar el idioma de la interfaz del agente .............................................. 13-5 Guardar y restaurar la configuración del programa ................................ 13-6 Desinstalar Security Server .......................................................................... 13-8 Capítulo 14: Usar las herramientas de gestión Tipos de herramientas .................................................................................. 14-2 Instalar el Trend Micro Worry-Free Remote Manager Agent ............... 14-3 Ahorrar espacio en disco ............................................................................. 14-6 Ejecutar Disk Cleaner en el Security Server ..................................... 14-6 Ejecutar Disk Cleaner en el Security Server mediante la interfaz de línea de comandos ................................................................................ 14-7 Ahorrar espacio de disco en los clientes ........................................... 14-8 Desplazamiento de la base de datos de Scan Server ............................... 14-9 Restaurar archivos cifrados ......................................................................... 14-9 Descifrar y restaurar archivos en el Security Agent ...................... 14-11 Descifrar y restaurar archivos en el Security Server, el directorio de cuarentena personalizado o el Messaging Security Agent ............ 14-12 Restaurar mensajes con formato de transporte por encapsulación neutral .................................................................................................. 14-13 Utilizar la herramienta ReGenID ............................................................. 14-14 Gestionar los complementos de SBS y EBS .......................................... 14-15 Instalar manualmente los complementos de SBS y EBS ............. 14-15 Usar los complementos de SBS o EBS ........................................... 14-15 Apéndice A: Iconos del Security Agent Comprobar el estado del Security Agent .................................................... A-2 Ver los iconos del Security Agent en la barra de tareas de Windows .... A-4 Acceder a la ventana emergente de la consola .......................................... A-5 Apéndice B: Compatibilidad con IPv6 en Worry-Free Business Security viii Tabla de contenidos Compatibilidad con IPv6 en Worry-Free Business Security ................... B-2 Requisitos del Security Server IPv6 .................................................... B-2 Requisitos del Security Agent ............................................................... B-3 Requisitos del Messaging Security Agent ........................................... B-3 Limitaciones de los servidores que solo utilizan IPv6 ..................... B-4 Limitaciones de los agentes que solo utilizan IPv6 .......................... B-5 Configuración de direcciones IPv6 ............................................................. B-6 Pantallas que muestran direcciones IP ........................................................ B-7 Apéndice C: Obtener ayuda La Base de conocimientos de Trend Micro ............................................... C-2 Ponerse en contacto con el equipo de asistencia técnica ......................... C-2 Herramienta de diagnóstico de casos ................................................. C-3 Agilizar la llamada al servicio de asistencia ........................................ C-3 Información de contacto .............................................................................. C-4 Enviar archivos sospechosos a Trend Micro ............................................ C-4 Centro de información de seguridad ........................................................... C-4 TrendLabs ....................................................................................................... C-5 Evaluación de la documentación ................................................................. C-6 Apéndice D: Terminología del producto y conceptos Revisión .......................................................................................................... D-2 IntelliScan ....................................................................................................... D-2 IntelliTrap ....................................................................................................... D-3 Sistema de detección de intrusiones ........................................................... D-4 Palabras clave ................................................................................................. D-5 Parche ............................................................................................................ D-10 Expresiones regulares ................................................................................. D-11 Listas de exclusión de la exploración ....................................................... D-20 Revisión de seguridad ................................................................................. D-27 ix Manual del administrador de Worry-Free Business Security 8.0 Service Pack ................................................................................................. D-27 Puerto de troyano ........................................................................................ D-27 Archivos que no se pueden limpiar .......................................................... D-29 Índice Índice ............................................................................................................. IN-1 x xi Prefacio Prefacio Le damos la bienvenida al Manual del administrador de Trend Micro™ Worry-Free™ Business Security. Este documento contiene información introductoria, procedimientos para instalar agentes e instrucciones para la gestión de los agentes y del Security Server. xiii Manual del administrador de Worry-Free Business Security 8.0 Documentación de Worry-Free Business Security La documentación de Worry-Free Business Security consta de lo siguiente: TABLA 1. Documentación de Worry-Free Business Security DOCUMENTACIÓN DESCRIPCIÓN Manual de instalación y actualización Documento PDF que contiene los requisitos y procedimientos de instalación del Security Server y de actualización del servidor y de los agentes. Manual del administrador Documento PDF que contiene información introductoria, procedimientos de instalación de clientes e instrucciones para gestionar los agentes y el Security Server. Ayuda Los archivos HTML compilados en formato WebHelp o CHM que proporcionan información sobre procedimientos, consejos de uso e información específica de los campos. Archivo Léame contiene una lista de los problemas conocidos y los pasos básicos para la instalación. También puede contener la información más reciente del producto, no disponible en la documentación impresa o en la Ayuda. Base de conocimientos Una base de datos en línea con información sobre la resolución de problemas. Incluye la información más reciente acerca de los problemas conocidos de los productos. Para acceder a la Base de conocimientos, vaya al siguiente sitio Web: http://esupport.trendmicro.com/en-us/business/default.aspx Descargue la versión más reciente de los documentos en PDF y del archivo Léame en: http://docs.trendmicro.com/es-es/smb/worry-free-business-security.aspx Destinatarios La documentación de Worry-Free Business Security tiene como destinatarios a los siguientes usuarios: xiv Prefacio • Administradores de seguridad: responsables de la gestión de Worry-Free Business Security, incluida la gestión y la instalación del agente y del Security Server. Estos usuarios deberán tener conocimientos avanzados sobre la administración de redes y servidores. • Usuarios finales: usuarios que tienen instalado en sus equipos el Security Agent. El nivel de conocimientos informáticos de estos individuos abarca desde principiantes hasta usuarios avanzados. Convenciones del documento Para facilitar la localización y la interpretación de la información con facilidad, la documentación de Worry-Free Business Security utiliza las siguientes convenciones: TABLA 2. Convenciones del documento CONVENCIÓN DESCRIPCIÓN TODO EN MAYÚSCULAS Acrónimos, abreviaciones y nombre de determinados comandos y teclas del teclado Negrita Menús y comandos de menú, botones de comandos, pestañas, opciones y tareas Cursiva Referencias a componentes de otra documentación o nuevas tecnologías <Text> Indica que el texto dentro de los corchetes deberá sustituirse por datos reales. Por ejemplo, C:\Archivos de programa \<file_name> puede ser C:\Archivos de programa \sample.jpg. Nota Consejo Ofrece notas o recomendaciones sobre la configuración Ofrece información sobre prácticas recomendadas y recomendaciones de Trend Micro xv Manual del administrador de Worry-Free Business Security 8.0 CONVENCIÓN ¡ADVERTENCIA! xvi DESCRIPCIÓN Ofrece advertencias sobre actividades que pueden dañar los equipos de la red Capítulo 1 Introducción a Worry-Free™ Business Security Standard y Advanced En este capítulo se ofrece información general sobre Worry-Free Business Security (WFBS). 1-1 Manual del administrador de Worry-Free Business Security 8.0 Información general sobre Trend Micro WorryFree Business Security Trend Micro Worry-Free Business Security (WFBS) protege a los usuarios y activos de las pequeñas empresas frente al robo de datos, la sustracción de identidades, los sitios Web peligrosos y el spam (Advanced solo). Este documento ofrece información sobre las versiones Standard y Advanced de WFBS. Las secciones y los capítulos correspondientes solo a la versión Advanced aparecen marcados como "(Advanced solo)". Con la tecnología de Trend Micro Smart Protection Network, WFBS es: • Más seguro: evita que los virus, el spyware, el spam (Advanced solo) y las amenazas Web lleguen a los clientes. El filtrado de URL bloquea el acceso a los sitios Web peligrosos y contribuye a mejorar la productividad del usuario. • Más inteligente: la exploración rápida y las continuas actualizaciones evitan nuevas amenazas, con un impacto mínimo en los clientes. • Más fácil: con una instalación sencilla y sin requisitos de administración, WFBS detecta amenazas de forma más efectiva, para que pueda centrarse en su negocio sin preocuparse por la seguridad. Novedades de esta versión Worry-Free Business Security ofrece las siguientes mejoras y nuevas características: 1-2 • Compatibilidad con plataformas: el Security Server y los Security Agents pueden instalarse ahora en Windows 8 y Windows Server 2012. • Compatibilidad con IPv6: Security Server, Security Agents, Messaging Security Agents (Advanced solo) y Remote Manager Agent se pueden instalar ahora en clientes IPv6. • Limpieza avanzada: al configurar que se ejecute una limpieza avanzada, los Security Agents pueden impedir el funcionamiento de los programas deshonestos que se hacen pasar por herramientas de seguridad (también conocidos como Introducción a Worry-Free Business Security Standard y Advanced "rogueware" o FakeAV). Además, el agente cuenta con reglas de limpieza avanzadas que permiten detectar y detener de forma proactiva las aplicaciones que presentan comportamientos propios de FakeAV. Active las limpiezas avanzadas en los Security Agents cuando defina la configuración de las exploraciones programadas y manuales. • Acciones frente a virus/malware probables: para los posibles virus y malware, la acción predeterminada es "Denegar acceso" durante la exploración en tiempo real y "Omitir" durante la exploración manual y la exploración programada. Si prefiere utilizar otras acciones, tiene a su disposición Poner en cuarentena, Eliminar o Cambiar nombre. • Apagado del cliente después de una exploración programada: una nueva configuración de la consola Web (Exploraciones > Exploración programada > pestaña Programa) permite a los agentes iniciar el apagado del cliente después de efectuar una exploración programada. Esta configuración solo se puede definir desde la consola Web y no está disponible para usuarios que dispongan de derechos de exploración programada. • Ruta de instalación de Security Agent: durante la instalación del Security Server, se le solicitará que especifique la ruta de instalación en la que están instalados los Security Agents. En las versiones anteriores, la ruta de instalación no se podía cambiar cuando la instalación del Security Server se había completado. En esta versión, puede cambiar la ruta de instalación desde la consola Web; para ello, tiene que acceder a Preferencias > Configuración general > Sistema > Directorio de instalación de Security Agent. Después de cambiar la ruta, los nuevos Security Agents se instalarán en esta ruta. • Scan Server Database Mover: Esta herramienta desplaza la base de datos del servidor de exploración de forma segura a otra unidad de disco. Consulte el apartado Desplazamiento de la base de datos de Scan Server en la página 14-9. Funciones y ventajas principales Worry-Free Business Security proporciona las funciones y ventajas siguientes: 1-3 Manual del administrador de Worry-Free Business Security 8.0 Red de Protección Inteligente de™ Trend Micro™ Trend Micro™ Smart Protection Network™ es una infraestructura de seguridad de contenidos de clientes por Internet de próxima generación diseñada para proteger a los clientes de los riesgos de seguridad y las amenazas Web. Cuenta con soluciones tanto locales como alojadas por Trend Micro para proteger a los usuarios, independientemente de si se encuentran en la red, en casa o en movimiento. Smart Protection Network utiliza clientes ligeros para acceder a la correlación única de correo electrónico en la red y a las tecnologías File Reputation y de reputación Web, así como a las bases de datos de amenazas. La protección de los clientes se actualiza automáticamente y se refuerza a medida que van accediendo a la red más productos, servicios y usuarios, creando un servicio de protección de supervisión de entorno en tiempo real. Para obtener más información sobre Smart Protection Network, visite el sitio: http://es.trendmicro.com/es/smart-protection-network/ Servicios de File Reputation Los Servicios de File Reputation comprueban la reputación de cada archivo en una extensa base de datos en la nube. Dado que la información acerca del malware se almacena en Internet, al instante está disponible para todos los usuarios. Las redes de contenido de alto rendimiento y los servidores en caché local aseguran una demora mínima durante el proceso de comprobación. La arquitectura Internet-cliente ofrece una protección más inmediata, y elimina la carga de la instalación de archivos de patrones, reduciendo además el impacto general del cliente. Los Security Agents se deben encontrar en el modo smart scan para utilizar los Servicios de File Reputation. Estos agentes se denominan agentes de smart scan en este documento. Los agentes que no se encuentran en el modo smart scan no utilizan los Servicios de File Reputation y se denominan agentes de exploración convencional. Los administradores de Worry-Free Business Security pueden configurar todos los agentes (o varios de ellos) para que estén en modo smart scan. Servicios de Reputación Web Con una de las bases de datos de dominios y reputaciones más grandes del mundo, la tecnología de reputación Web de Trend Micro realiza un seguimiento de la credibilidad 1-4 Introducción a Worry-Free Business Security Standard y Advanced de los dominios Web mediante la asignación de un resultado de reputación basado en factores como la antigüedad del sitio Web, los cambios en la ubicación histórica y las indicaciones de actividades sospechosas descubiertas mediante el análisis de comportamientos malintencionados. A continuación el sistema de reputación Web seguirá con la exploración de los sitios y el bloqueo del acceso de los usuarios a los sitios infectados. Las funciones de la reputación Web garantizan que las páginas a las que accede el usuario son seguras y no contienen amenazas Web, como malware, spyware y fraudes de phishing que tienen como objetivo engañar al usuario para que proporcione información personal. Para aumentar la precisión y reducir los falsos positivos, la tecnología de reputación Web de Trend Micro asigna puntuaciones de reputación a páginas específicas dentro de los sitios en lugar de clasificar o bloquear sitios completos, ya que a veces son sólo partes de estos los que están afectados y las reputaciones pueden cambiar de forma dinámica con el tiempo. Los agentes sujetos a las políticas de reputación Web utilizan los Servicios de reputación Web. Los administradores de Worry-Free Business Security pueden someter a todos los agentes o a algunos de ellos a las políticas de reputación Web. Email Reputation (Advanced solo) La tecnología de reputación de correo electrónico de Trend Micro valida las direcciones IP y las comprueba en una base de datos de reputación que contiene emisores de spam conocidos, mediante un servicio dinámico que puede valorar la reputación del emisor de correo electrónico en tiempo real. Las clasificaciones se redefinen mediante análisis continuos del "comportamiento" de las direcciones IP, del ámbito de actividad y del historial anterior. Los mensajes de correo maliciosos se bloquean en Internet según la dirección IP del remitente, y así se evita que amenazas como las redes zombi o los programas robot lleguen a la red o al equipo del usuario. La tecnología Email Reputation identifica si un correo es spam en función de la reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera parte del trabajo que es responsabilidad del Security Server. Cuando Email Reputation está activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP entrante para discernir si la dirección IP original está limpia o si, por el contrario, está incluida en alguna lista negra como un vector de spam conocido. Email Reputation consta de dos niveles de servicio: 1-5 Manual del administrador de Worry-Free Business Security 8.0 • Estándar: El servicio Estándar utiliza una base de datos que rastrea la reputación de unos dos billones de direcciones IP. Las direcciones IP que constantemente están asociadas a la entrega de mensajes de spam se agregan a la base de datos y casi siempre permanecen en ella. • Avanzado: El nivel de servicio Avanzado es un servicio DNS basado en consultas igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos de reputaciones estándar junto con la base de datos de reputaciones en tiempo real dinámica que bloquea los mensajes procedentes de orígenes sospechosos o conocidos de spam. Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP bloqueada o sospechosa, Email Reputation Services (ERS) la detiene antes de que alcance la infraestructura de mensajería del destinatario. Si ERS bloquea los mensajes de correo electrónico de una dirección IP que el destinatario piensa que es segura, agregue dicha dirección IP a la lista de direcciones IP permitidas. Comentarios inteligentes Trend Micro Smart Feedback proporciona una comunicación continua entre los productos Trend Micro y los centros de investigación de amenazas y sus tecnologías, que ofrecen asistencia 24 horas al día, los 7 días de la semana. Cada nueva amenaza identificada mediante cada una de las verificaciones rutinarias de la reputación del cliente actualiza automáticamente todas las bases de datos de amenazas de Trend Micro, lo que bloquea cualquier encuentro posterior del cliente con dicha amenaza. Mediante el procesamiento continuo de la inteligencia de la amenaza, recopilada a través de su extensa red global de clientes y socios, Trend Micro ofrece protección automática en tiempo real frente a las amenazas más recientes y proporciona la seguridad "mejor juntos", esto es como un tipo de vigilancia vecinal automatizado que involucra a la comunidad en la protección de los demás. La privacidad de la información personal o empresarial de un cliente está siempre protegida ya que la información recopilada sobre las amenazas está basada en la reputación de la fuente de comunicación, no en el contenido de la comunicación específica. Ejemplos de la información enviada a Trend Micro son: 1-6 • Sumas de comprobación de archivos • Sitios Web a los que se ha accedido Introducción a Worry-Free Business Security Standard y Advanced • Información de archivos, incluido el tamaño y las rutas • Nombres de archivos ejecutables En cualquier momento puede poner fin a su participación en el programa desde la consola Web. Para obtener más información, consulte Participar en el programa Smart Feedback en la página 13-5. Consejo para proteger los equipos no necesita participar en la función Comentarios inteligentes. En cualquier momento puede optar por no participar, ya que es opcional. Trend Micro le recomienda que participe en la función Comentarios inteligentes para que podamos ofrecer una mejor protección general a todos los clientes de Trend Micro. Para obtener más información sobre Smart Protection Network, visite el sitio: http://es.trendmicro.com/es/smart-protection-network/ Filtrado de URL El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un entorno de Internet más seguro. Puede elegir un nivel de protección de filtrado de URL o personalizar los tipos de sitios Web que desea filtrar. Ventajas de la protección En la siguiente tabla se describe el modo en que los distintos componentes de WorryFree Business Security protegen los equipos informáticos frente a amenazas. 1-7 Manual del administrador de Worry-Free Business Security 8.0 TABLA 1-1. Ventajas de la protección AMENAZA Virus/Malware. virus, troyanos, gusanos, puertas traseras y rootkits Spyware/Grayware. spyware, programas de marcación, herramientas de piratería, aplicaciones de robo de contraseñas, adware, programas de broma y registradores de teclas Amenazas de seguridad transmitidas a través de mensajes de correo electrónico PROTECCIÓN Exploraciones basadas en archivos (Exploración en tiempo real, Exploración manual y Exploración programada). POP3 Mail Scan en el Security Agent IMAP Mail Scan en el Messaging Security Agent Antispam, Filtrado de contenido, Prevención de pérdida de datos, Bloqueo de archivos adjuntos y Reputación Web en el Messaging Security Agent 1-8 Gusanos/virus de red e intrusiones Cortafuegos en el agente de seguridad Sitios Web/sitios de phishing posiblemente dañinos Reputación Web y filtrado de URL en el Security Agent Amenazas de seguridad que se propagan a través de USB y de otros dispositivos externos. Control de dispositivos en el Security Agent Comportamiento malicioso Supervisión del comportamiento en el agente de seguridad Puntos de acceso falsos Asesor de Wi-Fi en el Security Agent Contenido explícito/restringido en las aplicaciones de IM Filtrado de contenido de IM en el agente de seguridad Introducción a Worry-Free Business Security Standard y Advanced Descripción de las amenazas Las organizaciones sin personal de seguridad dedicado y con políticas de seguridad flexibles están cada vez más expuestas a amenazas, incluso si cuentan con una infraestructura básica de seguridad. Una vez descubiertas, estas amenazas se pueden haber expandido ya a numerosos recursos informáticos, lo que requeriría un tiempo y un esfuerzo considerables para su eliminación. Los costes imprevistos relacionados con la eliminación de amenazas también pueden ser muy altos. La inteligencia de seguridad de red de Trend Micro y los servidores en Internet que forman parte de Trend Micro Smart Protection Network permiten identificar y responder a las amenazas de próxima generación. Virus y malware Existen decenas de miles de virus/malware, una cifra que va en aumento cada día. Aunque eran más comunes en DOS o Windows, los virus informáticos actuales pueden dañar seriamente los sistemas mediante el aprovechamiento de las vulnerabilidades de las redes corporativas, sistemas de correo electrónico y sitios Web. • Programas de broma: Programa similar a los virus que suele manipular el aspecto de los elementos de la pantalla de un equipo. • Virus/malware probables: archivos sospechosos que tienen algunas características de virus/malware. Para obtener información más detallada, consulte la enciclopedia de amenazas de Trend Micro: http://about-threats.trendmicro.com/threatencyclopedia.aspx • Rootkit: un programa (o conjunto de programas) que instala y ejecuta código en un sistema sin el consentimiento o conocimiento del usuario. Utiliza técnicas de ocultación para mantener una presencia continúa e indetectable en el equipo. Los rootkits no infectan los equipos, sino que buscan proporcionar un entorno indetectable para que el código maligno se ejecute. Se instalan en los sistemas a través de la ingeniería social, al ejecutarse el malware o simplemente al navegar por un sitio Web malicioso. Una vez que se instalan, el atacante puede llevar a cabo prácticamente cualquier función en el sistema, entre ellas el acceso remoto, la interceptación, así como la ocultación de procesos, archivos, claves de registro y canales de comunicación. 1-9 Manual del administrador de Worry-Free Business Security 8.0 • Troyano: este tipo de amenaza suele utilizar puertos para acceder a los equipos o programas ejecutables. Los troyanos no se replican sino que residen en los sistemas para realizar acciones maliciosas como abrir puertos para que accedan hackers. Las soluciones antivirus tradicionales pueden detectar y eliminar virus pero no troyanos, en especial los que ya se están ejecutando en el sistema. • Virus: programa que se replica. Para ello, el virus tiene que adjuntarse a otros archivos de programa y ejecutarse siempre que se ejecute el programa host, incluyendo: • Código malicioso de ActiveX: código que reside en páginas Web que ejecutan controles ActiveX™. • Virus de sector de arranque: virus que infecta el sector de arranque de una partición o un disco. • Infector de archivos COM y EXE: Programa ejecutable con una extensión .como .exe. • Código malicioso de Java: código vírico independiente del sistema operativo escrito o incrustado en Java™. • Virus de macro: virus codificado como una macro de aplicación que suele incluirse en un documento. • Virus de red: Un virus que se propaga por una red no es, en sentido estricto, un virus de red. Sólo algunos tipos de virus o malware, como los gusanos, pueden calificarse como virus de red. Concretamente, los virus de red utilizan los protocolos de red como TCP, FTP, UDP y HTTP y los protocolos de correo electrónico para replicarse. Generalmente no alteran los archivos del sistema ni modifican los sectores de arranque de los discos duros. En vez de ello, los virus de red infectan la memoria de los equipos cliente y los obligan a desbordar la red con tráfico, lo que puede provocar una ralentización del sistema e incluso el colapso de toda la red. Puesto que los virus de red residen en la memoria, los métodos de exploración basados en E/S no suelen detectarlos. El cortafuegos de WFBS funciona con el Patrón del cortafuegos habitual para identificar y bloquear virus de red. 1-10 Introducción a Worry-Free Business Security Standard y Advanced • Packer: programa ejecutable comprimido y/o cifrado de Windows o Linux™, a menudo un troyano. Los archivos ejecutables comprimidos hacen que los packers sean más difíciles de detectar para los productos antivirus. • Virus de prueba: Un archivo de texto inerte que actúa como un virus real y que se puede detectar con un software de exploración antivirus. Utilice los virus de prueba, como la secuencia de comandos de prueba EICAR, para comprobar que la instalación antivirus funciona correctamente. • Virus VBScript, JavaScript o HTML: virus que reside en páginas Web y que se descarga a través de un explorador. • Gusano: programa completo o conjunto de programas que propaga copias funcionales de sí mismo o de sus segmentos a otros sistemas informáticos, generalmente por correo electrónico. • Otros: Virus/Malware no clasificado en ninguno de los otros tipos de virus/ malware. Spyware y grayware Los clientes están expuestos a otras posibles amenazas además de los virus/malware. Spyware/grayware es el término referido a las aplicaciones o los archivos no clasificados como virus o troyanos pero que, igualmente, pueden afectar negativamente al rendimiento de los equipos de la red e introducir importantes riesgos legales, de seguridad y confidencialidad en la organización. Es frecuente que el spyware/grayware lleve a cabo una serie de acciones no deseadas y de carácter amenazante como, por ejemplo, molestar a los usuarios con ventanas emergentes, registrar las pulsaciones de teclas de los usuarios o exponer las vulnerabilidades de los equipos a posibles ataques. Si detecta alguna aplicación o archivo que Worry-Free Business Security no pueda detectar como grayware pero que sea sospechoso de serlo, envíelo a Trend Micro para su análisis: http://esupport.trendmicro.com/solution/en-us/1059565.aspx • Spyware: recopila datos, como nombres de usuarios y contraseñas de cuentas, y los envía a otras personas. 1-11 Manual del administrador de Worry-Free Business Security 8.0 • Adware: muestra publicidad y recopila datos, como las preferencias de navegación por Internet de un usuario, para enviar anuncios al usuario mediante el explorador Web. • Programa de marcación: modifica la configuración de Internet del equipo para forzarlo a marcar números de teléfono preconfigurados a través de un módem. Suelen ser números de servicios de pago por llamada o números internacionales que pueden ocasionar gastos importantes a la organización. • Programas de broma: provoca comportamientos anómalos en el equipo, como el cierre y la apertura de la bandeja de la unidad de CD-ROM o la visualización de numerosos cuadros de mensaje. • Herramienta de hackers: ayuda a los hackers a introducirse en los equipos. • Herramienta de acceso remoto: ayuda a los hackers a acceder y controlar de forma remota otros equipos. • Aplicación de robo de contraseñas: permite a los hackers descifrar nombres de usuario y contraseñas de cuentas. • Otros: otros tipos de programas potencialmente dañinos. Spam El spam consta de mensajes de correo electrónico no solicitados (correo electrónico basura), a menudo de tipo comercial, que se envían indiscriminadamente a varias listas de correo, usuarios individuales o grupos de noticias. Hay dos tipos de spam: mensajes de correo comercial no solicitados y mensajes de correo masivo no solicitados. Intrusiones Una intrusión es la entrada en una red o equipo a la fuerza o sin permiso. También significa eludir la seguridad de una red o equipo. 1-12 Introducción a Worry-Free Business Security Standard y Advanced Comportamiento malicioso Se entiende por comportamiento malicioso los cambios no autorizados que realiza un software en el sistema operativo, en las entradas del registro, en otro software o en los archivos y carpetas. Puntos de acceso falsos Un punto de acceso falso, también conocido como Evil Twin (gemelo malvado), es un punto de acceso Wi-Fi con fines delictivos que parece legítimo en el edificio, pero que en realidad ha sido diseñado por un hacker para escuchar a hurtadillas las comunicaciones inalámbricas. Contenido explícito/restringido en las aplicaciones de mensajería instantánea (IM) El contenido de texto que es explícito o restringido para su organización, por ejemplo, la información confidencial de la compañía, puede suponer una amenaza si se transmite a través de aplicaciones de mensajería instantánea. Incidentes de phishing El phish, o phishing, es una forma de fraude en auge que intenta engañar a los usuarios de Internet para que revelen información privada copiando un sitio Web legítimo. En una situación típica, un usuario desprevenido recibe un mensaje urgente y alarmante (con un aspecto real) que le informa de que hay un problema con su cuenta que se debe resolver de inmediato o, de lo contrario, la cuenta se cerrará. El correo electrónico incluirá una URL a un sitio web que tiene la misma apariencia que el verdadero. Simplemente es copiar un correo electrónico legítimo y un sitio Web legítimo pero cambiar lo denominado backend, que recibe los datos recopilados. El mensaje de correo le indica al usuario que inicie una sesión en el sitio y que confirme algunos datos de la cuenta. Un hacker recibe los datos que proporciona el usuario, como el nombre de inicio de sesión, la contraseña, el número de tarjeta de crédito o el número de la seguridad social. 1-13 Manual del administrador de Worry-Free Business Security 8.0 Este tipo de fraude es rápido, barato y muy fácil de realizar. También es potencialmente muy lucrativo para los delincuentes que lo practican. El phish es difícil de detectar, incluso para usuarios informáticos avanzados, y también es complicado de perseguir por parte de las autoridades competentes. Y, lo que es peor, es prácticamente imposible de juzgar legalmente. Notifique a Trend Micro cualquier sitio Web que crea que es un sitio de phishing. Consulte Enviar archivos sospechosos a Trend Micro en la página C-4 para obtener más información. Los agentes Messaging Security Agent utilizan la función antispam para detectar los incidentes de phishing. La acción que recomienda Trend Micro para los incidentes de phishing es eliminar todo el mensaje donde se ha detectado el incidente. Ataques de correo masivo Los virus/malware de correo electrónico tienen la habilidad de propagarse a través de mensajes de correo electrónico mediante la automatización de los clientes de correo electrónico del equipo infectado o propagando los virus/malware. El correo masivo supone una infección que se propaga rápidamente en un entorno Microsoft Exchange. Trend Micro diseñó el motor de exploración para detectar los comportamientos que suelen tener los ataques de correo masivo. Estos comportamientos se graban en el patrón de virus, el cual se actualiza con los servidores ActiveUpdate de Trend Micro. El Messaging Security Agent (Advanced solo) se puede activar para realizar una acción especial contra estos ataques de correo masivo cada vez que se detecta un comportamiento de este tipo. La acción definida para el comportamiento de correo masivo tiene preferencia sobre el resto de las acciones. La acción predeterminada contra los ataques de correo masivo es eliminar todo el mensaje. Por ejemplo: puede configurar Messaging Security Agent para poner en cuarentena los mensajes cuando se detecta una infección de un gusano o un troyano. También puede activar el comportamiento de correo masivo y configurar el agente para que elimine todos los mensajes en los que se detecte un comportamiento de correo masivo. El agente recibe un mensaje que contiene un gusano, por ejemplo, una variante de MyDoom. Este gusano utiliza su propio motor SMTP para enviarse a las direcciones de correo electrónico que recopila del equipo infectado. Cuando el agente detecta el gusano MyDoom y reconoce su comportamiento de correo masivo, eliminará el mensaje de 1-14 Introducción a Worry-Free Business Security Standard y Advanced correo electrónico que contiene el gusano, al contrario que la acción de cuarentena para los gusanos que no muestran un comportamiento de correo masivo. Amenazas Web Las amenazas web abarcan una amplia gama de amenazas que se originan en Internet. Las amenazas Web utilizan métodos sofisticados, con una combinación de diversos archivos y técnicas en lugar de un solo archivo o enfoque. Por ejemplo, los creadores de amenazas Web cambian constantemente la versión o variante utilizada. Debido a que la amenaza se encuentra en una ubicación fija de un sitio Web en vez de en un equipo infectado, el creador de la amenaza Web modifica constantemente su código para evitar la detección. En los últimos años, los individuos llamados hackers, programadores de virus o creadores de spam y spyware se conocen actualmente como delincuentes cibernéticos. Las amenazas Web ayudan a estos individuos a perseguir uno de los dos objetivos siguientes. El primer objetivo es robar información para venderla posteriormente. El resultado es una fuga de información confidencial en forma de pérdida de identidad. El equipo infectado también puede convertirse en una fuente de ataques de phishing u otras actividades de recopilación de información. Entre otros impactos, esta amenaza tiene el potencial de debilitar la confianza en el comercio Web, lo que daña la confianza necesaria para las transacciones de Internet. El segundo objetivo es secuestrar la potencia de la CPU de un usuario para utilizarla como medio para llevar a cabo actividades lucrativas. Dichas actividades incluyen el envío de spam, la extorsión en forma de actividades de pago por clic y los ataques de denegación de servicio distribuidos. 1-15 Capítulo 2 Introducción En este capítulo se explica cómo comenzar a usar Worry-Free Business Security. 2-1 Manual del administrador de Worry-Free Business Security 8.0 Red de Worry-Free Business Security Worry-Free Business Security consta de lo siguiente: • Security Server en la página 2-2 • Agentes en la página 2-4 • Consola Web en la página 2-4 Security Server Security Server es un componente principal de Worry-Free Business Security. El Security Server aloja la consola Web, que es la consola de administración centralizada basada en Web de Worry-Free Business Security. El Security Server instala los agentes en los clientes de la red y, en combinación con los agentes, establece una relación de agenteservidor. Security Server permite consultar información de seguridad, ver los agentes, configurar la seguridad del sistema y descargar componentes desde una ubicación centralizada. Security Server también contiene la base de datos donde se almacenan los registros de las amenazas de Internet detectadas que han comunicado los agentes. Security Server lleva a cabo las siguientes funciones importantes: • Instala, supervisa y gestiona los agentes. • Descarga los componentes que requieren los agentes. De forma predeterminada, el Security Server descarga componentes del servidor ActiveUpdate de Trend Micro y después los distribuye a los agentes. Servidor de exploración El Security Server incluye un servicio llamado "servidor de exploración", que se instala automáticamente durante la instalación del Security Server. En consecuencia, no es necesario instalarlo por separado. El servidor de exploración se ejecuta con el nombre de proceso iCRCService.exe y aparece como Trend Micro Smart Scan Service en Microsoft Management Console. 2-2 Introducción Cuando los Security Agents utilizan un método de exploración llamado smart scan, el servidor de exploración ayuda a estos agentes a realizar exploraciones con mayor eficiencia. Descripción del proceso smart scan: • El Security Agent explora el cliente para detectar amenazas de seguridad usando el Smart Scan Agent Pattern, una versión reducida del Patrón de virus tradicional. El Smart Scan Agent Pattern cuenta con la mayoría de las firmas de amenazas disponibles en el Patrón de virus. • Si el Security Agent no puede determinar el riesgo del archivo durante la exploración, puede verificar el riesgo enviando una consulta de exploración al servidor de exploración. El servidor de exploración verifica el riesgo usando un Smart Scan Pattern, que dispone de las firmas de amenazas que no están disponibles en el Smart Scan Agent Pattern. • El Security Agent almacena en caché el resultado de la consulta de exploración proporcionado por el servidor de exploración para mejorar el rendimiento de la exploración. Al alojar algunas de las definiciones de amenazas, el servidor de exploración reduce el consumo de ancho de banda de los Security Agents a la hora de descargar componentes. En lugar de descargar el Patrón de virus, los Security Agents descargan el Smart Scan Agent Pattern, cuyo tamaño es significativamente menor. Cuando los Security Agents no pueden conectar con el servidor de exploración, envían consultas de exploración a Trend Micro Smart Protection Network, que tiene la misma función que el servidor de exploración. No es posible desinstalar el servidor de exploración de forma independiente del Security Server. Si no desea usar el servidor de exploración: 1. En el equipo del Security Server, abra Microsoft Management Console y desactive la opción Trend Micro Smart Scan Service. 2. En la consola Web, cambie los Security Agents al método de exploración convencional; para ello, acceda a Preferencias > Configuración general > pestaña Equipo de sobremesa o servidor y seleccione la opción Desactivar Smart Scan Service. 2-3 Manual del administrador de Worry-Free Business Security 8.0 Agentes Los agentes protegen a los clientes frente a las amenazas de seguridad. Entre los clientes, se incluyen los equipos de sobremesa, los servidores y servidores Microsoft Exchange. Los agentes de WFBS son: TABLA 2-1. Agentes de WFBS AGENTE DESCRIPCIÓN Security Agent Protege los equipos de sobremesa y los servidores frente a amenazas de seguridad e intrusiones. Messaging Security Agent (sólo Advanced) Protege los servidores Microsoft Exchange frente a las amenazas de seguridad del correo electrónico. Cada agente informa al Security Server desde el que se instaló. Para proporcionar al Security Server la información más reciente sobre el cliente, el agente envía información de estado sobre los sucesos en tiempo real. Algunos sucesos de los que informan los agentes son la detección de amenazas, el inicio, el cierre, el comienzo de una exploración o la finalización de una actualización. Consola Web La consola Web es el punto central para supervisar los clientes a través de la red empresarial. Incluye un conjunto de valores y parámetros de configuración predeterminados que pueden configurarse en función de los requisitos y especificaciones de seguridad de la empresa. La consola Web utiliza las tecnologías de Internet estándar, como Java, CGI, HTML y HTTP. Use la consola Web para: 2-4 • Implementar agentes en clientes • Organizar agentes en grupos lógicos para realizar una configuración y administración simultáneas • Definir configuraciones de exploración antivirus y antispyware e iniciar la exploración manual en uno o varios grupos. Introducción • Recibir notificaciones y ver informes de registro sobre actividades relacionadas con amenazas • Recibir notificaciones y enviar alertas de epidemias a través de mensajes de correo electrónico, la captura SNMP o el registro de sucesos de Windows cuando se detectan virus en los clientes. • Controlar las epidemias mediante la configuración y activación de la defensa frente a epidemias Abrir la consola Web Antes de empezar Abra la consola Web desde cualquier cliente de la red que disponga de los siguientes recursos: • Internet Explorer 6.0 SP2 o posterior • Color de alta calidad con una resolución de 1.024x768 o superior Procedimiento 1. Seleccione una de las opciones siguientes para abrir la consola Web: • En el equipo que aloja el Security Server, acceda al escritorio y haga clic en el acceso directo de Worry-Free Business Security. • En el equipo en el que se aloja el Security Server, haga clic en el menú Inicio de Windows > Trend Micro Worry-Free Business Security > WorryFree Business Security. • En cualquier cliente de la red, abra un explorador Web y escriba lo siguiente en la barra de direcciones: https://{Security_Server_Name or IP Address}:{port number}/SMB Por ejemplo: https://my-test-server:4343/SMB 2-5 Manual del administrador de Worry-Free Business Security 8.0 https://192.168.0.10:4343/SMB http://my-test-server:8059/SMB http://192.168.0.10:8059/SMB Consejo Si NO utiliza SSL, escriba http en lugar de https. El puerto predeterminado para conexiones HTTP es 8059 y para conexiones HTTPS es 4343. Si el entorno no puede resolver los nombres de servidor por el valor DNS, use el nombre del servidor en lugar de la dirección IP. El explorador abrirá la pantalla de inicio de sesión de Worry-Free Business Security. 2. Escriba la contraseña y haga clic en Iniciar sesión. El explorador mostrará la pantalla de Estado de actividad. Qué hacer a continuación Compruebe lo siguiente si no puede acceder a la consola Web. ELEMENTO QUE SE DEBE DETALLES COMPROBAR Contraseña 2-6 Si ha olvidado la contraseña, puede utilizar la herramienta de restablecimiento de la contraseña de la consola para restablecer la contraseña. Acceda a la herramienta en el equipo de Security Server bajo la carpeta Trend Micro Worry-Free Business Security en el menú Inicio de Windows. Introducción ELEMENTO QUE SE DEBE DETALLES COMPROBAR Caché del explorador Si ha realizado una actualización desde una versión anterior de WFBS, es posible que los archivos almacenados en caché en el explorador Web y el servidor proxy impidan que la consola Web se cargue correctamente. Libere la memoria caché del explorador y de los servidores proxy ubicados entre Trend Micro Security Server y el cliente que utiliza para acceder a la consola Web. Certificado SSL Compruebe que el servidor Web funciona correctamente. Si utiliza SSL, compruebe que el certificado SSL sigue siendo válido. Consulte la documentación del servidor Web para obtener información detallada. 2-7 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO QUE DETALLES SE DEBE COMPROBAR Configuración del directorio virtual Puede surgir un problema con la configuración del directorio virtual si ejecuta la consola Web en un servidor IIS; en tal caso aparece el mensaje siguiente: The page cannot be displayed HTTP Error 403.1 - Forbidden: Execute access is denied. Internet Information Services (IIS) Este mensaje puede aparecer cuando se utiliza una de las siguientes direcciones para acceder a la consola: http://{nombre del servidor}/SMB/ http://{nombre del servidor}/SMB/default.htm No obstante, la consola se puede abrir sin problemas si se utiliza la siguiente dirección: http://{nombre del servidor}/SMB/console/html/cgi/ cgichkmasterpwd.exe Para resolver este problema, compruebe los derechos de ejecución del directorio virtual SMB. Para activar las secuencias de comandos: 1. Abra el administrador de Internet Information Services (IIS). 2. En el directorio virtual SMB, seleccione Propiedades. 3. Seleccione la pestaña Directorio virtual y cambie los derechos de ejecución a Scripts en lugar de none. Modifique también los derechos de ejecución del directorio virtual de instalación del cliente. Navegación por la consola Web Secciones principales de la consola Web La consola contiene las siguientes secciones principales: 2-8 Introducción SECCIÓN A. Menú principal DESCRIPCIÓN En la parte superior de la consola Web se encuentra el menú principal. En la esquina superior derecha aparece un cuadro desplegable que contiene accesos directos a las tareas que realizan con frecuencia los administradores. El enlace Fin de sesión también se proporciona para permitirle cerrar la sesión actual. B. Área de configuración C. Menú lateral (no disponible en todas las pantallas) Se sitúa debajo de los elementos de menú principales. Utilice esta área para seleccionar opciones según el elemento de menú que haya elegido. Cuando se elige un grupo de Security Agents en la pantalla Configuración de seguridad y se hace clic en Configurar, aparece una barra lateral de menús. Utilice la barra lateral para definir la configuración de seguridad y las exploraciones de los equipos de sobremesa y los servidores que pertenecen al grupo. Cuando se selecciona un Messaging Security Agent en la pantalla Configuración de seguridad (Advanced solo), puede utilizar la barra lateral para definir la configuración de seguridad y las exploraciones de los servidores Microsoft Exchange. Opciones del menú de la consola Web Puede utilizar las siguientes opciones de menú de la consola Web: 2-9 Manual del administrador de Worry-Free Business Security 8.0 OPCIONES DE DESCRIPCIÓN MENÚ Estado de actividad • Puede ver los avisos de alertas amarillas o rojas que emite Trend Micro. • Puede ver las últimas alertas para los clientes de su red. • Puede ver las últimas amenazas para los servidores Microsoft Exchange (Advanced solo). • Implemente actualizaciones en clientes que estén en riesgo Configuración de seguridad • Personalice la configuración de seguridad de los agentes. • Replique la configuración entre los grupos. Defensa frente a epidemias Envía alertas sobre el estado actual y ofrece asistencia durante el ciclo de vida de una epidemia. Exploraciones • Explora los clientes en busca de amenazas. • Programe una exploración de los clientes. • En el servidor ActiveUpdate de Trend Micro (o una fuente de actualización personalizada), busque los componentes actualizados más recientes, como las actualizaciones de patrones de virus, el motor de exploración, los componentes de limpieza y el programa del agente. • Configure una fuente de actualización. • Especifique qué agentes de seguridad van a ser agentes de actualización Actualizaciones Informes 2-10 Ofrece una función central en la estrategia de Worry-Free Business Security. Use Estado de actividad para visualizar alertas y notificaciones sobre epidemias y riesgos importantes de seguridad. Genere informes para realizar un seguimiento de las amenazas y otros sucesos relacionados con la seguridad. Introducción OPCIONES DE DESCRIPCIÓN MENÚ Preferencias Ayuda • Configure notificaciones sobre sucesos anómalos relacionados con las amenazas o el sistema. • Defina una configuración general para simplificar el mantenimiento. • Use las herramientas de gestión como ayuda para la administración de la red y los clientes. • Consulte la información sobre la licencia del producto, defina una contraseña de administrador y cree un entorno comercial seguro para el intercambio de información digital con la participación en el programa Comentarios inteligentes. • Buscar temas y contenido específicos • Ver el Manual del administrador • Obtener acceso a la información más reciente de la Base de conocimientos (KB) • Consulte información sobre seguridad, ventas, asistencia y versión. Iconos de la consola Web En la tabla siguiente se describen los iconos que aparecen en la consola Web y se explica su función. TABLA 2-2. Iconos de la consola Web ICONO DESCRIPCIÓN Icono de Ayuda. Abre la ayuda en línea. Icono Actualizar. Actualiza la vista de la pantalla actual. Icono Ampliar/Contraer sección. Muestra u oculta las secciones. Solo se puede ampliar una sección a la vez. 2-11 Manual del administrador de Worry-Free Business Security 8.0 ICONO DESCRIPCIÓN Icono Información. Muestra información relacionada con un elemento concreto. Icono Personalizar notificaciones. Muestra varias opciones de notificación. Estado de actividad Use la pantalla Estado de actividad para ver el estado de la red WFBS. Para actualizar manualmente la información de la pantalla, haga clic en Actualizar. Descripción de los iconos Los iconos le indican si se debe realizar una acción. Expanda una sección para ver más información. También puede hacer clic en los elementos de la tabla para ver detalles más 2-12 Introducción específicos. Para obtener más información sobre equipos clientes concretos, haga clic en los enlaces numerados que aparecen en las tablas. TABLA 2-3. Iconos del Estado de actividad ICONO DESCRIPCIÓN normal Solo unos pocos clientes necesitan que se les aplique una versión de revisión. La actividad de virus, spyware y otros tipos de malware de los equipos y la red representa un riesgo insignificante. Advertencia Realice una acción para evitar que aumente el riesgo para la red. Generalmente, un icono de advertencia significa que hay un número de equipos vulnerables que están comunicando demasiados incidentes de virus o malware. Cuando Trend Micro emite una alerta amarilla, la advertencia se muestra para Defensa frente a epidemias. Acción necesaria Un icono de advertencia significa que el administrador debe realizar acciones para solucionar un problema de seguridad. Security Server genera la información que aparece en Estado de actividad según los datos que ha recopilado de los clientes. Estado de la amenaza Esta sección contiene la siguiente información: TABLA 2-4. Secciones sobre el estado de las amenazas e información que se muestra SECCIÓN Defensa frente a epidemias INFORMACIÓN QUE SE MUESTRA Una posible epidemia de virus en su red. 2-13 Manual del administrador de Worry-Free Business Security 8.0 SECCIÓN Antivirus Antispyware INFORMACIÓN QUE SE MUESTRA A partir del incidente número 5, el icono de estado cambia para mostrar la advertencia. Si debe emprender acciones: • El agente de seguridad no ha realizado correctamente la acción especificada. Haga clic en el enlace de número para ver información detallada sobre los equipos en los que el Security Agent no ha podido realizar la acción. • La exploración en tiempo real está desactivada en los agentes de seguridad. Haga clic en Activar ahora para volver a iniciar la exploración en tiempo real. • La exploración en tiempo real está desactivada en Messaging Security Agent. Muestra los últimos resultados de la exploración de spyware y las entradas del registro de spyware. La columna Número de incidentes de la tabla Incidentes de amenazas de spyware muestra los resultados de la última exploración antispyware. Para obtener más información sobre un cliente concreto, haga clic en el enlace numerado de la columna Incidentes detectados de la tabla Incidentes de amenazas de spyware. Desde ahí, puede buscar información sobre las amenazas de spyware concretas que afectan a sus clientes. 2-14 Antispam Haga clic en el enlace Alto, Medio o Bajo para ir a la pantalla de configuración del servidor Microsoft Exchange seleccionado donde puede definir el umbral de la pantalla Antispam. Haga clic en Desactivado para ir a la pantalla correspondiente. Esta información se actualiza cada hora. Reputación Web Sitios Web potencialmente peligrosos determinados por Trend Micro. A partir del incidente número 200, el icono de estado cambia para mostrar la advertencia. Filtrado de URL Sitios Web restringidos determinados por el administrador. A partir del incidente número 300, el icono de estado cambia para mostrar la advertencia. Supervisión del comportamiento Infracciones de las políticas de supervisión del comportamiento. Virus de red Detección determinada por la configuración del cortafuegos. Introducción SECCIÓN Control del dispositivo INFORMACIÓN QUE SE MUESTRA Restringe el acceso a dispositivos USB y unidades de red. Estado del sistema Esta sección muestra información sobre los componentes actualizados y el espacio libre en disco en los clientes con agentes instalados. TABLA 2-5. Secciones sobre el estado del sistema e información que se muestra SECCIÓN INFORMACIÓN QUE SE MUESTRA Actualizaciones de los componentes El estado de las actualizaciones de componentes del Security Server o de la implementación de componentes actualizados en los agentes. Smart Scan Los Security Agents no se pueden conectar con el servidor de exploración. Nota El servidor de exploración es un servicio alojado en el Security Server. Sucesos inusuales del sistema Información sobre el espacio en disco de los clientes que funcionan como servidores (que ejecutan un sistema operativo de servidor). Puede personalizar los parámetros que activan la aparición de un icono Advertencia o Acción necesaria en la consola Web desde la pantalla Preferencias > Notificaciones. Estado de la licencia Esta sección muestra información sobre el estado de la licencia del producto y, más concretamente, información sobre la caducidad. Intervalos de actualización de Estado de actividad Si desea comprender con qué frecuencia se actualiza la información de Estado de actividad, consulte la siguiente tabla. 2-15 Manual del administrador de Worry-Free Business Security 8.0 TABLA 2-6. Intervalos de actualización de Estado de actividad INTERVALO DE EVENTO ACTUALIZACIÓN (MINUTOS) EL AGENTE ENVÍA REGISTROS AL SERVIDOR TRANSCURRIDOS... (MINUTOS) Defensa frente a epidemias 3 N/D Antivirus 1 Security Agent: Inmediato Messaging Security Agent: 5 2-16 Antispyware 3 1 Antispam 3 60 Reputación Web 3 Inmediato Filtrado de URL 3 Inmediato Supervisión del comportamiento 3 2 Virus de red 3 2 Control del dispositivo 3 2 Smart Scan 60 N/D Licencia 10 N/D Actualizaciones de los componentes 3 N/D Sucesos inusuales del sistema 10 Cuando se ha iniciado el servicio TmListen Capítulo 3 Instalar agentes En este capítulo se detallan los pasos necesarios para instalar los Security Agents y los Messaging Security Agents (Advanced solo). También se facilita información sobre cómo eliminar dichos agentes. 3-1 Manual del administrador de Worry-Free Business Security 8.0 Instalación del Security Agent Realice una instalación completamente nueva del Security Agent en los clientes Windows (equipos de sobremesa y servidores). Use el método de instalación que mejor se ajuste a sus necesidades. Cierre las aplicaciones que se estén ejecutando en los clientes antes de instalar el Security Agent. Si realiza la instalación mientras hay otras aplicaciones en ejecución, el proceso tardará más en completarse. Nota Para obtener información sobre cómo actualizar los Security Agents a esta versión, consulte el Manual de instalación y actualización. Requisitos de instalación del Security Agent Visite el siguiente sitio Web para obtener una lista completa de los requisitos de la instalación y los productos de terceros compatibles: http://docs.trendmicro.com/es-es/smb/worry-free-business-security.aspx Consideraciones sobre la instalación del Security Agent Antes de proceder a instalar los Security Agents, tenga en cuenta lo siguiente: • Características del agente: algunas funciones de los Security Agents no están disponibles en determinadas plataformas Windows. Para obtener más información, consulte Funciones disponibles del Security Agent en la página 3-3. • Plataformas x64: existe una versión reducida del Security Agent para plataformas x64. No obstante, actualmente no es compatible con las plataformas IA-64. • Compatibilidad con IPv6: el Security Agent puede instalarse en clientes de doble pila o que solo utilicen IPv6. Sin embargo: • 3-2 Algunos sistemas operativos de Windows en los que puede instalarse el agente no son compatibles con el direccionamiento IPv6. Instalar agentes • En algunos métodos de instalación, existen requisitos especiales para instalar correctamente el agente. Para obtener más información, consulte Instalación del Security Agent y compatibilidad con IPv6 en la página 3-6. • • Listas de excepciones: asegúrese de que las listas de excepciones para las funciones siguientes se han configurado correctamente: • Supervisión de comportamiento: agregue aplicaciones informáticas críticas a la lista Programas permitidos para evitar que el Security Agent bloquee dichas aplicaciones. Para obtener más información, consulte Configurar la supervisión del comportamiento en la página 5-22. • Reputación Web: agregue sitios Web que considere seguros a la Lista de URL permitidas para evitar que el Security Agent bloquee el acceso a los sitios Web. Para obtener más información, consulte Configurar la reputación Web para los Security Agents en la página 5-18. Directorio de instalación del agente: durante la instalación del Security Server, el programa de instalación solicita que se especifique el directorio de instalación del agente, que es $ProgramFiles\Trend Micro\Security Agent de manera predeterminada. Si desea instalar los Security Agents en un directorio diferente, especifique el nuevo directorio en Preferencias > Configuración general > Sistema > sección Ruta de instalación de Security Agent. Funciones disponibles del Security Agent Las funciones del Security Agent que están disponibles en un cliente dependen del sistema operativo de este. Tenga en cuenta las funciones no compatibles cuando instale un agente en un sistema operativo concreto. 3-3 Manual del administrador de Worry-Free Business Security 8.0 TABLA 3-1. Funciones del Security Agent SISTEMA OPERATIVO WINDOWS CARACTERÍ STICA XP 7 8 SERVER SERVER /SBS /SBS 2003 2008 SBS 2011 SERVID OR 2012 Exploració n manual, exploració n en tiempo real y exploració n programad a Sí Sí Sí Sí Sí Sí Sí Sí Firewall Sí Sí Sí Sí Sí Sí Sí Sí Reputació n Web Sí Sí Sí Sí Sí Sí Sí Sí Filtrado de URL Sí Sí Sí Sí Sí Sí Sí Sí Supervisió n del comporta miento Sí (32 bits) No (32/64 bits) Sí Sí Sí(32bit) Sí Sí Sí Control del dispositivo Sí (32 bits) Sí Sí Sí Sí Sí Sí No (64 bits) No (64 bits) Damage Cleanup Services 3-4 VISTA Sí No (64 bits) No (64 bits sin SP1) Sí (32/64 bits) Sí Sí No (64 bits) No (64 bits sin SP1) Sí Sí(32bit) Sí Sí Sí Instalar agentes SISTEMA OPERATIVO WINDOWS CARACTERÍ STICA Filtrado de contenido de IM XP Sí VISTA Sí 7 Sí 8 Sí SERVER SERVER /SBS /SBS 2003 2008 SBS 2011 SERVID OR 2012 Sí Sí Sí Sí Aplicaciones de MI compatibles: • AIM 6 • ICQ 6 • MSN 7.5, 8.1 • Yahoo! Messenger 8.1 POP3 mail scan Sí Sí Sí Sí Sí Sí Sí Sí Actualizaci ones manuales y programad as Sí Sí Sí Sí Sí Sí Sí Sí Agente de actualizaci ón Sí Sí Sí Sí Sí Sí Sí Sí Plug-in Manager del agente Sí Sí Sí Sí Sí Sí Sí Sí Comentari os inteligente s Sí Sí Sí Sí Sí Sí Sí Sí 3-5 Manual del administrador de Worry-Free Business Security 8.0 SISTEMA OPERATIVO WINDOWS CARACTERÍ STICA Barra de herramient as antispam de Trend Micro XP Sí (32 bits) VISTA Sí 7 Sí 8 Sí SERVER SERVER /SBS /SBS 2003 2008 SBS 2011 SERVID OR 2012 No No No No No (64 bits) Clientes de correo electrónico compatibles: • Microsoft Outlook 2003, 2007, 2010 • Outlook Express 6.0 con Service Pack 2 o posterior • Windows Mail 6.0 • Windows Live Mail 2011 HouseCall Sí Sí Sí Sí Sí Sí Sí Sí Herramien ta de diagnóstic o de casos Sí Sí Sí Sí Sí Sí Sí Sí Asesor de Wi-Fi Sí Sí Sí Sí No No No No Instalación del Security Agent y compatibilidad con IPv6 En este tema se indican algunas consideraciones que se deben tener en cuenta al instalar el Security Agent en clientes de doble pila o que solo utilicen IPv6. Sistema operativo El Security Agent solo se puede instalar en los siguientes sistemas operativos que sean compatibles con el direccionamiento IPv6: 3-6 Instalar agentes • Windows Vista (todas las ediciones) • Windows Server 2008 (todas las ediciones) • Windows 7 (todas las ediciones) • Windows SBS 2011 • Windows 8 (todas las ediciones) • Windows Server 2012 (todas las ediciones) Visite el siguiente sitio Web para obtener una lista completa de los requisitos del sistema: http://docs.trendmicro.com/es-es/smb/worry-free-business-security.aspx Métodos de instalación admitidos Se pueden utilizar todos los métodos de instalación disponibles para instalar el Security Agent en los clientes de doble pila o que solo utilicen IPv6. En algunos métodos de instalación, existen requisitos especiales para instalar correctamente el Security Agent. TABLA 3-2. Métodos de instalación y compatibilidad con IPv6 MÉTODO DE INSTALACIÓN Página Web interna e instalación mediante notificación por correo electrónico REQUISITOS/CONSIDERACIONES Si está realizando la instalación en un cliente que solo utilice IPv6, el Security Server ha de ser de doble pila o debe utilizar únicamente IPv6; además, su nombre de host o dirección IPv6 deben formar parte de la URL. Para los clientes de doble pila, la dirección IPv6 que se muestra en la pantalla de estado de la instalación depende de la opción que se haya seleccionado en la sección Dirección IP preferida de Preferencias > Configuración general > Equipo de sobremesa/servidor. Vulnerability Scanner e instalación remota Un Security Server que solo utilice IPv6 no puede instalar el Security Agent en clientes que utilicen únicamente IPv4. De forma similar, un Security Server que solo utilice IPv4 no puede instalar el agente en clientes que utilicen únicamente IPv6. 3-7 Manual del administrador de Worry-Free Business Security 8.0 Direcciones IP del Security Agent Un Security Server instalado en un entorno que sea compatible con el direccionamiento IPv6 puede administrar los siguientes Security Agents: • Un Security Server instalado en un cliente que solo use IPv6 puede gestionar Security Agents que solo usen IPv6. • Un Security Server instalado en un cliente de doble pila y que tenga asignadas direcciones IPv4 e IPv6 puede administrar Security Agents de doble pila y que solo utilicen IPv6 o IPv4. Después de instalar o actualizar los Security Agents, estos se registran en el Security Server mediante una dirección IP. • Los Security Agents que solo utilizan IPv6 se registran mediante su dirección IPv6. • Los Security Agents que solo utilizan IPv4 se registran mediante su dirección IPv4. • Los Security Agents de doble pila se registran mediante una dirección IPv4 o IPv6. Puede elegir la dirección IP que esos agentes usarán mediante la sección Dirección IP preferida de Preferencias > Configuración general > pestaña Equipo de sobremesa/servidor. Métodos de instalación del Security Agent En esta sección se ofrece un resumen de los diferentes métodos que existen para realizar una instalación nueva del Security Agent. Todos los métodos de instalación requieren derechos de administrador local en los clientes de destino. Si está instalando Security Agents y desea activar la compatibilidad con IPv6, lea las directrices que aparecen en Instalación del Security Agent y compatibilidad con IPv6 en la página 3-6. 3-8 Instalar agentes TABLA 3-3. Métodos de instalación CONSIDERACIONES SOBRE LA IMPLEMENTACIÓN MÉTODO DE INSTALACIÓN Y IMPLEME ADMINISTR COMPATIBILIDAD CON NTACIÓN ACIÓN SISTEMAS OPERATIVOS DE LA CENTRALIZ WAN ADA página Web interna REQUIER PRECIS E LA A IMPLEME INTERVEN RECUR NTACIÓN BANDA CIÓN DEL SOS DE EN MASA CONSUMIDO USUARIO TI ANCHO DE Sí Sí Sí No No Reducido, si se programa Sí Sí Sí No No Alto (si las instalacione s se inician simultánea mente) No Sí No Sí Sí Reducido, si se programa Compatible con todos los sistemas operativos Notificación por correo electrónico Compatible con todos los sistemas operativos Instalación remota Compatible con todos los sistemas operativos, salvo en: • Windows Vista Home Basic y Home Premium Editions • Windows XP Home Edition • Windows 7 Home Basic/ Home Premium 3-9 Manual del administrador de Worry-Free Business Security 8.0 CONSIDERACIONES SOBRE LA IMPLEMENTACIÓN MÉTODO DE INSTALACIÓN Y IMPLEME ADMINISTR COMPATIBILIDAD CON NTACIÓN ACIÓN SISTEMAS OPERATIVOS DE LA CENTRALIZ WAN ADA Configuración de inicio de sesión REQUIER PRECIS E LA A IMPLEME INTERVEN RECUR NTACIÓN BANDA CIÓN DEL SOS DE EN MASA CONSUMIDO USUARIO TI No Sí No Sí Sí Alto (si las instalacione s se inician simultánea mente) Sí No Sí Sí No Reducido, si se programa No Sí No Sí Sí Reducido, si se programa Compatible con todos los sistemas operativos Client Packager Compatible con todos los sistemas operativos Trend Micro Vulnerability Scanner (TMVS) ANCHO DE Compatible con todos los sistemas operativos, salvo en: • Windows Vista Home Basic y Home Premium Editions • Windows XP Home Edition • Windows 7 Home Basic/ Home Premium En implementaciones de sitio único y en organizaciones donde las políticas de TI se aplican de forma estricta, los administradores de TI pueden optar por implementar usando las opciones Instalación remota o Configuración de inicio de sesión. 3-10 Instalar agentes En organizaciones donde las políticas de TI se aplican de forma menos estricta, Trend Micro recomienda instalar los Security Agents utilizando la página Web interna. Sin embargo, este método requiere que los usuarios finales que van a instalar el Security Agent dispongan de derechos de administrador. La instalación remota es eficaz en redes con Active Directory. Por lo tanto, si su red no hace uso de Active Directory, utilice la página Web interna. Instalar desde la página Web interna Antes de empezar Para realizar la instalación desde la página Web interna, se requiere lo siguiente: ELEMENTO QUE REQUISITO SE DEBE COMPROBAR Security Server Cliente de destino Security Server debe estar instalado en: • Windows XP, Vista, 7, 8, Server 2003/2008/2012 o SBS 2011 • Con Internet Information Server (IIS) 6.0, 7.0, 7.5, 8.0 o Apache 2.0.6x • El cliente de destino debe contar con Internet Explorer 6.0 o una versión posterior. • Los usuarios deben usar una cuenta de administrador para iniciar sesión en el cliente. Nota Si el cliente de destino ejecuta Windows 7, active la cuenta de administrador integrada en primer lugar. Windows 7 desactiva la cuenta de administrador integrada de manera predeterminada. Para obtener más información, consulte el sitio de asistencia de Microsoft (http://technet.microsoft.com/es-es/library/ dd744293%28WS.10%29.aspx). 3-11 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO QUE REQUISITO SE DEBE COMPROBAR Cliente de destino en el que se ejecuta Windows XP, Vista, Server 2008, 7, 8, SBS 2011 o Server 2012 Los usuarios deben llevar a cabo los siguientes pasos: 1. Inicie Internet Explorer y añada la URL del Security Server (por ejemplo, https://<Nombre del Security Server>:4343/SMB/ console/html/client) a la lista de sitios de confianza. En Windows XP, acceda a Herramientas > Opciones de Internet > pestaña Seguridad para acceder a la lista; a continuación, seleccione el icono Sitios de confianza y haga clic en Sitios. 2. Modifique la configuración de seguridad de Internet Explorer para activar Pedir intervención del usuario automática para controles ActiveX. En Windows XP, vaya a la pestaña Herramientas > Opciones de Internet > Seguridad y, a continuación, haga clic en Nivel personalizado. Cliente de destino que ejecuta Windows Vista Los usuarios deben activar el Modo protegido. Para activar este modo en Internet Explorer, haga clic en Herramientas > Opciones de Internet > pestaña Seguridad. IPv6 Si cuenta con un entorno mixto formado por clientes de doble pila y clientes que solo usan IPv4 o IPv6, el Security Server debe tener direcciones IPv4 e IPv6, de forma que todos los clientes puedan conectarse a la página Web interna en el Security Server. Envíe las siguientes instrucciones a los usuarios para que instalen el Security Agent desde la página Web interna. Para enviar una notificación de instalación a través de correo electrónico, consulte Instalar mediante notificación por correo electrónico en la página 3-36. Procedimiento 1. Inicie sesión en el cliente con una cuenta de administrador. 2. Abra una ventana de Internet Explorer y escriba una de las siguientes opciones: • Security Server con SSL: https://<Nombre del Security Server o dirección IP>: 4343/SMB/console/html/client 3-12 Instalar agentes • Security Server sin SSL: http://<Nombre del Security Server o dirección IP>: 8059/SMB/console/html/client 3. Haga clic en Instalar ahora para empezar a instalar el agente de seguridad. Comienza la instalación. Cuando el sistema lo solicite, permita la instalación de controles ActiveX. El icono del Security Agent aparece en la barra de herramientas de Windows después de la instalación. Nota Para ver la lista de iconos que se muestran en la barra de tareas de Windows, consulte Comprobar el estado del Security Agent en la página A-2. Qué hacer a continuación Si los usuarios indican que no pueden realizar la instalación desde la página Web interna, pruebe los siguientes métodos. • Verifique que existe comunicación entre el cliente y el servidor mediante los comandos ping y telnet. • Compruebe si el protocolo TCP/IP está activado y configurado correctamente en el cliente. • Si utiliza un servidor proxy para la comunicación entre el cliente y el servidor, compruebe que la configuración del proxy se haya realizado correctamente. • En el explorador Web, elimine los complementos de Trend Micro y el historial de exploración. Instalar con Configuración de secuencia de comandos de inicio de sesión Conectar La herramienta Configuración de inicio de sesión automatiza la instalación del Security Agent en clientes sin protección cuando estos inician una sesión en la red. Configuración de inicio de sesión añade el programa AutoPcc.exe a la secuencia de comandos de inicio de sesión del servidor. 3-13 Manual del administrador de Worry-Free Business Security 8.0 AutoPcc.exe instala el Security Agent en equipos sin protección y actualiza los componentes y archivos del programa. Los clientes deben formar parte del dominio para poder utilizar AutoPcc a través de la secuencia de comandos de inicio de sesión. Si ya tiene una secuencia de comandos de inicio de sesión, Configuración de inicio de sesión añade un comando que ejecuta AutoPcc.exe. De lo contrario, se creará un archivo de lotes denominado ofcscan.bat que contiene el comando necesario para ejecutar AutoPcc.exe. Configuración de secuencia de comandos de inicio de sesión añade el texto siguiente al final de la secuencia de comandos: \\<Server_name>\ofcscan\autopcc Donde: • <Server_name> es el nombre del equipo o la dirección IP del equipo del Security Server. • "ofcscan" es el nombre de la carpeta compartida en el Security Server. • "autopcc" es el enlace al archivo ejecutable de autopcc que instala el Security Agent. Ubicación de la secuencia de comandos de inicio de sesión en todas las versiones de Windows Server (a través de un directorio compartido de inicio de sesión en red): \\Windows server\system drive\windir\sysvol\domain\scripts \ofcscan.bat Procedimiento 1. En el equipo que utilizó para ejecutar la instalación del servidor, abra <Carpeta de instalación del Security Server>\PCCSRV\Admin. 2. Haga doble clic en SetupUsr.exe. Se cargará la utilidad Configuración de inicio de sesión. La consola muestra un árbol en el que aparecen todos los dominios de la red. 3. 3-14 Busque el servidor cuya secuencia de comandos de inicio de sesión desee modificar, márquelo y haga clic en Seleccionar. Asegúrese de que el servidor es un Instalar agentes controlador de dominio principal y que dispone de derechos de administrador para acceder al servidor. Configuración de secuencia de comandos de inicio de sesión le solicitará un nombre de usuario y una contraseña. 4. Escriba el nombre de usuario y la contraseña. Haga clic en Aceptar para continuar. Aparecerá la ventana Selección de usuario. La lista Usuarios muestra los perfiles de los usuarios que inician la sesión en el servidor. La lista Usuarios seleccionados muestra los perfiles de usuario cuya secuencia de comandos de inicio de sesión desea modificar. 5. Para modificar la secuencia de comandos de inicio de sesión de un perfil de usuario, seleccione dicho perfil en la lista de usuarios y, a continuación, haga clic en Agregar. 6. Para modificar la secuencia de comandos de inicio de sesión de todos los usuarios, haga clic en Agregar todos. 7. Para excluir un perfil de usuario seleccionado con anterioridad, seleccione el nombre correspondiente en la lista Usuarios seleccionados y haga clic en Eliminar. 8. Para restablecer las selecciones, haga clic en Eliminar todos. 9. Haga clic en Aplicar cuando todos los perfiles de usuario de destino se encuentren en la lista Usuarios seleccionados. Aparecerá un mensaje en el que se indica que ha modificado correctamente las secuencias de comando de inicio de sesión del servidor. 10. Haga clic en Aceptar. Configuración de inicio de sesión vuelve a la pantalla inicial. 11. Para cerrar la utilidad Configuración de inicio de sesión, haga clic en Salir. Instalar con Client Packager Client Packager crea un paquete de instalación que se puede enviar a los usuarios a través de soportes convencionales, como puede ser un CD-ROM. Los usuarios ejecutan 3-15 Manual del administrador de Worry-Free Business Security 8.0 el paquete en el cliente para instalar o actualizar el Security Agent y actualizar los componentes. Client Packager es especialmente útil en estos casos: • Cuando se implementa el Security Agent o los componentes en clientes situados en oficinas remotas con ancho de banda reducido. • Si el entorno donde trabaja está sujeto a restricciones de conexión a Internet, como en el caso de una LAN cerrada o cuando no existe conexión alguna a Internet. Los Security Agents que se instalan mediante Client Packager envían informes al servidor en el que se creó el paquete. Procedimiento 1. En el equipo del Security Server, acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\ClientPackager. 2. Haga doble clic en ClnPack.exe. Se abrirá la consola de Client Packager. 3. Seleccione el sistema operativo para el que desea crear el paquete. Implemente el paquete solo en clientes en los que se ejecute este tipo de sistema operativo. Cree otro paquete para implementarlo en un sistema operativo de otro tipo. 4. Seleccione el método de exploración para el paquete. Para obtener información detallada acerca de los métodos de exploración, consulte Métodos de exploración en la página 5-3. Los componentes incluidos en el paquete dependen del método de exploración seleccionado. En smart scan, se incluyen todos los componentes, excepto el patrón de virus. En las exploraciones convencionales, se incluyen todos los componentes, excepto Smart Scan Agent Pattern. 5. 3-16 Seleccione el tipo de paquete que desee crear. Instalar agentes TABLA 3-4. Tipos de paquete del cliente TIPO DE PAQUETE Configuración DESCRIPCIÓN Seleccione Configuración para crear el paquete como un archivo MSI adecuado para el formato de paquetes de Microsoft Installer. El paquete instala el programa del Security Agent con los componentes que se encuentren disponibles en el Security Server en ese momento. Si el cliente de destino tiene instalada una versión previa del Security Agent y desea actualizarla, cree el archivo MSI a partir del Security Server que gestiona el agente. De lo contrario, el agente no se actualizará. Actualización Seleccione Actualizar para crear un paquete que contenga los componentes disponibles en el Security Server en ese momento. El paquete se creará como un archivo ejecutable. Use este paquete si surgen problemas al actualizar los componentes en el cliente en el que está instalado el Security Agent. 6. Haga clic en Modo silencioso para crear un paquete que se instala en el cliente en segundo plano. El procedimiento pasa desapercibido para el usuario del cliente y no se muestra la ventana de estado de la instalación. Active esta opción si desea implementar el paquete de forma remota en el cliente. 7. Haga clic en Desactivar exploración previa (solo para instalación nueva) si no desea explorar el cliente en busca de amenazas antes de instalar el Security Agent. Haga esto si tiene la seguridad de que el cliente está libre de amenazas. En caso de que esta opción esté activada, el programa de instalación busca virus y malware en las zonas más vulnerables del equipo, entre las que se incluyen las siguientes: 8. • El área y el directorio de arranque (para virus de arranque) • Carpeta Windows • La carpeta Archivos de programa Junto a Archivo de origen, compruebe que la ubicación del archivo ofcscan.ini es correcta. Para modificar la ruta, haga clic en ( ) y busque el 3-17 Manual del administrador de Worry-Free Business Security 8.0 archivo ofcscan.ini. De forma predeterminada, este archivo está en <Carpeta de instalación del servidor>\PCCSRV. 9. En Archivo de salida, haga clic en ( ), especifique la ubicación donde desee crear el paquete y escriba el nombre de archivo del paquete (por ejemplo, ClientSetup.exe). 10. Haga clic en Crear. Cuando Client Packager cree el paquete, aparecerá el mensaje «Paquete creado correctamente». Localice el paquete en el directorio que haya especificado en el paso anterior. Qué hacer a continuación Implemente el paquete en los clientes. Requisitos del cliente: • 1 GB de espacio libre en disco si el método de exploración del paquete es la exploración convencional y 500 MB si se trata de smart scan. • Windows Installer 3.0 (para ejecutar un paquete MSI) Directrices para la implementación del paquete: • Envíe el paquete a los usuarios y pídales que lo ejecuten haciendo doble clic en el archivo (.msi o .exe). Nota Envíe el paquete solo a los usuarios cuyo Security Agent informará al servidor en el que se creó el paquete. • Si tiene usuarios que ejecutarán el paquete .exe en equipos con Windows Vista, 7, 8, Server 2008, SBS 2011 o Server 2012, indíqueles que hagan clic con el botón derecho del ratón en el archivo .exe y que seleccionen Ejecutar como administrador. • Si está usando Active Directory, puede implementar automáticamente el Security Agent en todos los clientes de forma simultánea con el archivo .msi, en lugar de 3-18 Instalar agentes indicar a los usuarios que instalen ellos mismos el Security Agent. Use Configuración del equipo en lugar de Configuración del usuario para que el Security Agent se pueda instalar con independencia de qué usuario inicie sesión en el cliente. • Si un Security Agent recién instalado no se puede conectar con el Security Server, el Security Agent conservará la configuración predeterminada. Cuando el Security Agent se conecte con el Security Server, obtendrá la configuración para su grupo en la consola Web. • Si tiene problemas al actualizar el Security Agent con Client Packager, Trend Micro recomienda que desinstale primero la versión anterior del Security Agent y, a continuación, que instale la nueva versión. Para obtener instrucciones sobre la desinstalación, consulte Eliminar agentes en la página 3-42. Instalar con Instalación remota Antes de empezar Instale el Security Agent de forma remota en uno o varios clientes conectados a la red. Para instalar con Instalación remota, se deben cumplir los siguientes requisitos: 3-19 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO QUE REQUISITO SE DEBE COMPROBAR Cliente de destino • Use una cuenta de administrador para iniciar sesión en cada cliente de destino. Nota Si el cliente de destino ejecuta Windows 7, active la cuenta de administrador integrada en primer lugar. Windows 7 desactiva la cuenta de administrador integrada de manera predeterminada. Para obtener más información, consulte el sitio de asistencia de Microsoft (http://technet.microsoft.com/es-es/library/ dd744293%28WS.10%29.aspx). • 3-20 El cliente de destino no debe tener Security Server instalado. La instalación remota no instala el Security Agent en un cliente en el que ya se esté ejecutando el Security Server. Instalar agentes ELEMENTO QUE REQUISITO SE DEBE COMPROBAR Cliente de destino con Windows Vista, 7, 8, Server 2008/2012 o SBS 2011 Realice las siguientes tareas: 1. En el cliente, active temporalmente la función Compartir archivos e impresoras. Nota si la normativa de seguridad de su empresa es desactivar el Firewall de Windows, continúe con el paso 2 para iniciar el servicio Registro remoto. 2. a. Abra el Firewall de Windows desde el Panel de control. b. Haga clic en Permitir un programa a través del Firewall de Windows. Si el programa le pide una contraseña de administrador o confirmación, escriba la contraseña correspondiente o confirme. Aparecerá la ventana de configuración del Firewall de Windows. c. En la lista Programa o puerto de la pestaña Excepciones, compruebe que la casilla Compartir archivos e impresora está activada. d. Haga clic en Aceptar. Inicie temporalmente el servicio Registro remoto. a. Abra la Consola de administración de Microsoft. Nota Escriba services.msc en la ventana Ejecutar para abrir Microsoft Management Console. b. Haga clic con el botón derecho del ratón en Registro remoto y seleccione Iniciar. 3. Si es necesario, restaure la configuración original después de instalar los Security Agents en el cliente Windows Vista. 4. Desactive el control de acceso para usuarios. 3-21 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO QUE REQUISITO SE DEBE COMPROBAR IPv6 Un Security Server de doble pila puede instalar el Security Agent en cualquier cliente. Un Security Server que solo use IPv6 únicamente podrá instalar el Security Agent en clientes de doble pila o que solo usen IPv6. Procedimiento 1. En la consola Web, acceda a Configuración de seguridad > Agregar. Se abrirá una nueva pantalla. 2. Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo. 3. Seleccione Instalación remota en la sección Método. 4. Haga clic en Siguiente. Aparecerá una nueva pantalla. 5. En el cuadro Grupos y equipos de la lista de clientes, seleccione un cliente y, a continuación, haga clic en Agregar. Se le pedirá el nombre de usuario y la contraseña del cliente. 6. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Iniciar sesión. El cliente aparecerá en el cuadro de lista Equipos seleccionados. 7. Repita estos pasos hasta que aparezcan todos los clientes en el cuadro de lista Equipos seleccionados. 8. Haga clic en Instalar. Aparecerá un cuadro de confirmación. 9. Haga clic en Sí para confirmar que desea instalar el agente en los clientes. Aparecerá una pantalla en la que se indica el progreso a medida que el programa vaya copiando los archivos del Security Agent en cada cliente. Cuando el Security Server termine la instalación en un cliente, se indicará el estado de la instalación en el campo Resultado del cuadro de lista Equipos 3-22 Instalar agentes seleccionados y, junto al nombre del cliente en cuestión, aparecerá una marca de verificación verde. Qué hacer a continuación Si la instalación mediante la función de Instalación remota no tiene éxito, realice estas tareas: • Verifique que existe comunicación entre el cliente y el servidor mediante los comandos ping y telnet. • Compruebe si el protocolo TCP/IP está activado y configurado correctamente en el cliente. • Si utiliza un servidor proxy para la comunicación entre el cliente y el servidor, compruebe que la configuración del proxy se haya realizado correctamente. • En el explorador Web, elimine los complementos de Trend Micro y el historial de exploración. Instalar con Vulnerability Scanner Antes de empezar Realice exploraciones de vulnerabilidades para detectar las soluciones antivirus instaladas, buscar clientes en la red que no dispongan de protección e instalar Security Agents en dichos clientes. Para instalar Vulnerability Scanner se deben cumplir los siguientes requisitos: ELEMENTO QUE SE DEBE REQUISITO COMPROBAR Dónde se debe iniciar Vulnerability Scanner Vulnerability Scanner se puede iniciar en el Security Server o en cualquier cliente de la red. El cliente no debería estar ejecutando Terminal Server. 3-23 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO QUE REQUISITO SE DEBE COMPROBAR Cliente de destino • El cliente de destino no debe tener Security Server instalado. Vulnerability Scanner no instala el Security Agent en un cliente en el que ya se esté ejecutando el Security Server. • Los usuarios deben usar una cuenta de administrador para iniciar sesión en el cliente. Nota Si el cliente de destino ejecuta Windows 7, active la cuenta de administrador integrada en primer lugar. Windows 7 desactiva la cuenta de administrador integrada de manera predeterminada. Para obtener más información, consulte el sitio de asistencia de Microsoft (http://technet.microsoft.com/es-es/library/ dd744293%28WS.10%29.aspx). Hay varios modos de ejecutar exploraciones de vulnerabilidades. • Ejecución de una exploración de vulnerabilidades manual en la página 3-24 • Ejecución de una exploración DHCP en la página 3-26 • Configuración de una exploración de vulnerabilidades programada en la página 3-29 Ejecución de una exploración de vulnerabilidades manual Permite ejecutar exploraciones de vulnerabilidades a demanda. Procedimiento 1. 3-24 Ejecute el Vulnerability Scanner. Instalar agentes PARA INICIAR EL VULNERABILITY SCANNER EN: Security Server Un cliente en la red PASOS a. Acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS. b. Haga doble clic en TMVS.exe. a. En el Security Server, acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin \Utility. b. Copie la carpeta TMVS en el otro cliente. c. En el otro cliente, abra la carpeta TMVS y haga doble clic en TMVS.exe. 2. Vaya a la sección Exploración manual. 3. Escriba el intervalo de direcciones IP de los clientes que desee comprobar. a. Escriba un intervalo de direcciones IPv4. Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv4 si se ejecuta en un cliente de doble pila o que solo utilice IPv4. Vulnerability Scanner sólo admite un rango de direcciones IP de clase B; por ejemplo, de 168.212.1.1 a 168.212.254.254. b. Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6. Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv6 si se ejecuta en un cliente de doble pila o que solo utilice IPv6. 4. Haga clic en Settings. Aparecerá la pantalla Configuración. 3-25 Manual del administrador de Worry-Free Business Security 8.0 5. Configure los parámetros de la exploración de vulnerabilidades. Para obtener más información, consulte Configuración de la exploración de vulnerabilidades en la página 3-31. 6. Haga clic en Aceptar. Se cerrará la pantalla Configuración. 7. Haga clic en Iniciar. Los resultados de la exploración de vulnerabilidades aparecen en la tabla Resultados de la pestaña Exploración manual. Nota La información de la dirección MAC no aparece en la tabla Resultados si el equipo ejecuta Windows Server 2008. 8. Para guardar los resultados en un archivo de valores separados por comas (CSV), haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el nombre del archivo y, a continuación, haga clic en Guardar. Ejecución de una exploración DHCP Para ejecutar exploraciones de vulnerabilidades en clientes que solicitan direcciones IP desde un servidor DHCP: Vulnerability Scanner utiliza el puerto de escucha 67, que es el puerto de escucha del servidor DHCP para solicitudes DHCP. Si detecta una solicitud DHCP desde un cliente, se ejecutará una exploración de vulnerabilidades en dicho cliente. Nota Vulnerability Scanner no puede detectar solicitudes DHCP si se ha iniciado en Windows Server 2008 o Windows 7. 3-26 Instalar agentes Procedimiento 1. Defina los valores de configuración de DHCP en el archivo TMVS.ini que se encuentra en la siguiente carpeta: <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS. TABLA 3-5. Configuración de DHCP en el archivo TMVS.ini CONFIGURACIÓN DESCRIPCIÓN DhcpThreadNum=x Especifique el número de amenaza para el modo DHCP. El mínimo es 3 y el máximo 100. El valor predeterminado es 3. DhcpDelayScan=x Se trata del tiempo de demora en segundos antes de comprobar si en el equipo solicitante se encuentra instalado algún software antivirus. El mínimo es 0 (sin tiempo de espera) y el máximo 600. El valor predeterminado es 60. LogReport=x 0 desactiva el inicio de sesión y 1 lo activa. Vulnerability Scanner envía los resultados de la exploración al servidor de WFBS. Los registros se muestran en la pantalla Registros de sucesos del sistema de la consola Web. 2. OsceServer=x Se trata del nombre DNS o de la dirección IP del servidor de WFBS. OsceServerPort=x Se trata del puerto del servidor Web del servidor de WFBS. Ejecute el Vulnerability Scanner. PARA INICIAR EL VULNERABILITY SCANNER EN: Security Server PASOS a. Acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS. b. Haga doble clic en TMVS.exe. 3-27 Manual del administrador de Worry-Free Business Security 8.0 PARA INICIAR EL VULNERABILITY SCANNER EN: Un cliente en la red 3. PASOS a. En el Security Server, acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin \Utility. b. Copie la carpeta TMVS en el otro cliente. c. En el otro cliente, abra la carpeta TMVS y haga doble clic en TMVS.exe. Junto a la sección Exploración manual, haga clic en Configuración. Aparecerá la pantalla Configuración. 4. Configure los parámetros de la exploración de vulnerabilidades. Para obtener más información, consulte Configuración de la exploración de vulnerabilidades en la página 3-31. 5. Haga clic en Aceptar. Se cerrará la pantalla Configuración. 6. En la tabla de resultados, haga clic en la pestaña DHCP Scan (Exploración de DHCP). Nota La pestaña DHCP Scan no está disponible en equipos en los que se ejecute Windows Server 2008 y Windows 7. 7. Haga clic en DHCP Start. Vulnerability Scanner comienza escuchando las solicitudes DHCP y realiza la exploración de vulnerabilidades en los clientes a medida que estos inician sesión en la red. 8. 3-28 Para guardar los resultados en un archivo de valores separados por comas (CSV), haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el nombre del archivo y, a continuación, haga clic en Guardar. Instalar agentes Configuración de una exploración de vulnerabilidades programada Las exploraciones de vulnerabilidades se ejecutan conforme a una programación. Procedimiento 1. Ejecute el Vulnerability Scanner. PARA INICIAR EL VULNERABILITY SCANNER EN: Security Server Un cliente en la red PASOS a. Acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS. b. Haga doble clic en TMVS.exe. a. En el Security Server, acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin \Utility. b. Copie la carpeta TMVS en el otro cliente. c. En el otro cliente, abra la carpeta TMVS y haga doble clic en TMVS.exe. 2. Vaya a la sección Exploración programada. 3. Haga clic en Agregar/editar. Aparecerá la pantalla Exploración programada. 4. Escriba un nombre para la exploración de vulnerabilidades programada. 5. Escriba el intervalo de direcciones IP de los equipos que desee comprobar. a. Escriba un intervalo de direcciones IPv4. 3-29 Manual del administrador de Worry-Free Business Security 8.0 Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv4 si se ejecuta en un equipo host de doble pila o de solo IPv4 que tenga una dirección IPv4 disponible. Vulnerability Scanner sólo admite un rango de direcciones IP de clase B; por ejemplo, de 168.212.1.1 a 168.212.254.254. b. Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6. Nota Vulnerability Scanner solo puede realizar consultas en un intervalo de direcciones IPv6 si se ejecuta en un equipo host de doble pila o de solo IPv6 que tenga una dirección IPv6 disponible. 6. Especifique la hora de inicio con un formato horario de 24 horas y, después, seleccione con qué frecuencia se ejecutará la exploración. Las opciones entre las que puede elegir son diariamente, semanalmente o mensualmente. 7. Seleccione Usar la configuración actual si ha definido y quiere usar la configuración de exploración de vulnerabilidades manual. Para obtener información detallada acerca de la configuración de la exploración de vulnerabilidades manual, consulte Ejecución de una exploración de vulnerabilidades manual en la página 3-24. Si no ha especificado una configuración de la exploración de vulnerabilidades manual o si quiere utilizar otra configuración, seleccione Modificar la configuración y, después, haga clic en Configuración. Aparecerá la pantalla Configuración. Defina la configuración de las exploraciones y haga clic en Aceptar. Para obtener más información, consulte Configuración de la exploración de vulnerabilidades en la página 3-31. 8. Haga clic en Aceptar. Se cierra la pantalla Exploración programada. La exploración de vulnerabilidades programada que haya creado aparecerá en la sección Exploración programada. Si ha activado las notificaciones, Vulnerability Scanner le enviará los resultados de la exploración de vulnerabilidades programada. 9. 3-30 Si desea ejecutar la exploración de vulnerabilidades programada inmediatamente, haga clic en Ejecutar ahora. Instalar agentes Los resultados de la exploración de vulnerabilidades aparecen en la tabla Resultados de la pestaña Exploración programada. Nota La información de la dirección MAC no aparece en la tabla Resultados si el equipo ejecuta Windows Server 2008. 10. Para guardar los resultados en un archivo de valores separados por comas (CSV), haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el nombre del archivo y, a continuación, haga clic en Guardar. 11. Para detener las exploraciones de vulnerabilidades programadas, acceda a la sección Exploraciones programadas, seleccione la exploración programada que desee y haga clic en Eliminar. Configuración de la exploración de vulnerabilidades Establezca las siguientes configuraciones a la hora de realizar exploraciones de vulnerabilidades. Para obtener información sobre los distintos tipos de exploraciones de vulnerabilidades, consulte Instalar con Vulnerability Scanner en la página 3-23. 3-31 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Consulta del producto DESCRIPCIÓN E INSTRUCCIONES Vulnerability Scanner puede comprobar la presencia de software de seguridad en clientes de destino. 1. Seleccione el software de seguridad que se debe comprobar. 2. Vulnerability Scanner utiliza los puertos predeterminados que se muestran en pantalla para comprobar el software. Si el administrador de software ha cambiado los puertos predeterminados, será necesario efectuar los cambios oportunos; de lo contrario, Vulnerability Scanner no detectará el software. 3. Para Norton Antivirus Corporate Edition, se puede cambiar la configuración de tiempo de espera haciendo clic en Configuración. Configuración de consultas de otros productos Para definir el número de clientes que Vulnerability Scanner comprobará simultáneamente a fin de determinar si disponen de software de seguridad: 1. Vaya a la <Carpeta de instalación del servidor> \PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un editor de texto como el Bloc de notas. 2. Para definir el número de clientes comprobados: • Para las exploraciones de vulnerabilidades manuales, cambie el valor de ThreadNumManual. Especifique un valor comprendido entre 8 y 64. Por ejemplo, escriba ThreadNumManual=60 si desea que Vulnerability Scanner compruebe 60 clientes al mismo tiempo. • Para las exploraciones de vulnerabilidades programadas, cambie el valor de ThreadNumSchedule. Especifique un valor comprendido entre 8 y 64. Por ejemplo, escriba ThreadNumSchedule=50 si desea que Vulnerability Scanner compruebe 50 clientes al mismo tiempo. 3. 3-32 Guarde TMVS.ini. Instalar agentes CONFIGURACIÓN Configuración de la recuperación de descripciones DESCRIPCIÓN E INSTRUCCIONES Cuando Vulnerability Scanner pueda enviar comandos "ping" a los clientes, podrá recuperar información adicional acerca de dichos clientes. Hay dos métodos para recuperar información: • Recuperación normal: recupera tanto información sobre el dominio como sobre el equipo • Recuperación rápida: solo recupera el nombre del equipo 3-33 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Configuración de las alertas DESCRIPCIÓN E INSTRUCCIONES Para enviarse automáticamente los resultados de la exploración de vulnerabilidades a sí mismo o a otros administradores de la organización: 1. Seleccione Enviar por correo electrónico los resultados al administrador del sistema. 2. Haga clic en Configurar para especificar la configuración del correo electrónico. 3. En To, escriba la dirección de correo electrónico del destinatario. 4. En De, escriba la dirección de correo electrónico del remitente. 5. En Servidor SMTP, escriba la dirección del servidor SMTP. Por ejemplo, escriba smtp.company.com. La información sobre el servidor SMTP es necesaria. 6. En Subject, escriba un nuevo asunto de mensaje o acepte el que se muestra de manera predeterminada. 7. Haga clic en Aceptar. Para informar a los usuarios de que sus equipos no tienen instalado software de seguridad: Guardar como archivo CSV 1. Seleccione Mostrar una notificación en los equipos sin protección. 2. Haga clic en Personalizar para configurar el mensaje de notificación. 3. En la pantalla Mensaje de notificación, escriba un mensaje nuevo o acepte el predeterminado. 4. Haga clic en Aceptar. Guarde los resultados de la exploración de vulnerabilidades en un archivo de valores separados por comas (CSV). El archivo se guardará en el cliente en el que se ejecutó Vulnerability Scanner. Acepte la ruta de archivo predeterminada o cámbiela según sus preferencias. 3-34 Instalar agentes CONFIGURACIÓN Configuración del comando ping DESCRIPCIÓN E INSTRUCCIONES Utilice la configuración del comando "ping" para validar la existencia de un cliente y determinar su sistema operativo. Si esta configuración está desactivada, Vulnerability Scanner explora todas las direcciones IP del intervalo de direcciones IP especificado, incluso aquellas que no se utilicen en ningún cliente, por lo que el intento de exploración durará más de lo que debiera. 1. En los campos Tamaño del paquete y Tiempo de espera, acepte o modifique los valores predeterminados. 2. Seleccione Detectar el tipo de sistema operativo mediante la opción de huellas de sistema operativo ICMP. Si selecciona esta opción, Vulnerability Scanner determina si un cliente ejecuta Windows u otro sistema operativo. Vulnerability Scanner puede identificar la versión de Windows en aquellos clientes que ejecuten dicho sistema operativo. Otras configuraciones del comando ping Para definir el número de clientes a los que Vulnerability Scanner enviará comandos ping simultáneamente: 1. Vaya a la <Carpeta de instalación del servidor> \PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un editor de texto como el Bloc de notas. 2. Cambie el valor de EchoNum. Especifique un valor comprendido entre 1 y 64. Por ejemplo, escriba EchoNum=60 si desea que Vulnerability Scanner envíe comandos ping a 60 clientes al mismo tiempo. 3. Guarde TMVS.ini. 3-35 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Configuración del Security Server DESCRIPCIÓN E INSTRUCCIONES 1. Seleccione Instalar automáticamente Security Agent en equipos sin protección para instalar el Security Agent en los clientes que explorará Vulnerability Scanner. 2. Escriba el nombre de host del Security Server o la dirección IPv4/IPv6 y el número de puerto. Los Security Agents instalados por Vulnerability Scanner enviarán informes a este servidor. 3. Configure las credenciales administrativas para usarlas cuando se vaya a iniciar sesión en los clientes haciendo clic en Instalar cuenta. En la pantalla Información de la cuenta, escriba un nombre de usuario y una contraseña y haga clic en Aceptar. Instalar mediante notificación por correo electrónico Utilice este método de instalación para enviar un mensaje con un enlace al instalador. Procedimiento 1. En la consola Web, acceda a Configuración de seguridad > Agregar. Se abrirá una nueva pantalla. 2. Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo. 3. Seleccione Instalación mediante notificación por correo electrónico en la sección Método. 4. Haga clic en Siguiente. Aparecerá una nueva pantalla. 5. Escriba el asunto del mensaje y los destinatarios. 6. Haga clic en Aplicar. Se abrirá el cliente de correo electrónico predeterminado con los destinatarios, el asunto y el enlace al programa de instalación. 3-36 Instalar agentes Migrar al Security Agent Al instalar el Security Agent, el programa de instalación comprueba si existe otro software de seguridad de punto final de Trend Micro o de otro fabricante instalado en el cliente. El programa de instalación permite llevar a cabo las siguientes acciones: • Eliminar otro software de seguridad de punto final que esté instalado actualmente en el cliente y sustituirlo por el Security Agent. • Detectar otro software de seguridad de punto final, pero sin eliminarlo. Visite el siguiente sitio Web para obtener una lista completa del software de seguridad de punto final: http://esupport.trendmicro.com/solution/en-US/1060980.aspx Si el software del cliente no se puede eliminar automáticamente o solo se puede detectar, pero sin eliminarlo, deberá desinstalarlo manualmente primero. Dependiendo del proceso de desinstalación del software, tendrá que reiniciar o no el cliente tras la desinstalación. Problemas de la migración y posibles soluciones La desinstalación automática del software de seguridad de puntos finales de terceros puede fracasar por distintas razones: • El número de versión o la clave de producto del software de otros fabricantes es incorrecto. • No funciona el programa de desinstalación del software de otros fabricantes. • Algunos archivos del software de otro fabricante faltan o están dañados. • No se puede limpiar la clave de registro del software de otro fabricante. • El software de otro fabricante no dispone de programa de desinstalación. Posibles soluciones para estos problemas: • Elimine manualmente el software de otro fabricante. • Detenga el servicio del software de otros fabricantes. 3-37 Manual del administrador de Worry-Free Business Security 8.0 • Descargue el servicio o el proceso del software de otros fabricantes. Realizar tareas posteriores a la instalación en los Security Agents Procedimiento 1. Compruebe lo siguiente: • Los accesos directos del Security Agent aparecen en el menú de Inicio de Windows en el cliente. • Trend Micro Worry-Free Business Security Agent figura en la lista Agregar o quitar programas del Panel de control del cliente. • El Security Agent aparece en la pantalla Configuración de seguridad en la consola Web y se muestra en el grupo Servidores (opción predeterminada) o Equipos de sobremesa (opción predeterminada), en función del tipo de sistema operativo del cliente. Nota Si no ve el Security Agent, ejecute una tarea de verificación de la conexión desde Preferencias > Configuración general > pestaña Sistema > Comprobación de la conexión del agente. • Los siguientes servicios del Security Agent aparecen en la Microsoft Management Console: • Trend Micro Security Agent Listener (tmlisten.exe) • Trend Micro Security Agent RealTime Scan (ntrtscan.exe) • Trend Micro Security Agent NT Proxy Service (TmProxy.exe) Nota Este servicio no está disponible en Windows 8 ni Windows Server 2012. 3-38 Instalar agentes 2. • Trend Micro Security Agent Firewall (TmPfw.exe) si el cortafuegos se activó durante la instalación • Servicio de prevención de cambios no autorizados de Trend Micro (TMBMSRV.exe) si la Supervisión de comportamiento o el Control de dispositivos se activaron durante la instalación Si el Security Agent no aparece en la consola Web, es posible que no haya podido enviar su estado al servidor. Realice uno de los siguientes pasos: • Abra un explorador Web en el cliente, escriba https://{Nombre de Trend Micro Security Server}:{Número de puerto}/SMB/cgi/ cgionstart.exe en el cuadro de texto de dirección y presione ENTRAR. Si en la pantalla siguiente aparece -2, el agente podrá comunicarse con el servidor. Esto también indica que el problema podría encontrarse en la base de datos del servidor; es posible que no exista ningún registro del agente. 3. • Verifique que existe comunicación entre el cliente y el servidor mediante los comandos ping y telnet. • Si dispone de un ancho de banda limitado, compruebe si por este motivo se supera el tiempo de espera de conexión entre el servidor y el cliente. • Compruebe que la carpeta \PCCSRV del servidor dispone de derechos compartidos y si se han concedido a todos los usuarios derechos de control total • Compruebe que la configuración del proxy de Trend Micro Security Server sea correcta. Pruebe el Security Agent usando una secuencia de comandos de prueba EICAR. El Instituto europeo de investigación antivirus EICAR (European Institute for Computer Antivirus Research) ha creado un virus de prueba que puede utilizarse para comprobar la instalación y la configuración de su programa antivirus. Se trata de un archivo de texto inerte con un patrón binario que se incluye en el archivo de patrones de virus de los proveedores de antivirus. No es ningún virus real ni contiene ningún código de programa. Puede descargar el virus de prueba EICAR desde las siguientes direcciones de Internet: 3-39 Manual del administrador de Worry-Free Business Security 8.0 http://www.eicar.org/anti_virus_test_file.htm Otra opción sería crear un virus de prueba EICAR propio; para ello, cree un archivo de texto llamado eicar.com y escriba lo siguiente: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* Nota elimine la caché del servidor de caché y del explorador local antes de realizar la prueba. Instalación de Messaging Security Agent Los Messaging Security Agents solo se puede instalar si se cuenta con la versión Advanced de Worry-Free Business Security. Realice una instalación completamente nueva del Messaging Security Agent en los servidores Microsoft Exchange. Nota Para obtener información sobre cómo actualizar los Messaging Security Agents a esta versión, consulte el Manual de instalación y actualización. Requisitos de instalación del Messaging Security Agent Visite el siguiente sitio Web para obtener una lista completa de los requisitos de instalación: http://docs.trendmicro.com/es-es/smb/worry-free-business-security.aspx 3-40 Instalar agentes Instalar el Messaging Security Agent (Advanced solo) Antes de empezar Notas y recordatorios sobre la instalación: • No es necesario detener o iniciar los servicios de Microsoft Exchange antes o después de la instalación. • Si existiera información de una instalación previa de Messaging Security Agent en el cliente, no podrá instalar el Messaging Security Agent correctamente. Utilice la utilidad Windows Installer Cleanup Utility para limpiar los restos de instalaciones previas. Para descargar esta utilidad, visite: http://support.microsoft.com/kb/290301/es-es • Si instala el Messaging Security Agent en un servidor con herramientas de bloqueo, elimine la herramienta de bloqueo para que no desactive el servicio IIS e impida que la instalación se realice correctamente. • El Messaging Security Agent también se puede instalar durante la instalación del Security Server. Para obtener información detallada, consulte el Manual de instalación y actualización. Procedimiento 1. Acceda a Configuración de seguridad > Agregar. Se abrirá una nueva pantalla. 2. Seleccione Servidor Exchange. 3. En Información sobre el servidor Exchange, escriba la siguiente información: 4. • Nombre del servidor: El nombre del servidor Microsoft Exchange en el que desea instalar el agente. • Cuenta: Nombre de usuario de administrador de dominio integrada. • Contraseña: Contraseña de administrador de dominio integrada. Haga clic en Siguiente. 3-41 Manual del administrador de Worry-Free Business Security 8.0 El asistente de instalación abrirá una pantalla que variará según el tipo de instalación que necesite. • Instalación desde cero: el agente no existe en el servidor Microsoft Exchange y se instalará. • Actualizar: existe una versión previa del agente en el servidor Microsoft Exchange y se actualizará a la versión actual. • No es necesario instalar: la versión actual del agente ya existe en el servidor Microsoft Exchange. Si el agente no aparece actualmente en el árbol Grupos de seguridad, se agregará automáticamente. • No válida: hay un problema al instalar el agente. Nota Para el tipo de gestión del spam, se utilizará End User Quarantine. 5. En Directorios, modifique o acepte el destino predeterminado o los directorios compartidos para la instalación del Messaging Security Agent. El destino predeterminado y los directorios compartidos son C:\Archivos de programa \Trend Micro\Messaging Security Agent y C$, respectivamente. 6. Haga clic en Siguiente. Se abrirá una nueva pantalla. 7. Compruebe que la configuración del servidor Microsoft Exchange especificada en las pantallas anteriores es correcta y haga clic en Siguiente para iniciar la instalación. 8. Para ver el estado de la instalación, haga clic en la pestaña Estado de actividad. Eliminar agentes Hay dos formas de eliminar los Security Agents y los Messaging Security Agents (solo versión Advanced): 3-42 Instalar agentes Eliminar agentes desde la consola Web Use esta opción para los agentes inactivos. Un agente inactivo aparece continuamente como desconectado en la consola Web porque el cliente donde el agente está instalado puede haber estado desconectado durante un periodo largo de tiempo o haberse reformateado antes de que se haya podido desinstalar el agente. Al eliminar agentes desde la consola Web: • El agente, si todavía está en el cliente, no se desinstalará. • El servidor deja de gestionar el agente. • Cuando el agente comienza a comunicarse con el servidor de nuevo (por ejemplo, después de conectar el cliente), el agente se vuelve a agregar a la consola Web. Un Security Agent aplica la configuración de su grupo original. Si el grupo ya no existe, el agente se incluirá en el grupo Servidores (opción predeterminada) o Equipos de sobremesa (opción predeterminada), en función del sistema operativo del cliente, y se aplicará la configuración de dicho grupo. Consejo WFBS ofrece otra función que comprueba si hay agentes inactivos y los elimina desde la consola Web. Use esta función para automatizar la tarea de eliminación de agentes. Para usar esta función, acceda a Preferencias > Configuración general > pestaña Sistema y vaya a la sección Eliminación de Security Agents inactivos. Desinstalar el agente Puede desinstalar el agente (y, en consecuencia, que deje de aparecer en la consola Web) si encuentra problemas con el programa del agente en cuestión. Trend Micro recomienda que se reinstale el agente inmediatamente para que el cliente se mantenga a salvo de las amenazas. Eliminar agentes desde la consola Web Procedimiento 1. Acceda a Configuración de seguridad. 3-43 Manual del administrador de Worry-Free Business Security 8.0 2. Para eliminar los Security Agents, seleccione un grupo y, a continuación, elija los agentes. Para eliminar un Messaging Security Agent, selecciónelo. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 3. Haga clic en Eliminar. Aparecerá una nueva pantalla. 4. Haga clic en Eliminar los agentes seleccionados. 5. Haga clic en Aplicar. Desinstalar agentes desde la consola Web Al desinstalar el Messaging Security Agent, el servicio de administración de IIS/servidor Apache y los demás servicios relacionados se detendrán y reiniciarán automáticamente. Procedimiento 1. Acceda a Configuración de seguridad. 2. Para desinstalar los Security Agents, seleccione un grupo y, a continuación, elija los agentes. Para desinstalar un Messaging Security Agent, selecciónelo. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 3. 3-44 Haga clic en Eliminar. Instalar agentes Aparecerá una nueva pantalla. 4. Haga clic en Desinstalar los agentes seleccionados. 5. Haga clic en Aplicar. Aparecerá una pantalla emergente con el número de notificaciones de desinstalación que ha enviado el servidor y el número de agentes que ha recibido la notificación. Nota Para un Messaging Security Agent, escriba el nombre de cuenta del servidor Microsoft Exchange que corresponda y especifique la contraseña cuando se le solicite. 6. Haga clic en Aceptar. 7. Para comprobar que se ha desinstalado el agente, actualice la pantalla Configuración de seguridad. Ahora el agente ya no debe aparecer en el árbol Grupos de seguridad. Si falla la desinstalación del Security Agent, consulte Usar la herramienta de desinstalación de SA en la página 3-46. Desinstalar el Security Agent desde el cliente Los usuarios pueden desinstalar el agente desde el cliente. En función de cuál sea su configuración, puede que necesite una contraseña para la desinstalación. En caso de que necesite una contraseña, asegúrese de compartirla únicamente con aquellos usuarios que vayan a ejecutar el programa de desinstalación y, después, modifíquela de inmediato si la ha divulgado a otros usuarios. La contraseña se puede activar o desactivar en Preferencias > Configuración general > pestaña Equipo de sobremesa o servidor > Contraseña de desinstalación de Security Agent. 3-45 Manual del administrador de Worry-Free Business Security 8.0 Procedimiento 1. Haga clic en Panel de control > Agregar o quitar programas. 2. Localice Trend Micro Worry-Free Business Security Agent y haga clic en Cambiar o Desinstalar, según la opción que esté disponible. 3. Siga las instrucciones que aparecen en la pantalla. 4. Escriba la contraseña de desinstalación en caso de que se le solicite. El Security Server notifica al usuario sobre el progreso y la finalización de la desinstalación. No es necesario que el usuario reinicie el cliente para completar la desinstalación. En caso de que el procedimiento falle, consulte Usar la herramienta de desinstalación de SA en la página 3-46. Usar la herramienta de desinstalación de SA Use la herramienta de desinstalación de SA: • Cuando falle una instalación o sea necesario efectuar una desinstalación completa. La herramienta quita automáticamente todos los componentes del Security Agent de un cliente. • Para descargar el Security Agent Procedimiento 1. En el Security Server, acceda a <Carpeta de instalación del servidor> \PCCSRV\Private. 2. Copie el archivo SA_Uninstall.exe en el cliente de destino. 3. En el cliente de destino, ejecute SA_Uninstall.exe. 4. Inicie sesión en Windows como administrador (o con una cuenta con derechos de administrador). 5. Siga los pasos correspondientes a la tarea que desee realizar. 3-46 Instalar agentes TAREA Desinstalar el Security Agent PASOS a. b. Ejecute Uninstall.bat. Hay varias formas de llevar a cabo este paso. • En Windows Vista, 7, 8, Server 2008/2012 o SBS 2011, acceda al directorio de la herramienta, haga clic con el botón derecho en Uninstall.bat y seleccione Ejecutar como administrador. En la pantalla de UAC, seleccione Aceptar. • En Windows XP/2003, haga doble clic en Uninstall.bat. Cuando se muestre el mensaje ¿Desea reiniciar ahora? (S/N), seleccione sí o no: • N [Intro]: algunos controladores no se desinstalarán hasta que reinicie. • Y [Intro]: se reinicia después de 30 segundos. La herramienta de desinstalación de SA detiene el agente automáticamente. Descargar el Security Agent a. b. Ejecute Stop.bat. Hay varias formas de llevar a cabo este paso. • En Windows Vista, 7, 8, Server 2008/2012 o SBS 2011, acceda al directorio de la herramienta, haga clic con el botón derecho en Stop.bat y seleccione Ejecutar como administrador. En la pantalla de UAC, seleccione Aceptar. • En Windows XP/2003, haga doble clic en Stop.bat. Compruebe que el programa termina cuando el cliente se detiene. 3-47 Manual del administrador de Worry-Free Business Security 8.0 Desinstalación del Messaging Security Agent desde el servidor Microsoft Exchange (Advanced solo) Al desinstalar el Messaging Security Agent, el servicio de administración de IIS/servidor Apache y los demás servicios relacionados se detendrán y reiniciarán automáticamente. Procedimiento 1. Inicie una sesión en el servidor Microsoft Exchange con derechos de administrador. 2. Haga clic en Panel de control > Agregar o quitar programas. 3. Localice Trend Micro Messaging Security Agent y haga clic en Cambiar. 4. Siga las instrucciones que aparecen en la pantalla. 3-48 Capítulo 4 Gestionar grupos En este capítulo se describe el concepto y el uso de grupos en Worry-Free Business Security. 4-1 Manual del administrador de Worry-Free Business Security 8.0 Grupos En Worry-Free Business Security, los grupos son conjuntos de agentes que comparten la misma configuración y ejecutan las mismas tareas. Organice los agentes en grupos en la pantalla Configuración de seguridad para que pueda configurarlos y gestionarlos simultáneamente. Lista Agentes y árbol Grupos de seguridad FIGURA 4-1. Pantalla Configuración de seguridad en la que se muestran los agentes en un grupo En la pantalla Configuración de seguridad, los grupos aparecen en la sección Árbol Grupos de seguridad, en el lateral izquierdo. Para facilitar la gestión, cree grupos que representen departamentos o funciones de su empresa. También puede crear grupos especiales. Por ejemplo, cree un grupo que incluya Security Agents en los clientes que presenten un mayor riesgo de infección, de manera que se puedan aplicar configuraciones y políticas de seguridad más estrictas a dicho grupo. Al hacer clic en un grupo, los agentes que pertenecen a dicho grupo se muestran en la lista Agentes, a la derecha. Columnas de la lista Agentes Las columnas de la lista Agentes muestran la siguiente información para cada agente: 4-2 Gestionar grupos Consejo Las celdas sombreadas en rojo en la lista Agentes contienen información que requiere su atención. COLUMNA INFORMACIÓN MOSTRADA Para los Security Agents Nombre Nombre de host del cliente en el que está instalado el agente. Dirección IP Dirección IP del cliente en el que está instalado el agente. Conectado/Desconectado • Conectado: el agente está conectado al Security Server. • Desconectado: el agente no está conectado al Security Server. Exploración programada Fecha y hora en que se produjo la última exploración programada. Exploración manual Fecha y hora en que se produjo la última exploración manual. Plataforma Sistema operativo del cliente en el que está instalado el agente. Arquitectura • x64: sistema operativo de 64 bits. • x86: sistema operativo de 32 bits. • Inteligente: exploraciones locales y en Internet. • Convencional: exploraciones locales únicamente. Método de exploración Para obtener más información, consulte Métodos de exploración en la página 5-3. Motor de virus Versión del Motor de exploración antivirus 4-3 Manual del administrador de Worry-Free Business Security 8.0 COLUMNA Smart Scan Agent Pattern INFORMACIÓN MOSTRADA Versión del Smart Scan Agent Pattern Nota Esta columna solo se muestra si el método de exploración es smart scan. Smart Scan Service Nota Esta columna solo se muestra si el método de exploración es smart scan. Patrón de virus • Conectado: el agente está conectado al Smart Scan Service. • Desconectado: el agente está desconectado del Smart Scan Service. Nota El Smart Scan Service se aloja en el Security Server. Si un agente está desconectado, significa que no se puede conectar al Security Server o que el Smart Scan Service no está operativo (por ejemplo, si el servicio se ha detenido). Versión del patrón de virus Nota Esta columna solo se muestra si el método de exploración es el convencional. 4-4 Virus detectados Número de virus y malware detectados. Spyware detectado Número de spyware/grayware detectados. Versión Versión del agente. Gestionar grupos COLUMNA INFORMACIÓN MOSTRADA URL infringidas Número de URL prohibidas a las que se ha accedido. Spam detectado Número de mensajes de correo electrónico de spam. Exploración de POP3 • Activada • Desactivada Para Messaging Security Agent (Advanced solo) Nombre Nombre de host del cliente en el que está instalado el agente. Dirección IP Dirección IP del cliente en el que está instalado el agente. Conectado/Desconectado • Conectado: el agente está conectado al Security Server. • Desconectado: el agente no está conectado al Security Server. Plataforma Sistema operativo del cliente en el que está instalado el agente. Arquitectura • x64: sistema operativo de 64 bits. • x86: sistema operativo de 32 bits. Versión de Exchange Versión del servidor Microsoft Exchange. Patrón de virus Versión del patrón de virus Motor de virus Versión del Motor de exploración antivirus Versión Versión del agente. Tareas para grupos y agentes Ejecute tareas en un grupo o en uno o varios agentes. La ejecución de tareas conlleva dos pasos: 1. Seleccione un destino. 2. Haga clic en el botón de la tarea. 4-5 Manual del administrador de Worry-Free Business Security 8.0 En la siguiente tabla figuran las tareas que puede realizar. TAREA Configurar 4-6 DESTINO Un grupo de Security Agent (sobremesa o servidor) DESCRIPCIÓN Defina las siguientes configuraciones básicas de seguridad para todos los Security Agents que pertenecen al grupo seleccionado: • Método de exploración. Consulte el apartado Configurar los métodos de exploración en la página 5-5. • Antivirus/Anti-spyware. Consulte el apartado Configurar la exploración en tiempo real para los Security Agents en la página 5-8. • Cortafuegos. Consulte el apartado Configurar el cortafuegos en la página 5-11. • Reputación Web. Consulte el apartado Configurar la reputación Web para los Security Agents en la página 5-18. • Filtrado de URL. Consulte el apartado Configuración del filtrado de URL en la página 5-20. • Supervisión de comportamiento: Consulte el apartado Configurar la supervisión del comportamiento en la página 5-22. • Control de dispositivos. Consulte el apartado Configurar el control de los dispositivos en la página 5-25. • Herramientas del usuario (solo grupos de equipos de sobremesa). Consulte el apartado Configurar las herramientas de usuario en la página 5-28. • Derechos del cliente. Consulte el apartado Configurar los derechos del cliente en la página 5-29. • Poner en cuarentena: Consulte el apartado Configurar el directorio de cuarentena en la página 5-33. Gestionar grupos TAREA Configurar Replicar configuración DESTINO Un Messaging Security Agent (Advanced solo) Un grupo de Security Agent (sobremesa o servidor) DESCRIPCIÓN Defina las siguientes configuraciones básicas de seguridad para el Messaging Security Agent seleccionado: • Antivirus: Consulte el apartado Configurar la exploración en tiempo real para Messaging Security Agent en la página 6-6. • Antispam: Consulte Configurar Email Reputation en la página 6-8 y Configurar la exploración del contenido en la página 6-10. • Filtrado de contenidos: Consulte el apartado Gestionar las reglas del filtrado de contenidos en la página 6-16. • Bloqueo de archivos adjuntos: Consulte el apartado Configurar el bloqueo de archivos adjuntos en la página 6-47. • Reputación Web. Consulte el apartado Configurar la reputación Web para los Messaging Security Agents en la página 6-52. • Poner en cuarentena: Consulte Consultar directorios de cuarentena en la página 6-55, Mantener directorios de cuarentena en la página 6-58 y Configurar directorios de cuarentena en la página 6-59. • Operaciones. Consulte Definir configuraciones de notificación para los Messaging Security Agents en la página 6-62, Configurar el mantenimiento del spam en la página 6-63 y Generar informes del depurador del sistema en la página 6-67. Las configuraciones del grupo seleccionado las aplicará otro grupo del mismo tipo (grupo de equipos de sobremesa o servidores). Para obtener más información, consulte Replicar configuración en la página 4-17. 4-7 Manual del administrador de Worry-Free Business Security 8.0 TAREA Importar DESTINO Un grupo de Security Agent (sobremesa o servidor) DESCRIPCIÓN Importe la configuración de un grupo de origen a un grupo de destino seleccionado. Antes de realizar la importación, debe haber exportado la configuración del grupo de origen a un archivo. Para obtener más información, consulte Importar y exportar la configuración de grupos de Security Agents en la página 4-19. Exportar Un grupo de Security Agent (sobremesa o servidor) Exporte la configuración del grupo de destino seleccionado a un archivo. Realice esta tarea para hacer una copia de seguridad de la configuración o para importarla a otro grupo. Para obtener más información, consulte Importar y exportar la configuración de grupos de Security Agents en la página 4-19. Agregar grupo Árbol Grupos de seguridad ( ) Agregue un nuevo grupo de Security Agent (grupo de equipos de sobremesa o servidores). Para obtener más información, consulte Agregar grupos en la página 4-10. Agregar Árbol Grupos de seguridad ( ) Instale una de las siguientes opciones: • Security Agent en un cliente (equipo de sobremesa o servidor) • Messaging Security Agent en un servidor Microsoft Exchange (Advanced solo) Para obtener más información, consulte Agregar agentes a grupos en la página 4-11. 4-8 Gestionar grupos TAREA Quitar DESTINO Un grupo de Security Agent (sobremesa o servidor) DESCRIPCIÓN Elimine el grupo seleccionado del Árbol Grupos de seguridad. Asegúrese de que el grupo no tenga ningún agente; de lo contrario, el grupo no se eliminará. Para obtener más información, consulte Eliminar agentes en la página 3-42. Uno o varios Security Agents pertenecientes a un grupo Tiene dos opciones: • Elimine los Security Agents seleccionados de su grupo. • Desinstale los Security Agents seleccionados de sus clientes y elimínelos del grupo. Para obtener más información, consulte Eliminar agentes en la página 3-42. Un Messaging Security Agent (Advanced solo) Tiene dos opciones: • Elimine el Messaging Security Agent y su grupo. • Desinstale los Messaging Security Agents del servidor Microsoft Exchange y elimine su grupo. Para obtener más información, consulte Eliminar agentes en la página 3-42. Mover Uno o varios Security Agents pertenecientes a un grupo Mueva los Security Agents seleccionados a otro grupo o a otro Security Server. Para obtener más información, consulte Mover agentes en la página 4-12. 4-9 Manual del administrador de Worry-Free Business Security 8.0 TAREA Restablecer contadores DESTINO DESCRIPCIÓN Árbol Grupos de seguridad ( ) Restablece a cero los recuentos de amenazas de todos los Security Agents. En concreto, se restablecerán los valores de las siguientes columnas de la lista Agentes: • Virus detectados • Spyware detectado • Spam detectado • URL infringidas Si desea obtener información detallada acerca de estas columnas, consulte Lista Agentes y árbol Grupos de seguridad en la página 4-2. Agregar grupos Agregue un grupo de equipos de sobremesa o de servidores, el cual puede contener uno o varios Security Agents. No es posible agregar un grupo que contenga Messaging Security Agents. Una vez que un Messaging Security Agent esté instado y pueda enviar informes al Security Server, este será automáticamente su propio grupo en el Árbol Grupos de seguridad. Procedimiento 1. Acceda a Configuración de seguridad. 2. Haga clic en Agregar grupo. Aparecerá una nueva pantalla. 3. 4. 4-10 Seleccione un tipo de grupo. • Equipos de sobremesa • Servidores Escriba un nombre para el grupo. Gestionar grupos 5. Para aplicar la configuración de un grupo existente al grupo que está agregando, haga clic en Importar configuración de un grupo y, a continuación, seleccione el grupo. Solo se mostrarán grupos para el tipo de grupo seleccionado. 6. Haga clic en Guardar. Agregar agentes a grupos Una vez que un agente está instalado y puede enviar informes al Security Server, el servidor lo agrega a un grupo. • Los Security Agents instalados en las plataformas de servidor, como Windows Server 2003 y Windows Server 2008, se agregan al grupo Servidores (opción predeterminada). • Los Security Agents instalados en las plataformas de equipos de sobremesa, como Windows XP, Windows Vista y Windows 7, se agregan al grupo Equipos de sobremesa (opción predeterminada). Nota Puede asignar Security Agents a otros grupos moviéndolos. Para obtener más información, consulte Mover agentes en la página 4-12. • Cada Messaging Security Agent (Advanced solo) forma su propio grupo. No es posible organizar varios Messaging Security Agents en un grupo. Si el número de agentes reflejados en el árbol Grupos de seguridad es incorrecto, puede que los agentes se hayan eliminado sin informar al respecto al servidor (por ejemplo, si se perdió la comunicación entre el cliente y el servidor mientras se eliminaba el agente). Esto provoca que el servidor conserve la información del agente en la base de datos e indique que el agente está desconectado en la consola Web. Al reinstalar el agente, el servidor crea un registro nuevo en la base de datos y considera que el agente es nuevo, por lo que el agente aparece dos veces en el árbol Grupos de seguridad. Para comprobar los registros duplicados de agentes, use la función de Comprobación de la conexión del agente, en Preferencias > Configuración general > Sistema. 4-11 Manual del administrador de Worry-Free Business Security 8.0 Instalar Security Agents Consulte los siguientes temas: • Requisitos de instalación del Security Agent en la página 3-2 • Consideraciones sobre la instalación del Security Agent en la página 3-2 • Métodos de instalación del Security Agent en la página 3-8 • • Instalar desde la página Web interna en la página 3-11 • Instalar con Configuración de secuencia de comandos de inicio de sesión en la página 3-13 • Instalar con Client Packager en la página 3-15 • Instalar con Instalación remota en la página 3-19 • Instalar con Vulnerability Scanner en la página 3-23 • Instalar mediante notificación por correo electrónico en la página 3-36 Realizar tareas posteriores a la instalación en los Security Agents en la página 3-38 Instalar Messaging Security Agents (Advanced solo) Consulte los siguientes temas: • Requisitos de instalación del Messaging Security Agent en la página 3-40 • Instalar el Messaging Security Agent (Advanced solo) en la página 3-41 Mover agentes Existen varias formas de mover los agentes. 4-12 Gestionar grupos AGENTE QUE SE VA A DETALLES CÓMO MOVER LOS AGENTES MOVER Security Agent Mover agentes de seguridad entre grupos. Después de moverlos, los agentes heredan la configuración de su nuevo grupo. Use la consola Web para mover uno o varios agentes. Consulte el apartado Mover Security Agents entre grupos en la página 4-13. Si cuenta con dos Security Servers como mínimo, muévalos entre los servidores. • Use la consola Web para mover uno o varios agentes. Consulte el apartado Mover agentes entre Security Servers usando la consola Web en la página 4-14. • Ejecute la herramienta Client Mover en un cliente para mover el agente instalado en dicho cliente. Consulte el apartado Mover un Security Agent entre Security Servers usando Client Mover en la página 4-15. Después de moverlos, los agentes se unirán al grupo Equipos de sobremesa (opción predeterminada) o Servidores (opción predeterminada) en el otro Security Server, en función del sistema operativo del cliente. El agente hereda la configuración del nuevo grupo. Messaging Security Agent (sólo Advanced) Si cuenta con dos Security Servers como mínimo, mueva los Messaging Security Agents entre los servidores. Después de moverlos, cada agente será su propio grupo en el otro Security Server y conservará su configuración. Use la consola Web para mover uno o varios agentes cada vez. Consulte el apartado Mover agentes entre Security Servers usando la consola Web en la página 4-14. Mover Security Agents entre grupos Procedimiento 1. Acceda a Configuración de seguridad. 4-13 Manual del administrador de Worry-Free Business Security 8.0 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Seleccione los agentes que desee mover. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 4. Arrastre los agentes hasta el nuevo grupo. Mover agentes entre Security Servers usando la consola Web Antes de empezar Al mover un agente entre Security Servers: • Si un agente que está ejecutando una versión anterior se mueve a un Security Server que tenga la versión actual, el agente se actualizará automáticamente. • No mueva un agente que esté ejecutando la versión actual a un Security Server que tenga una versión anterior porque el agente se quedaría sin gestionar (el agente se eliminará del registro del servidor anterior, pero no conseguirá registrarse en el servidor nuevo, en consecuencia, no aparecerá tampoco en la consola Web). El agente conservará su versión actual y no se cambiará a la versión anterior. • Los Security Servers deben ser de la misma versión de idioma. • Registre el nombre de host y el puerto de escucha del Security Server al que se moverá el agente. El nombre de host y el puerto de escucha se encuentran en la pantalla Configuración de seguridad del Security Server, por encima del panel Tareas. 4-14 Gestionar grupos Procedimiento 1. En la consola Web del Security Server que gestiona actualmente los agentes, acceda a Configuración de seguridad. 2. Para mover los Security Agents, seleccione un grupo y, a continuación, seleccione los agentes. Para mover un Messaging Security Agent, selecciónelo. Consejo Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que desee seleccionar. 3. Haga clic en Mover. Aparecerá una nueva pantalla. 4. Escriba el nombre de host y el puerto de escucha del Security Server al que se moverán los agentes. 5. Haga clic en Mover. 6. Para comprobar si los agentes envían ahora sus informes al otro Security Server, abra la consola Web del servidor en cuestión y localice los agentes en el árbol Grupos de seguridad. Nota Si los agentes no aparecen en el árbol Grupos de seguridad, reinicie el Servicio maestro del servidor (ofservice.exe). Mover un Security Agent entre Security Servers usando Client Mover Antes de empezar Al mover un agente entre Security Servers: 4-15 Manual del administrador de Worry-Free Business Security 8.0 • Si un agente que está ejecutando una versión anterior se mueve a un Security Server que tenga la versión actual, el agente se actualizará automáticamente. • No mueva un agente que esté ejecutando la versión actual a un Security Server que tenga una versión anterior porque el agente se quedaría sin gestionar (el agente se eliminará del registro del servidor anterior, pero no conseguirá registrarse en el servidor nuevo, en consecuencia, no aparecerá tampoco en la consola Web). El agente conservará su versión actual y no se cambiará a la versión anterior. • Los Security Servers deben ser de la misma versión de idioma. • Registre el nombre de host y el puerto de escucha del Security Server al que se moverá el agente. El nombre de host y el puerto de escucha se encuentran en la pantalla Configuración de seguridad del Security Server, por encima del panel Tareas. • Inicie sesión en el cliente con una cuenta de administrador. Procedimiento 1. En el Security Server que gestiona actualmente el agente, acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\IpXfer. 2. Copie IpXfer.exe en el cliente en el que está instalado el Security Agent. 3. En el cliente, abra una ventana de símbolo del sistema. 4. Escriba cd y la ruta de la carpeta en la que haya copiado el archivo ejecutable. Por ejemplo: cd C:\Test 5. Ejecute Client Mover con la siguiente sintaxis: <executable file name> -s <server name> -p <server listening port> -m 1 -c <client listening port> TABLA 4-1. Parámetros de Client Mover PARÁMETRO <executable file name> 4-16 EXPLICACIÓN IpXfer.exe Gestionar grupos PARÁMETRO EXPLICACIÓN <server name> El nombre del servidor de WFBS de destino (el servidor al que el agente realizará transferencias) <server listening port> El puerto de escucha (o puerto de confianza) del Security Server de destino. 1 El servidor basado en HTTP (debe utilizar el número “1” después de “-m”) <client listening port> El número de puerto que utiliza el Security Agent para comunicarse con el servidor Ejemplo: ipXfer.exe -s Server01 -p 8080 -m 1 -c 21112 6. Para comprobar si el Security Agent envía ahora sus informes al otro Security Server, abra la consola Web del servidor en cuestión y localice el agente en el árbol Grupos de seguridad. Nota Si el agente no aparece en el árbol Grupos de seguridad, reinicie el Servicio maestro del servidor (ofservice.exe). Replicar configuración Las configuraciones se pueden replicar entre grupos de Security Agents o entre Messaging Security Agents (Advanced solo). Replicar configuraciones de grupo de Security Agents Use esta función para aplicar la configuración de un grupo concreto de servidores o de equipos de sobremesa a otro grupo del mismo tipo. No es posible replicar la configuración de un grupo de servidores a un grupo de equipos de sobremesa ni viceversa. 4-17 Manual del administrador de Worry-Free Business Security 8.0 Si hay solo un grupo para un tipo de grupo particular, esta función se desactivará. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Replicar configuración. Aparecerá una nueva pantalla. 4. Seleccione los grupos de destino que heredarán la configuración. 5. Haga clic en Aplicar. Replicar configuraciones del Messaging Security Agent (Advanced solo) Solo puede replicar configuraciones entre los Messaging Security Agents si comparten el mismo dominio. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Replicar configuración. Aparecerá una nueva pantalla. 4. Seleccione el Messaging Security Agent que heredará la configuración. 5. Haga clic en Aplicar. 6. Si la replicación no se realizó correctamente: a. 4-18 Inicie el Editor del registro (regedit). Gestionar grupos b. Acceda a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecurePipeServers\winreg. c. Haga clic con el botón derecho del ratón en winreg > Permisos. d. Añada Smex Admin Group del dominio de destino y active Permitir Leer. Importar y exportar la configuración de grupos de Security Agents Exporte la configuración de un grupo de servidores o de equipos de sobremesa a un archivo .dat para hacer una copia de seguridad de la configuración. También puede usar el archivo .dat para importar la configuración a otro grupo. Nota Puede importar o exportar la configuración entre grupos de equipos de sobremesa y servidores. La configuración no depende de un tipo de grupo. También puede usar la función Replicar configuración, aunque esta función depende del tipo de grupo. Para obtener información detallada acerca de la función Replicar configuración, consulte Replicar configuración en la página 4-17. Configuraciones que se pueden importar y exportar Las configuraciones que se pueden importar y exportar dependen de si se elige el icono del árbol Grupos de seguridad ( ) o un grupo de servidores o equipos de sobremesa concreto. 4-19 Manual del administrador de Worry-Free Business Security 8.0 SELECCIÓN Icono del árbol Grupos de seguridad ( ) 4-20 PANTALLA QUE CONTIENE LA CONFIGURACIONES QUE SE PUEDEN CONFIGURACIÓN EXPORTAR O IMPORTAR Configuración de seguridad (Configuración de seguridad > Configurar) Las siguientes configuraciones para los grupos de Servidores (opción predeterminada) y Equipos de sobremesa (opción predeterminada): • Método de exploración • Firewall • Reputación Web • Filtrado de URL • Supervisión del comportamiento • Programa de confianza • Herramientas del usuario (disponibles solo en grupos de equipos de sobremesa) • Derechos del cliente • Cuarentena • Control del dispositivo Gestionar grupos SELECCIÓN Icono del árbol Grupos de seguridad ( ) PANTALLA QUE CONTIENE LA CONFIGURACIONES QUE SE PUEDEN CONFIGURACIÓN EXPORTAR O IMPORTAR Actualización manual (Actualizaciones > Manual) Componentes seleccionados en la pantalla Actualización manual Actualización programada (Actualizaciones > Programada) Componentes seleccionados y programados en la pantalla Actualización programada Informes programados (Informes > Informes programados) Todas las configuraciones Mantenimiento de los informes (Informes > Mantenimiento) Todas las configuraciones Notificaciones (Preferencias > Notificaciones) Todas las configuraciones Configuración general (Preferencias > Configuración general) Todas las configuraciones de las siguientes pestañas: • Proxy • SMTP • Equipo de sobremesa o servidor • Sistema 4-21 Manual del administrador de Worry-Free Business Security 8.0 SELECCIÓN Grupo de equipos de sobremesa ( o grupo de servidores ( ) PANTALLA QUE CONTIENE LA CONFIGURACIONES QUE SE PUEDEN CONFIGURACIÓN EXPORTAR O IMPORTAR Configuración de seguridad (Configuración de seguridad > Configurar) ) • Exploración antivirus/ antispyware en tiempo real • Firewall • Reputación Web • Filtrado de URL • Supervisión del comportamiento • Programa de confianza • Herramientas del usuario (disponibles solo en grupos de equipos de sobremesa) • Derechos del cliente • Cuarentena • Control del dispositivo Pantalla Exploración manual (Exploraciones > Exploración manual) Todas las configuraciones Pantalla Exploración programada (Exploraciones > Exploración programada) Todas las configuraciones Exportar configuración Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione el árbol Grupos de seguridad o un grupo de equipos de sobremesa/ servidores. 3. Haga clic en Exportar. 4-22 Gestionar grupos Aparecerá una nueva pantalla. 4. Si ha seleccionado el árbol Grupos de seguridad, seleccione la configuración que desea exportar. 5. Haga clic en Exportar. Aparecerá un cuadro de diálogo. 6. Haga clic en Guardar, acceda a la ubicación que desee y haga clic en Guardar. Importar configuración Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione el árbol Grupos de seguridad o un grupo de equipos de sobremesa/ servidores. 3. Haga clic en Importar. Aparecerá una nueva pantalla. 4. Haga clic en Examinar, busque el archivo y, a continuación, haga clic en Importar. 4-23 Capítulo 5 Gestionar la configuración de seguridad básica para los Security Agents En este capítulo se explica cómo definir la configuración de seguridad básica para los Security Agents. 5-1 Manual del administrador de Worry-Free Business Security 8.0 Resumen de la configuración de seguridad básica para los Security Agents TABLA 5-1. Resumen de la configuración de seguridad básica para los Security Agents OPCIÓN 5-2 DESCRIPCIÓN PREDETERMINADAS Método de exploración Configure si Smart Scan está activado o desactivado. La opción de activado o desactivado se selecciona durante la instalación de WFBS. Antivirus/Antispyware Configure las opciones de exploración en tiempo real, antivirus y antispyware. Activada (exploración en tiempo real) Firewall Configure las opciones del cortafuegos. Desactivada Reputación Web Configure las opciones de reputación Web para la oficina o fuera de la oficina. En la oficina: activada (nivel bajo) Filtrado de URL El filtrado de URL bloquea los sitios Web que infringen las políticas configuradas. activada (nivel bajo) Supervisión del comportamiento Configure las opciones de supervisión de comportamiento. Habilitado para grupos de equipos de sobremesa Programa de confianza Especificar los programas cuyo comportamiento no es preciso supervisar en busca de conductas sospechosas N/D Control del dispositivo Configure la ejecución automática, USB y el acceso a redes Desactivada Fuera de la oficina: activada (nivel medio) Desactivado para grupos de servidores Gestionar la configuración de seguridad básica para los Security Agents OPCIÓN Herramientas del usuario Derechos del cliente DESCRIPCIÓN PREDETERMINADAS Configuración del asesor de Wi-Fi y la barra de herramientas antispam de Trend Micro Desactivado: Asesor de WiFi Configure el acceso a los parámetros de configuración desde la consola del agente. Desactivado: barra de herramientas anti-spam en los clientes de correo compatibles N/D Desactivar el uso de actualizaciones y correcciones del agente de seguridad Cuarentena Especifique el directorio de cuarentena. N/D Métodos de exploración Los Security Agents pueden utilizar uno de los dos métodos de exploración al realizar una exploración en busca de amenazas de seguridad. • Smart Scan: los Security Agents que utilizan smart scan se denominan agentes de smart scan en este documento. Los agentes de smart scan se benefician de las exploraciones locales y de las consultas por Internet proporcionadas por los Servicios de File Reputation. • Exploración convencional: los Security Agents que no usan smart scan se denominan agentes de exploración convencional. Un agente de exploración convencional almacena todos los componentes en el cliente y explora todos los archivos de manera local. La siguiente tabla ofrece una comparación entre los dos métodos de exploración: 5-3 Manual del administrador de Worry-Free Business Security 8.0 TABLA 5-2. Comparación entre la exploración convencional y smart scan REFERENCIAS DE LA COMPARACIÓN EXPLORACIÓN CONVENCIONAL SMART SCAN Disponibilidad Disponible en esta versión de WFBS y en todas las anteriores Inicio en WFBS 6.0 disponible Comportamiento de la exploración El agente de exploración convencional realiza exploraciones en el cliente. • El agente de smart scan realiza exploraciones en el cliente. • Si el agente no puede determinar el riesgo del archivo durante la exploración, el agente verifica dicho riesgo enviando una consulta de exploración al servidor de exploración (en el caso de los agentes conectados al Security Server) o a Trend Micro Smart Protection Network (para los agentes desconectados del Security Server). Nota El servidor de exploración es un servicio que se ejecuta en el Security Server. Para obtener más información, consulte Servidor de exploración en la página 2-2. • 5-4 El agente "almacena en caché" el resultado de dicha consulta para mejorar el rendimiento de la exploración. Gestionar la configuración de seguridad básica para los Security Agents REFERENCIAS DE LA EXPLORACIÓN CONVENCIONAL SMART SCAN Componentes en uso y actualizados Todos los componentes del Security Agent disponibles en la fuente de actualización, excepto el Smart Scan Agent Pattern Todos los componentes disponibles en la fuente de actualización, excepto el patrón de virus Fuente de actualización tradicional Security Server Security Server COMPARACIÓN Configurar los métodos de exploración Antes de empezar Al instalar el Security Server, se ofrece la posibilidad de activar el smart scan. Si activó esta opción, el método de exploración predeterminado será smart scan, lo que significa que todos los Security Agents utilizarán el método smart scan. De lo contrario, la exploración convencional es el valor predeterminado. Puede hacer que los agentes alternen entre estos métodos de exploración en función de las necesidades de cada momento. Por ejemplo: • Si los agentes utilizan actualmente la exploración convencional y observan que la exploración requiere una cantidad de tiempo considerable para realizarse, pueden cambiar al método smart scan, que se ha diseñado para ser más rápido y eficiente. Otra situación en la que se puede cambiar al método smart scan es cuando el agente tiene poco espacio en disco, ya que los agentes que usan smart scan descargan unos tamaños de patrón inferiores y, en consecuencia, requieren menos espacio en disco. Antes de cambiar al método smart scan, acceda a Preferencias > Configuración general > pestaña Equipos de sobremesa/servidores y diríjase a la sección Configuración de la exploración general. La opción Desactivar Smart Scan Service debe estar desactivada. • Cambie los agentes al método de exploración convencional si observa una reducción del rendimiento del Security Server, lo que podría significar que este no 5-5 Manual del administrador de Worry-Free Business Security 8.0 es capaz de gestionar todas las peticiones de exploración de los agentes en el momento apropiado. En la siguiente tabla se enumeran algunas consideraciones relacionadas con los cambios de método de exploración: TABLA 5-3. Consideraciones al alternar entre los métodos de exploración CONSIDERACIÓN Conexión con el Security Server DETALLES Asegúrese de que los Security Agents puedan conectarse al Security Server. Únicamente los agentes que estén conectados recibirán información sobre el cambio a un método de exploración diferente. Los agentes que estén desconectados recibirán la notificación en el momento en que se conecten. Debe comprobar también que el Security Server tenga los últimos componentes porque los agentes deben descargar componentes nuevos del Security Server, por ejemplo, el Smart Scan Agent Pattern para los agentes que cambien al modo smart scan y el Patrón de virus para los agentes que cambien al método de exploración convencional. Número de Security Agents que se van a cambiar 5-6 Si se cambia un número relativamente bajo de Security Agents al mismo tiempo, se permite un uso más eficaz de los recursos del Security Server. El Security Server puede llevar a cabo otras tareas importantes mientras los agentes cambian los métodos de exploración. Gestionar la configuración de seguridad básica para los Security Agents CONSIDERACIÓN Tiempo DETALLES Al cambiar Security Agents por primera vez, los agentes deben descargar la versión completa del Smart Scan Agent Pattern (para los agentes que cambien al modo smart scan) o el Patrón de virus (para los agentes que cambien a la exploración convencional). Considere la opción de realizar el cambio durante las horas de menor actividad para garantizar que el proceso de descarga se realiza en un corto periodo de tiempo. Además, desactive de forma temporal la opción "Actualizar ahora" de los agentes para evitar que se produzcan actualizaciones iniciadas por los usuarios. Vuelva a activar esta opción una vez que los usuarios hayan cambiado el método de exploración. Nota Posteriormente, los agentes descargarán versiones más pequeñas e incrementales del Smart Scan Agent Pattern o del Patrón de virus, siempre que realicen actualizaciones con frecuencia. Compatibilidad con IPv6 Un agente que solo utilice IPv6, que emplee el método smart scan y que esté desconectado no podrá enviar consultas directamente a Trend Micro Smart Protection Network. Es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para que los agentes de smart scan puedan enviar consultas. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Seleccione el método de exploración que desee. 5-7 Manual del administrador de Worry-Free Business Security 8.0 5. Haga clic en Guardar. Exploración en tiempo real para los Security Agents La exploración en tiempo real es un proceso continuo. Cada vez que se abre, descarga, copia o modifica un archivo, la exploración en tiempo real del Security Agent explora el archivo en busca de amenazas. Configurar la exploración en tiempo real para los Security Agents Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Antivirus/Antispyware. Aparecerá una nueva pantalla. 5. Seleccione Activar antivirus o antispyware en tiempo real. 6. Configurar los parámetros de exploración. Para obtener información detallada, consulte Explorar destinos y acciones para los Security Agents en la página 7-11: Nota Si concede a los usuarios el derecho de definir sus propias configuraciones de exploración, las configuraciones definidas por el usuario serán las que se usen durante la exploración. 5-8 Gestionar la configuración de seguridad básica para los Security Agents 7. Haga clic en Guardar. Firewall El cortafuegos puede bloquear o permitir determinados tipos de tráfico de red creando una barrera entre el cliente y la red. Asimismo, el cortafuegos identifica patrones de los paquetes de red que pueden indicar un ataque a los clientes. WFBS tiene dos opciones para elegir a la hora de configurar el cortafuegos: el modo simple y el modo avanzado. El modo simple activa el cortafuegos con la configuración predeterminada recomendada por Trend Micro. Utilice el modo avanzado para personalizar la configuración del cortafuegos. Consejo Trend Micro recomienda desinstalar otros cortafuegos basados en software antes de implementar y activar el cortafuegos de Trend Micro. Configuración predeterminada del cortafuegos en modo simple El cortafuegos proporciona una configuración predeterminada como base para iniciar la estrategia de protección del cortafuegos del cliente. Esta configuración predeterminada incluye las condiciones más habituales que pueden existir en los clientes, como la necesidad de acceder a Internet y descargar o cargar archivos con FTP. Nota De forma predeterminada, WFBS desactiva el cortafuegos en todos los grupos y Security Agents nuevos. 5-9 Manual del administrador de Worry-Free Business Security 8.0 TABLA 5-4. Configuración predeterminada del cortafuegos CONFIGURACIÓN Nivel de seguridad ESTADO Baja Se permite el tráfico entrante y saliente; solo se bloquean los virus de red. Sistema de detección de intrusiones Desactivada Mensaje de alerta (enviar) Desactivada TABLA 5-5. Excepciones predeterminadas del cortafuegos NOMBRE DE EXCEPCIÓN 5-10 ACCIÓN DIRECCIÓN PROTOCOLO PUERTO DNS Permitir Entrante y saliente TCP/UDP 53 NetBIOS Permitir Entrante y saliente TCP/UDP 137, 138, 139, 445 HTTPS Permitir Entrante y saliente TCP 443 HTTP Permitir Entrante y saliente TCP 80 Telnet Permitir Entrante y saliente TCP 23 SMTP Permitir Entrante y saliente TCP 25 FTP Permitir Entrante y saliente TCP 21 POP3 Permitir Entrante y saliente TCP 110 MSA Permitir Entrante y saliente TCP 16372, 16373 Gestionar la configuración de seguridad básica para los Security Agents TABLA 5-6. Configuración predeterminada del cortafuegos según la ubicación UBICACIÓN CONFIGURACIÓN DEL CORTAFUEGOS En la oficina Desactivado Fuera de la oficina Desactivado Filtrado de tráfico El cortafuegos filtra todo el tráfico de entrada y de salida, lo que permite bloquear determinados tipos de tráfico según los criterios que se indican a continuación: • Dirección (entrada/salida) • Protocolo (TCP/UDP/ICMP/ICMPv6) • Puertos de destino • Equipo de destino Buscar virus de red El cortafuegos también examina cada paquete en busca de virus de red. Inspección de estado El cortafuegos ofrece funciones de inspección de estado que supervisa todas las conexiones con el cliente y recuerda todos los estados de conexión. Puede identificar condiciones específicas en cualquier conexión, predice las acciones que pueden suceder a continuación y detecta las interrupciones en una conexión normal. Por tanto, un uso eficaz del cortafuegos no sólo implica crear perfiles y políticas, sino también analizar paquetes de conexiones y filtros que pasen a través del cortafuegos. Controlador del cortafuegos habitual El controlador del cortafuegos habitual, junto con la configuración del cortafuegos definida por el usuario, bloquea los puertos durante una epidemia. Además, utiliza el archivo de patrones de virus de red para detectar virus de red. Configurar el cortafuegos Configure el cortafuegos para la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las 5-11 Manual del administrador de Worry-Free Business Security 8.0 conexiones Fuera de la oficina. Para obtener información acerca del Conocimiento de ubicación, consulte Definir la configuración de los equipos de sobremesa/servidores en la página 11-5. Trend Micro desactiva el cortafuegos de forma predeterminada. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Seleccione Activar cortafuegos. 6. Seleccione una de las siguientes opciones: 7. • Modo simple: activa el cortafuegos con la configuración predeterminada. Para obtener más información, consulte Configuración predeterminada del cortafuegos en modo simple en la página 5-9. • Modo avanzado: activa el cortafuegos con una configuración personalizada. Si seleccionó Modo avanzado, actualice las siguientes opciones según sea necesario: • 5-12 Nivel de seguridad: El nivel de seguridad controla las reglas de tráfico que se aplicarán en puertos que no estén en la lista de excepciones. • Alto: bloquea todo el tráfico entrante y saliente, excepto el tráfico permitido en la lista de excepciones. • Medio: bloquea todo el tráfico entrante y saliente excepto el tráfico permitido y bloqueado por la lista de excepciones. Gestionar la configuración de seguridad básica para los Security Agents • • • 8. Bajo: permite todo el tráfico entrante y saliente, excepto el tráfico bloqueado en la lista de excepciones. Esta es la configuración predeterminada del Modo sencillo. Configuración • Activar el sistema de detección de intrusiones: El sistema de detección de intrusiones identifica patrones en paquetes de red que pueden indicar un ataque. Consulte el apartado Sistema de detección de intrusiones en la página D-4. • Activar mensajes de alerta: cuando WFBS detecta una infracción, el cliente recibe una notificación al respecto. Excepciones: los puertos de la lista de excepciones no se bloquearán. Consulte el apartado Trabajar con las excepciones del cortafuegos en la página 5-13. Haga clic en Guardar. Los cambios surtirán efecto inmediatamente. Trabajar con las excepciones del cortafuegos La lista de excepciones del cortafuegos contiene entradas que pueden configurarse para permitir o bloquear diferentes tipos de tráfico de red según los números de puerto y las direcciones IP de los clientes. Durante una epidemia, el Security Server aplica las excepciones a las políticas de Trend Micro que se implementan automáticamente para proteger la red. Por ejemplo, durante una epidemia puede optar por bloquear todo el tráfico del cliente, incluido el del puerto HTTP (puerto 80). No obstante, si desea conceder a los clientes bloqueados el acceso a Internet, puede añadir el servidor proxy de Internet a la lista de excepciones. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 5-13 Manual del administrador de Worry-Free Business Security 8.0 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Seleccione Activar cortafuegos. 6. Seleccione Modo avanzado. 7. Para agregar una excepción: a. Haga clic en Agregar. Aparecerá una nueva pantalla. b. Escriba el nombre de la excepción. c. Junto a Acción, haga clic en una de las siguientes opciones: Permitir el tráfico de red • Denegar el tráfico de red d. Junto a Dirección, haga clic en Entrante o Saliente para seleccionar el tipo de tráfico al que desea aplicar la configuración de excepción. e. Seleccione el tipo de protocolo de red de la lista Protocolo: f. 5-14 • • Todos • TCP/UDP (predeterminada) • TCP • UDP • ICMP • ICMPv6 Haga clic en una de las siguientes opciones para especificar los puertos de cliente: Gestionar la configuración de seguridad básica para los Security Agents g. h. • Todos los puertos (predeterminada) • Intervalo: indique el rango de puertos. • Puertos especificados: especifique puertos individuales. Utilice una coma (,) para separar cada uno de los números de puerto. En Equipos, seleccione las direcciones IP de los clientes que desee incluir en la excepción. Por ejemplo, si selecciona Denegar todo el tráfico de red (entrante y saliente) y escribe la dirección IP de un cliente de la red, todos los clientes que tengan esta excepción en su política no podrán enviar ni recibir datos a través de dicha dirección IP. Haga clic en una de las siguientes opciones: • Todas las direcciones IP (predeterminada) • IP única: escriba una dirección IPv4 o IPv6, o un nombre de host. Para resolver el nombre del host cliente con una dirección IP, haga clic en Resolver. • Intervalo IP (para IPv4 o IPv6): escriba dos direcciones IPv4 o dos IPv6 en los campos De y Para. No se puede escribir una dirección IPv6 en un campo y una dirección IPv4 en el otro. • Intervalo IP (para IPv6): escriba un prefijo y longitud de dirección IPv6. Haga clic en Guardar. 8. Para editar una excepción, haga clic en Editar y, a continuación, modifique la configuración en la pantalla que se muestra. 9. Para mover hacia arriba o hacia abajo una excepción en la lista, seleccione la excepción y haga clic en Subir o Bajar hasta que esté en la ubicación que desee. 10. Para eliminar una excepción, selecciónela y haga clic en Eliminar. 5-15 Manual del administrador de Worry-Free Business Security 8.0 Desactivar el cortafuegos en un grupo de agentes Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Seleccione Desactivar el cortafuegos. 6. Haga clic en Guardar. Desactivar el cortafuegos en todos los agentes Procedimiento 1. Acceda a Preferencias > Configuración general > pestaña Equipo de sobremesa o servidor. 2. En Configuración del cortafuegos, seleccione Desactivar el cortafuegos y desinstalar los controladores. 3. Haga clic en Guardar. Reputación Web Reputación Web impide el acceso a las URL que están en la Web o incrustadas en mensajes de correo electrónico que plantean riesgos de seguridad. La función de reputación Web comprueba la reputación de las URL con respecto a los servidores de 5-16 Gestionar la configuración de seguridad básica para los Security Agents reputación Web de Trend Micro y establece una correlación de la reputación y la política de la reputación Web específica aplicada en el cliente. En función de la política en uso: • El Security Agent bloqueará o permitirá el acceso al sitio Web. • El Messaging Security Agent (Advanced solo) pondrá en cuarentena, eliminará o etiquetará los mensajes de correo electrónico que contengan URL maliciosas o permitirá que el mensaje se envíe si la URL es segura. La reputación Web envía una notificación por correo electrónico al administrador y una notificación en línea al usuario si se producen detecciones. Para los Security Agents, configure un nivel de seguridad distinto basado en la ubicación (en la oficina o fuera de la oficina) del cliente. Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura, agréguela a la lista de URL permitidas. Consejo Para ahorrar ancho de banda de la red, Trend Micro recomienda agregar los sitios web internos de la empresa a la lista de URL admitidas por reputación Web. Puntuación de reputación La "puntuación de reputación" de una URL determina si una URL es una amenaza Web. Trend Micro calcula la puntuación mediante métricas de propiedad. Trend Micro considera que una URL es una amenaza Web si su puntuación encaja en un umbral definido y considera que es segura si excede dicho umbral. Un Security Agent tiene tres niveles de seguridad que determinan si se permitirá o se bloqueará el acceso a una URL. • Alto: Bloquea las páginas en los casos siguientes: • Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas • Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas • Sospechosa: Relacionada con spam o probablemente comprometida 5-17 Manual del administrador de Worry-Free Business Security 8.0 • • • Sin probar: Mientras que Trend Micro comprueba de forma activa la seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se bloquea el acceso a las páginas sin comprobar se aumenta la seguridad, pero también se puede impedir el acceso a páginas seguras. Medio: Bloquea las páginas en los casos siguientes: • Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas • Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas Bajo: Bloquea las páginas en los casos siguientes: • Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas Configurar la reputación Web para los Security Agents Web Reputation evalúa el posible riesgo de seguridad de todas las URL solicitadas mediante una consulta a la base de datos de seguridad de Trend Micro en el momento de realizar cada solicitud HTTP/HTTPS. Nota (Solo Standard) Configure la reputación Web para el uso en la oficina o fuera de la oficina. Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se utilizará para las conexiones Fuera de la oficina. Para obtener información acerca del Conocimiento de ubicación, consulte Definir la configuración de los equipos de sobremesa/servidores en la página 11-5. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. 5-18 Gestionar la configuración de seguridad básica para los Security Agents Aparecerá una nueva pantalla. 4. Haga clic en Reputación Web > En la oficina o Reputación Web > Fuera de la oficina. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: • Activar Reputación Web • Nivel de seguridad: Alto, Medio o Bajo. • URL aprobadas • URL para permitir: separe las distintas URL mediante punto y coma (;). Haga clic en Agregar. Nota la aprobación de una URL implica la aprobación de todos sus subdominios. Use los caracteres comodín con cuidado ya que pueden permitir conjuntos grandes de URL. • 6. Lista de URL permitidas: las URL de esta lista no se bloquearán. Para eliminar una entrada, haga clic en el icono de papelera correspondiente. Haga clic en Guardar. Filtrado de URL El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un entorno de Internet más seguro. Puede elegir un nivel de protección de filtrado de URL o personalizar los tipos de sitios Web que desea filtrar. 5-19 Manual del administrador de Worry-Free Business Security 8.0 Configuración del filtrado de URL Puede seleccionar tipos específicos de sitios Web para bloquearlos durante distintas horas del día si selecciona Personalizar. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Filtrado de URL. Aparecerá una nueva pantalla. 5. 5-20 Actualice los siguientes datos según sea necesario: • Activar el filtrado de URL • Intensidad del filtro • Alto: Bloquea amenazas de seguridad conocidas o potenciales, contenido inapropiado u ofensivo, contenido que puede afectar a la productividad o al ancho de banda y páginas sin clasificar • Medio: Bloquea amenazas de seguridad conocidas y contenido inapropiado • Bajo: Bloquea las amenazas de seguridad conocidas • Personalizada: Seleccione sus categorías e indique si desea bloquearlas durante el horario laboral o el tiempo libre. • Reglas de filtrado: seleccione categorías enteras o categorías secundarias para bloquearlas. • Horario laboral: cualquier día u horas que no se definan en Horario laboral se considera tiempo libre. • Filtrado de URL Gestionar la configuración de seguridad básica para los Security Agents • URL para permitir: separe las distintas URL mediante punto y coma (;). Haga clic en Agregar. • Lista de URL permitidas: las URL de esta lista no se bloquearán. Para eliminar una entrada, haga clic en el icono de papelera correspondiente. • URL bloqueadas: separe las distintas URL mediante punto y coma (;). Haga clic en Agregar. • Lista de URL bloqueadas: las URL de esta lista sí se bloquearán. Para eliminar una entrada, haga clic en el icono de papelera correspondiente. Nota Use los caracteres comodín con cuidado, ya que pueden permitir o bloquear conjuntos grandes de URL. La aprobación o bloqueo de una URL implica la aprobación o bloqueo de todos sus subdominios. La lista de permitidos tiene preferencia sobre la lista de bloqueados. Cuando una URL coincide con una entrada en la lista de permitidos, se permite automáticamente la URL y no se comprueba en la lista de bloqueadas. 6. Haga clic en Guardar. Supervisión del comportamiento Los Security Agents supervisan constantemente los clientes para detectar modificaciones inusuales del sistema operativo o del software instalado. Los administradores (o los usuarios) pueden crear listas de excepciones que permitan que algunos programas se inicien mientras infringen un cambio supervisado, o que bloqueen completamente algunos programas. Asimismo, los programas con firma digital válida pueden ejecutarse en todo momento. Otra función de la supervisión de comportamiento consiste en impedir que se eliminen o modifiquen los archivos EXE y DLL. Los usuarios que dispongan de este privilegio 5-21 Manual del administrador de Worry-Free Business Security 8.0 pueden proteger las carpetas que especifiquen. Además, pueden optar por proteger de forma colectiva todos los programas QuickBooks. Configurar la supervisión del comportamiento Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Supervisión de comportamiento. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: • Activar Supervisión de comportamiento Nota Para permitir que los usuarios personalicen la configuración de Supervisión de comportamiento, vaya a Configuración de seguridad > {grupo} > Configurar > Derechos del cliente > Supervisión de comportamiento y seleccione Permitir a los usuarios modificar la configuración de la Supervisión de comportamiento. • Activar Protección de Intuit QuickBooks: protege todos los archivos y carpetas de Intuit QuickBooks de los cambios no autorizados realizados por otros programas. La activación de esta función no afecta a los cambios realizados desde los programas de Intuit QuickBooks, solo evitará que se realicen cambios en los archivos desde otras aplicaciones no autorizadas. Se admiten los siguientes productos: 5-22 • QuickBooks Simple Start • QuickBooks Pro Gestionar la configuración de seguridad básica para los Security Agents • QuickBooks Premier • QuickBooks Online Nota Todos los archivos ejecutables Intuit tienen una firma digital y las actualizaciones de dichos archivos no estarán bloqueadas. Si otros programas intentan modificar el archivo binario Intuit, el agente mostrará un mensaje con el nombre del programa que está intentando actualizar los archivos binarios. Se puede autorizar a otros programas para que actualicen archivos Intuit. Para ello, añada el programa necesario a la lista de excepciones de supervisión de comportamiento en el agente. después de la actualización, no se olvide de quitar el programa de la lista de excepciones. • Activar Bloqueador de comportamientos malintencionados: un grupo de tecnologías basadas en conjuntos de reglas que intentan identificar determinados comportamientos sospechosos que son frecuentes entre el malware o los falsos programas antivirus. Entre los ejemplos de este tipo de comportamiento, se incluyen los nuevos servicios en ejecución repentinos e inexplicables, los cambios en el cortafuegos, las modificaciones en los archivos del sistema, etc. • Excepciones: las excepciones pueden ser una Lista de programas permitidos y una Lista de programas bloqueados. Los programas de la Lista de programas permitidos se pueden iniciar incluso si con ello se infringe un cambio supervisado, mientras que los programas de la Lista de programas bloqueados no se pueden iniciar jamás. • Escribir la ruta completa del programa: Escriba la ruta completa de Windows o UNC del programa. Separe las distintas entradas mediante punto y coma. Haga clic en Agregar a lista de permitidos o Agregar a lista de bloqueados. Si es necesario, utilice variables de entorno para especificar rutas. VARIABLE DE ENTORNO SEÑALA A... $windir$ Carpeta Windows $rootdir$ Carpeta raíz 5-23 Manual del administrador de Worry-Free Business Security 8.0 VARIABLE DE ENTORNO 6. SEÑALA A... $tempdir$ Carpeta temporal de Windows $programdir$ Carpeta Archivos de programa • Lista de programas permitidos: Los programas de esta lista (un máximo de 100) pueden iniciarse. Haga clic en el icono correspondiente para eliminar una entrada. • Lista de programas bloqueados: Los programas de esta lista (un máximo de 100) nunca pueden iniciarse. Haga clic en el icono correspondiente para eliminar una entrada. Haga clic en Guardar. Programa de confianza No se supervisará si los programas incluidos en la Lista de programas de confianza presentan actividades de acceso a archivos sospechosos. Configurar programas de confianza Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Programa de confianza. Aparecerá una nueva pantalla. 5-24 Gestionar la configuración de seguridad básica para los Security Agents 5. Para excluir un programa de la supervisión de actividades de acceso a archivos sospechosos, escriba la ruta completa, usando una ruta de archivo específica, y haga clic en Agregar a la lista de programas de confianza. <nombre_unidad>:/<ruta>/<nombre_archivo> Ejemplo 1: C:\Windows\system32\regedit.exe Ejemplo 2: D:\backup\tool.exe Esto impide que los hackers usen nombres de programas de la lista de exclusión pero puestos en una ruta distinta para ejecutarse. 6. Haga clic en Guardar. Control del dispositivo El control de dispositivos regula el acceso a los dispositivos de almacenamiento externo y a los recursos de red conectados a los clientes. Configurar el control de los dispositivos Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Control de dispositivos. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: • Activar Control de dispositivo 5-25 Manual del administrador de Worry-Free Business Security 8.0 • Activar la prevención de ejecución automática de USB • Permisos: establezca los permisos para los dispositivos USB y los recursos de red. TABLA 5-7. Permisos de control del dispositivo PERMISOS Acceso total Modificar ARCHIVOS DEL DISPOSITIVO Operaciones permitidas: Copiar, Mover, Abrir, Guardar, Eliminar, Ejecutar Operaciones permitidas: Copiar, Mover, Abrir, Guardar, Eliminar ARCHIVOS ENTRANTES Operaciones permitidas: guardar, mover y copiar Esto significa que un archivo se puede guardar, mover y copiar en el dispositivo. Operaciones permitidas: guardar, mover y copiar Operaciones prohibidas: Ejecutar Leer y ejecutar Operaciones permitidas: Copiar, Abrir, Ejecutar Operaciones prohibidas: guardar, mover y copiar Operaciones prohibidas: Guardar, Mover, Eliminar Leída Operaciones permitidas: Copiar, Abrir Operaciones prohibidas: guardar, mover y copiar Operaciones prohibidas: Guardar, Mover, Eliminar, Ejecutar Sin acceso Operaciones prohibidas: todas las operaciones El dispositivo y los archivos que este contiene están visibles para el usuario (por ejemplo, desde el Explorador de Windows). 5-26 Operaciones prohibidas: guardar, mover y copiar Gestionar la configuración de seguridad básica para los Security Agents • Excepciones: aunque un usuario no tenga permiso de lectura para un dispositivo concreto, podrá ejecutar o abrir cualquier archivo o programa que aparezca en la lista de permitidos. Sin embargo, si está activada la prevención de ejecución automática, incluso si un archivo está incluido en la lista de permitidos, no se permitirá ejecutarlo. Para agregar una excepción a la lista de permitidos, escriba el nombre del archivo incluida la ruta o la firma digital y haga clic en Agregar a lista de permitidos. 6. Haga clic en Guardar. Herramientas del usuario • Asesor de Wi-Fi: Determina la seguridad de una conexión inalámbrica comprobando la autenticidad de los puntos de acceso en función de la validez de sus identificadores de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Se mostrará un mensaje de advertencia emergente si la conexión no es segura. • Barra de herramientas antispam: filtra el spam en Microsoft Outlook, proporciona estadísticas y permite cambiar determinados parámetros de configuración. • Case Diagnostic Tool: Trend Micro Case Diagnostic Tool (CDT) recopila la información de depuración necesaria de un producto de cliente siempre que se originan problemas. Activa y desactiva automáticamente el estado de depuración del producto y recopila los archivos necesarios de acuerdo con las categorías de problemas. Trend Micro utiliza esta información para solucionar problemas relacionados con el producto. Esta herramienta solo está disponible en la consola de Security Agent. 5-27 Manual del administrador de Worry-Free Business Security 8.0 Configurar las herramientas de usuario Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Herramientas del usuario. Aparecerá una nueva pantalla. 5. 6. Actualice los siguientes datos según sea necesario: • Activar Asesor de Wi-Fi: comprueba la seguridad de las redes inalámbricas en función de la validez de su identificador de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. • Active la barra de herramientas anti-spam en los clientes de correo compatibles Haga clic en Guardar. Derechos del cliente Otorga derechos de cliente para que los usuarios puedan modificar la configuración del Security Agent en el cliente. Consejo si desea aplicar una política antivirus uniforme en toda la empresa, Trend Micro recomienda conceder derechos limitados a los usuarios. Esto garantiza que los usuarios no modifiquen la configuración de exploración ni descarguen el agente de seguridad. 5-28 Gestionar la configuración de seguridad básica para los Security Agents Configurar los derechos del cliente Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Privilegios del cliente. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: SECCIÓN Antivirus/ Antispyware DERECHOS • Configuración de la exploración manual • Configuración de la exploración programada • Configuración de la exploración en tiempo real • Omitir la exploración programada Firewall Configuración del cortafuegos Reputación Web Continuar la exploración Se mostrará un enlace que permite a los usuarios seguir navegando por una URL maliciosa determinada hasta que el equipo se reinicie. Las advertencias se seguirán mostrando en otras URL maliciosas. Filtrado de URL – Continuar la exploración Se mostrará un enlace que permite a los usuarios seguir navegando por una URL restringida determinada hasta que el equipo se reinicie. Las advertencias se seguirán mostrando en otras URL restringidas. Supervisión del comportamiento Permitir que los usuarios modifiquen la configuración de supervisión del comportamiento. Programa de confianza Permitir que los usuarios modifiquen la Lista de programas de confianza. 5-29 Manual del administrador de Worry-Free Business Security 8.0 SECCIÓN Configuración del proxy DERECHOS Permitir que los usuarios configuren el proxy. Nota Si se desactiva esta función, se restablecerá la configuración predeterminada del proxy. Derechos de actualización • Permitir a los usuarios realizar actualizaciones manuales. • Utilizar Trend Micro ActiveUpdate como fuente de actualización secundaria • Desactivar la implementación de archivos hotfix Nota Implementar archivos hotfix, parches, parches críticos y de seguridad y Service Packs en un gran número de agentes simultáneamente puede aumentar significativamente el tráfico de red. Puede activar esta opción en varios grupos para escalonar la implementación. Al activar esta opción también se desactivan las actualizaciones de compilaciones automáticas en los agentes (por ejemplo, desde la compilación Beta hasta la compilación de lanzamiento de la versión actual del producto), pero no las actualizaciones de versiones automáticas (por ejemplo, desde la versión 7.x hasta la actual). Para desactivar las actualizaciones de versiones automáticas, ejecute el paquete de instalación del Security Server y elija la opción para demorar las actualizaciones. Seguridad del cliente 6. 5-30 Evitar que los usuarios u otros procesos modifiquen los archivos de programa, registros y procesos de Trend Micro. Haga clic en Guardar. Gestionar la configuración de seguridad básica para los Security Agents Directorio de cuarentena Si la acción para un archivo infectado es "Poner en cuarentena", el Security Agent cifrará el archivo y lo moverá temporalmente a una carpeta de cuarentena ubicada en: • <Carpeta de instalación del Security Agent>\quarantine para agentes actualizados a partir de la versión 6.x o las anteriores. • <Carpeta de instalación del Security Agent>\SUSPECT\Backup para agentes recién instalados y aquellos que se hayan actualizado a partir de la versión 7.x o las posteriores. El Security Agent envía el archivo infectado a un directorio de cuarentena central, que se puede configurar desde la consola Web, mediante Configuración de seguridad > {Grupo} > Configurar > Poner en cuarentena. Directorio de cuarentena central predeterminado El directorio de cuarentena central predeterminado se encuentra en el Security Server. Posee un formato de URL y contiene la dirección IP o el nombre de host del Security Server, por ejemplo, http://server. La ruta absoluta equivalente es <Carpeta de instalación del Security Server>\PCCSRV\Virus. • Si el servidor administra agentes tanto IPv4 como IPv6, utilice el nombre de host para que todos los agentes puedan enviar archivos en cuarentena al servidor. • Si el servidor solo tiene dirección IPv4 o solo se identifica mediante ella, únicamente los agentes que utilicen solo IPv4 y los de doble pila pueden enviar archivos en cuarentena al servidor. • Si el servidor solo tiene dirección IPv6 o solo se identifica mediante ella, únicamente los agentes que utilicen solo IPv6 y los de doble pila pueden enviar archivos en cuarentena al servidor. Directorio de cuarentena central alternativo Puede especificar un directorio de cuarentena central alternativo; para ello, escriba la ubicación en formato de URL, ruta UNC o ruta de archivo absoluta. Los Security Agents deberían poder conectarse a este directorio. Por ejemplo, el directorio debe tener una dirección IPv6 si va a recibir archivos en cuarentena de agentes de doble pila y de agentes que solo utilicen IPv6. Trend Micro recomienda designar un directorio de doble 5-31 Manual del administrador de Worry-Free Business Security 8.0 pila, identificar el directorio por su nombre de host y utilizar la ruta UNC al escribir el directorio. Directrices para especificar el directorio de cuarentena central Consulte la siguiente tabla para ver información sobre cuándo utilizar la URL, la ruta UNC o la ruta de archivos absoluta: TABLA 5-8. Directorio de cuarentena DIRECTORIO DE FORMATO CUARENTENA ACEPTADO Directorio predeterminado en el Security Server Otro directorio en el Security Server 5-32 EJEMPLO URL http:// <nombre de host o dirección IP del servidor> Ruta UNC \\<nombre de host o dirección IP del servidor> \ ofcscan\Virus Ruta UNC \\<nombre de host o dirección IP del servidor> \ D$\Quarantined Files NOTAS Si decide mantener el directorio predeterminado, defina la configuración de mantenimiento para él (por ejemplo, el tamaño de la carpeta de cuarentena) en Preferencias > Configuración general > pestaña Sistema > sección Mantenimiento de la cuarentena. Si no desea usar el directorio predeterminado (por ejemplo, si no tiene suficiente espacio en disco), escriba la ruta UNC a otro directorio. En tal caso, escriba la ruta absoluta equivalente en Preferencias > Configuración general > pestaña Sistema > sección Mantenimiento de la cuarentena para que la configuración de mantenimiento surta efecto. Gestionar la configuración de seguridad básica para los Security Agents DIRECTORIO DE FORMATO CUARENTENA ACEPTADO EJEMPLO NOTAS Asegúrese de que los agentes se puedan conectar a este directorio. Si especifica un directorio incorrecto, el agente guardará los archivos en cuarentena hasta que se especifique un directorio de cuarentena correcto. En los registros de virus/malware del servidor, el resultado de la exploración es "No se puede enviar el archivo en cuarentena a la carpeta de cuarentena indicada". Directorio de otro equipo del Security Server (en caso de disponer de otros Security Servers en la red) URL http:// <nombre de host o dirección IP del servidor 2> Ruta UNC \\<nombre de host o dirección IP del servidor 2>\ ofcscan \Virus Otro equipo en la red Ruta UNC \ \<nombre_equipo> \temp Otro directorio en el cliente Ruta absoluta C:\temp Si utiliza una ruta UNC, asegúrese de que la carpeta del directorio de cuarentena está compartida con el grupo "Todos" y que este grupo tiene asignados derechos de escritura y lectura. Especifique una ruta absoluta en los siguientes casos: • Desea que los archivos en cuarentena residan únicamente en el cliente. • No desea que los agentes almacenen los archivos en el directorio predeterminado en el cliente. Si no existe la ruta, el Security Agent la crea automáticamente. Configurar el directorio de cuarentena Procedimiento 1. Acceda a Configuración de seguridad. 5-33 Manual del administrador de Worry-Free Business Security 8.0 2. Seleccione un grupo de servidores o equipos de sobremesa. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Poner en cuarentena. Aparecerá una nueva pantalla. 5. Configure el directorio de cuarentena. Para obtener más información, consulte Directorio de cuarentena en la página 5-31. 6. Haga clic en Guardar. 5-34 Capítulo 6 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) En este capítulo se describen las características del Messaging Security Agent y se explica cómo configurar las opciones de exploración en tiempo real, antispam, filtrado de contenidos, bloqueo de archivos adjuntos y mantenimiento de la cuarentena para el agente. 6-1 Manual del administrador de Worry-Free Business Security 8.0 Agentes Messaging Security Agent Los Messaging Security Agents protegen los servidores Microsoft Exchange. El agente ayuda a evitar las amenazas de correo electrónico mediante la exploración del correo que entra al almacén de correo de Microsoft Exchange y el que sale de él, además del correo que se envía entre el servidor Microsoft Exchange y destinos externos. Además, Messaging Security Agent puede: • Reducir el spam • Bloquear mensajes de correo electrónico según su contenido • Bloquear o restringir mensajes de correo electrónico con archivos adjuntos • Detectar URL maliciosas en el correo electrónico • Impedir la pérdida de datos confidenciales Información importante acerca de los Messaging Security Agents • Messaging Security Agent solo se puede instalar en servidores Microsoft Exchange. • El árbol Grupos de seguridad en la consola Web muestra todos los Messaging Security Agents. No se pueden combinar varios Messaging Security Agent en un grupo; cada Messaging Security Agent debe administrarse de manera individual. • WFBS utiliza el Messaging Security Agent para recopilar información de seguridad de los servidores Microsoft Exchange. Por ejemplo, el Messaging Security Agent notifica las detecciones de spam o la finalización de la actualización de componentes al Security Server. Esta información se muestra en la consola Web. El Security Server también usa esta información para generar registros e informes sobre el estado de seguridad de los servidores Microsoft Exchange. cada amenaza detectada genera una entrada/notificación de registro. Esto significa que, si Messaging Security Agent detecta múltiples amenazas en un solo mensaje de correo electrónico, se generarán varias entradas y notificaciones de registro. Asimismo puede ocurrir que se detecte la misma amenaza varias veces, especialmente si se utiliza el modo de caché en Outlook 2003. Cuando el modo de caché está activado, podría detectarse la misma amenaza en la carpeta de cola para la transferencia y en la carpeta Elementos enviados o en la carpeta Bandeja de salida. 6-2 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • En los equipos que ejecuten Microsoft Exchange Server 2007, el Messaging Security Agent utiliza una base de datos de SQL Server. A fin de evitar problemas, los servicios del Messaging Security Agent están diseñados para depender de la instancia del servicio SQL Server MSSQL$SCANMAIL. Siempre que esta instancia se detenga o reinicie, se detendrán igualmente los siguientes servicios del Messaging Security Agent: • ScanMail_Master • ScanMail_RemoteConfig Reinicie manualmente estos servicios si MSSQL$SCANMAIL se ha detenido o reiniciado. Hay distintos sucesos que pueden causar el reinicio o la detención de MSSQL$SCANMAIL (incluida la actualización de SQL Server). Cómo explora Messaging Security Agent los mensajes de correo electrónico El Messaging Security Agent usa la siguiente secuencia para explorar los mensajes de correo electrónico: 1. Explora en busca de spam (antispam). a. Compara el mensaje de correo electrónico con la lista de remitentes permitidos/bloqueados del administrador. b. Busca casos de phishing. c. Compara el mensaje de correo electrónico con la lista de excepciones suministrada por Trend Micro. d. Compara el mensaje de correo electrónico con la base de datos de firmas de spam. e. Aplica reglas de exploración heurísticas. 2. Busca infracciones de las reglas del filtrado de contenido. 3. Busca archivos adjuntos que excedan los parámetros definidos por el usuario. 4. Explora en busca de virus/malware (antivirus). 6-3 Manual del administrador de Worry-Free Business Security 8.0 5. Explora en busca de URL maliciosas Configuración predeterminada de Messaging Security Agent Tenga en cuenta las opciones de la tabla para optimizar la configuración del Messaging Security Agent. TABLA 6-1. Acciones predeterminadas de Trend Micro para Messaging Security Agent OPCIÓN DE EXPLORACIÓN EXPLORACIÓN EN TIEMPO REAL EXPLORACIONES MANUAL Y PROGRAMADA Antispam Spam Poner el mensaje en cuarentena en la carpeta de spam del usuario (opción predeterminada, si se ha instalado la característica de correo electrónico no deseado de Outlook o End User Quarantine) No aplicable Phish Eliminar todo el mensaje No aplicable Filtrar mensajes que coincidan con cualquier condición definida Poner en cuarentena todo el mensaje Sustituir Filtrar mensajes que coincidan con todas las condiciones definidas Poner en cuarentena todo el mensaje No aplicable Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares Poner en cuarentena todo el mensaje Sustituir Filtrado de contenido 6-4 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) OPCIÓN DE EXPLORACIÓN Crear una excepción para cuentas de correo electrónico particulares EXPLORACIÓN EN TIEMPO REAL Omitir EXPLORACIONES MANUAL Y PROGRAMADA Omitir Bloqueo de archivos adjuntos Acción Sustituir archivo adjunto por texto o archivo Sustituir archivo adjunto por texto o archivo Archivos cifrados y protegidos mediante contraseña Omitir (al establecer la acción en Omitir, se omiten los archivos cifrados y los protegidos mediante contraseña y no se registra el suceso) Omitir (al establecer la acción en Omitir, se omiten los archivos cifrados y los protegidos mediante contraseña y no se registra el suceso) Archivos excluidos (archivos con más restricciones de exploración) Omitir (al establecer la acción en Omitir, se omiten los archivos o el cuerpo del mensaje que superan las restricciones de exploración especificadas y no se registra el suceso) Omitir (al establecer la acción en Omitir, se omiten los archivos o el cuerpo del mensaje que superan las restricciones de exploración especificadas y no se registra el suceso) Otros Exploración en tiempo real para los Messaging Security Agents La exploración en tiempo real es un proceso continuo. La exploración en tiempo real en el Messaging Security Agent (Advanced solo) protege todos los puntos de entrada de virus conocidos mediante la exploración de todos los mensajes entrantes, los mensajes SMTP, los documentos publicados en carpetas públicas y los archivos replicados desde otros servidores Microsoft Exchange. 6-5 Manual del administrador de Worry-Free Business Security 8.0 Configurar la exploración en tiempo real para Messaging Security Agent Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Antivirus. Aparecerá una nueva pantalla. 5. Seleccione Activar antivirus en tiempo real. 6. Configurar los parámetros de exploración. Para obtener más información, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19. 7. Haga clic en Guardar. Puede configurar las personas que reciben notificaciones cuando tiene lugar un suceso. Consulte el apartado Configurar sucesos de notificaciones en la página 9-3. Antispam WFBS ofrece dos formas de combatir el spam: la reputación del correo electrónico (Email Reputation) y la exploración del contenido. Messaging Security Agent utiliza los siguientes componentes para filtrar los mensajes de correo electrónico en busca de spam e incidentes de phishing: 6-6 • Motor antispam de Trend Micro • Archivos de patrones de spam de Trend Micro Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Trend Micro actualiza frecuentemente el motor y el archivo de patrones y permite descargarlos. Security Server puede descargar estos componentes mediante una actualización manual o programada. El motor antispam usa firmas de spam y reglas heurísticas para filtrar los mensajes de correo electrónico. Explora los mensajes de correo electrónico y asigna una puntuación de spam a cada uno según el grado de coincidencia con las reglas y los patrones del archivo de patrones. Messaging Security Agent compara la puntuación de spam con el nivel de detección de spam definido por el usuario. Cuando la puntuación de spam supera el nivel de detección, el agente realiza una acción contra el spam. Por ejemplo: los creadores de spam suelen utilizar numerosos signos de admiración o más de un signo seguido (!!!!) en sus mensajes. Cuando Messaging Security Agent detecta un mensaje que usa signos de exclamación de este modo, aumenta la puntuación de spam de ese mensaje de correo electrónico. Consejo además de utilizar la función antispam para filtrar el spam, puede configurar un filtrado de contenidos para filtrar el encabezado del mensaje, el asunto, el cuerpo y los archivos adjuntos en busca de spam y contenido no deseado. Los usuarios no pueden modificar el método que usa el motor antispam para asignar las puntuaciones de spam, pero pueden ajustar los niveles de detección que usa Messaging Security Agent para decidir si un mensaje es spam o no. Nota De forma automática, Microsoft Outlook puede filtrar los mensajes que el Messaging Security Agent detectó como spam y enviarlos a la carpeta de correo no deseado. Email Reputation La tecnología Email Reputation determina si un correo es spam en función de la reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera parte del trabajo que es responsabilidad del Security Server. Cuando Email Reputation está activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP 6-7 Manual del administrador de Worry-Free Business Security 8.0 entrante para discernir si la dirección IP de origen está limpia o si, por el contrario, está incluida en alguna lista como un vector de spam conocido. Email Reputation consta de dos niveles de servicio. Estos niveles son: • Estándar: El servicio Estándar utiliza una base de datos que rastrea la reputación de unos dos billones de direcciones IP. Las direcciones IP que constantemente están asociadas a la entrega de mensajes de spam se agregan a la base de datos y casi siempre permanecen en ella. • Avanzado: El nivel de servicio Avanzado es un servicio DNS basado en consultas igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos de reputaciones estándar junto con la base de datos de reputaciones en tiempo real dinámica que bloquea los mensajes procedentes de orígenes sospechosos o conocidos de spam. Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP bloqueada o sospechosa, Email Reputation la detiene antes de que alcance la infraestructura de mensajería del destinatario. Configurar Email Reputation Puede configurar Email Reputation para bloquear mensajes procedentes de fuentes de spam conocidas o sospechosas de serlo. Además, puede crear exclusiones para permitir o bloquear mensajes de otros remitentes. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Antispam > Email Reputation. Aparecerá una nueva pantalla. 5. 6-8 En la pestaña Destino, actualice la siguiente información según sea necesario: Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • Activar el antispam en tiempo real (Email Reputation) • Nivel de servicio: • Estándar • Avanzado • Direcciones IP permitidas: Los mensajes de correo electrónico procedentes de estas direcciones IP no se bloquearán nunca. Escriba la dirección IP que desee permitir y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones IP desde un archivo de texto. Para eliminar una dirección IP, selecciónela y haga clic en Eliminar. • Direcciones IP bloqueadas: Los mensajes de correo electrónico procedentes de estas direcciones IP se bloquearán siempre. Escriba la dirección IP que desee bloquear y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones IP desde un archivo de texto. Para eliminar una dirección IP, selecciónela y haga clic en Eliminar. 6. Haga clic en Guardar. 7. Vaya a: http://ers.trendmicro.com/ para ver informes. Nota Email Reputation es un servicio basado en Web. Los administradores solo pueden configurar el nivel de servicio desde la consola Web. Exploración del contenido Exploración del contenido determina qué es spam en función del contenido del mensaje, en lugar de usar la IP que lo originó. Messaging Security Agent utiliza el motor antispam y el archivo de patrones de spam de Trend Micro para filtrar el spam de cada mensaje de correo electrónico antes de entregarlo al almacén de información. El servidor Microsoft Exchange no procesará el correo spam rechazado y los mensajes no llegan a los buzones de correo del usuario. 6-9 Manual del administrador de Worry-Free Business Security 8.0 Nota No confunda la exploración de contenido (antispam basada en firmas y heurística) con filtrado de contenido (exploración y bloqueo de correos electrónicos basado en palabras clave categorizadas). Consulte el apartado Filtrado de contenido en la página 6-15. Configurar la exploración del contenido El Messaging Security Agent puede detectar los mensajes de spam en tiempo real y realizar acciones para proteger los servidores Microsoft Exchange. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Antispam > Exploración del contenido. Aparecerá una nueva pantalla. 5. Seleccione Activar el antispam en tiempo real. 6. seleccione la pestaña Destino para seleccionar el método y la tasa de detección de spam que Messaging Security Agent utilizará para buscar spam: a. Seleccione el nivel de detección, bajo, medio o alto, desde la lista de tasa de detección de spam. Messaging Security Agent utiliza este valor para filtrar todos los mensajes. • 6-10 Alto: Este es el nivel más estricto de detección de spam. Messaging Security Agent supervisa todos los mensajes de correo electrónico en busca de archivos o texto sospechosos pero aumenta la tasa de falsos positivos. Los falsos positivos son mensajes de correo electrónico que Messaging Security Agent filtra como spam cuando se trata en realidad de mensajes legítimos. Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • Medio: esta es la configuración predeterminada y recomendada. En un nivel elevado de detección de spam, Messaging Security Agent supervisa con una tasa moderada de filtrado de falsos positivos. • Bajo: Es el nivel más flexible de detección de spam. Messaging Security Agent solo filtra los mensajes de spam más obvios y comunes pero la tasa de filtrado de falsos positivos es muy baja. Filtrado según la puntuación de spam. b. Haga clic en Detectar incidentes de phishing para que el Messaging Security Agent filtre incidentes de phishing. Para obtener más información, consulte Incidentes de phishing en la página 1-13. c. Añada las direcciones a las listas de Remitentes permitidos y Remitentes bloqueados. Para obtener más información, consulte Listas de remitentes permitidos y bloqueados en la página 6-12. • Remitentes permitidos: los mensajes de correo electrónico procedentes de estas direcciones o nombres de dominio no se bloquearán nunca. Escriba las direcciones o nombres de dominio que desee aprobar y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones o nombres de dominio desde un archivo de texto. Para eliminar direcciones o nombres de dominio, seleccione la dirección y haga clic en Eliminar. • Remitentes bloqueados: los mensajes de correo electrónico procedentes de estas direcciones o nombres de dominio se bloquearán siempre. Escriba las direcciones o nombres de dominio que desee bloquear y haga clic en Agregar. Si es preciso, puede importar una lista de direcciones o nombres de dominio desde un archivo de texto. Para eliminar direcciones o nombres de dominio, seleccione la dirección y haga clic en Eliminar. Nota el administrador de Microsoft Exchange mantiene una lista independiente de remitentes permitidos y bloqueados para el servidor Microsoft Exchange. Si un usuario final crea un remitente permitido, pero ese remitente se encuentra en la lista de remitentes bloqueados del administrador, entonces Messaging Security Agent detectará los mensajes de ese remitente bloqueado como spam y les aplicará la acción correspondiente. 6-11 Manual del administrador de Worry-Free Business Security 8.0 7. Haga clic en la pestaña Acción para configurar las acciones que realizará el Messaging Security Agent cuando detecte un mensaje de spam o un incidente de phishing. Nota Para obtener información detallada acerca de las acciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19. Messaging Security Agent realizará una de las siguientes acciones en función de la configuración definida: • Poner en cuarentena el mensaje en la carpeta para spam del servidor • Poner el mensaje en cuarentena en la carpeta para spam del usuario Nota Si elige esta acción, configure la herramienta End User Quarantine. Para obtener más información, consulte Configurar el mantenimiento del spam en la página 6-63. 8. • Eliminar todo el mensaje • Etiquetar y entregar Haga clic en Guardar. Listas de remitentes permitidos y bloqueados Una lista de remitentes permitidos es una lista de direcciones de correo electrónico de confianza. El Messaging Security Agent no filtra en busca de spam los mensajes provenientes de estas direcciones, excepto cuando la opción Detectar incidentes de phishing está activada. Cuando está activada la opción Detectar incidentes de phishing y el agente detecta un incidente de phishing en un mensaje de correo electrónico, entonces no se entregará ese mensaje aunque pertenezca a la lista de remitentes permitidos. Una lista de remitentes bloqueados es una lista de direcciones de correo electrónico sospechosas. El agente siempre clasifica los mensajes de remitentes bloqueados como spam y les aplica la acción correspondiente. 6-12 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Existen dos listas de remitentes permitidos: una para el administrador de Microsoft Exchange y otra para el usuario final. • Las listas de remitentes permitidos y bloqueados del administrador de Microsoft Exchange (en la pantalla Antispam) controlan el modo en que Messaging Security Agent trata los mensajes de correo electrónico vinculados al servidor Microsoft Exchange. • El usuario final puede gestionar la carpeta de correo spam que se crea durante la instalación. Las listas de los usuarios finales se aplican solo a los mensajes vinculados al almacén de correo del servidor de cada usuario final. Directrices generales • Las listas de remitentes permitidos y bloqueados de un servidor Microsoft Exchange tienen preferencia sobre las de un cliente. Por ejemplo, el remitente "[email protected]" se encuentra en la lista de remitentes bloqueados del administrador, pero el usuario final ha incluido esta dirección en su lista de remitentes permitidos. Los mensajes de ese remitente llegan al almacén de Microsoft Exchange y Messaging Security Agent los detecta como spam y realiza la acción correspondiente. Si el agente realiza la acción "Poner en cuarentena el mensaje en la carpeta para spam del usuario", intentará entregar el mensaje en la carpeta para spam del usuario final, pero, en vez de ello, el mensaje se redireccionará a la bandeja de entrada del usuario final porque el usuario ha autorizado a ese remitente. • Cuando se utiliza Outlook, hay un límite de tamaño de las reglas para la cantidad y el tamaño de las direcciones de la lista. Con el fin de evitar un error del sistema, Messaging Security Agent limita la cantidad de direcciones que un usuario final puede incluir en su lista de remitentes permitidos (este límite se calcula según la longitud y el número de direcciones de correo electrónico). Coincidencia de caracteres comodín Messaging Security Agent admite la coincidencia de caracteres comodín para las listas de remitentes permitidos y bloqueados. Utiliza un asterisco (*) como el carácter comodín. Messaging Security Agent no es compatible con la coincidencia de caracteres comodín en la parte del nombre de usuario. Sin embargo, si escribe un patrón como “*@trend.com”, el agente lo tratará como “@trend.com”. Solo puede usar un comodín si cumple las siguientes condiciones: 6-13 Manual del administrador de Worry-Free Business Security 8.0 • Está situado junto a un solo punto y es el primer carácter o el último de una cadena. • Está situado a la izquierda de un signo @ y es el primer carácter de la cadena. • Toda parte que falte al principio o al final de la cadena cumple la misma función que un comodín. TABLA 6-2. Coincidencia de caracteres comodín en direcciones de correo electrónico PATRÓN EJEMPLOS DE COINCIDENCIA EJEMPLOS DE NO COINCIDENCIA [email protected] [email protected] Cualquier dirección distinta al patrón @ejemplo.com [email protected] [email protected] *@ejemplo.com [email protected] [email protected] [email protected] ejemplo.com [email protected] [email protected] [email protected] [email protected] [email protected] m [email protected] [email protected] *.ejemplo.com [email protected] [email protected] [email protected] m [email protected] [email protected] [email protected] ejemplo.com.* [email protected] [email protected] [email protected] [email protected] [email protected]. us [email protected] [email protected] 6-14 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) PATRÓN *.ejemplo.com.* EJEMPLOS DE COINCIDENCIA EJEMPLOS DE NO COINCIDENCIA [email protected] [email protected] [email protected]. us [email protected] [email protected] [email protected] s *.*.*.ejemplo.com Lo mismo ocurre con "*.ejemplo.com" *****.ejemplo.com *ejemplo.com Patrones no válidos ejemplo.com* ejemplo.*.com @*.ejemplo.com Filtrado de contenido El filtrado de contenido evalúa los mensajes de correo electrónico entrantes y salientes según las reglas que ha definido el usuario. Cada regla contiene una lista de palabras clave y frases. El filtrado de contenido evalúa el encabezado y/o el contenido de los mensajes comparando éstos con la lista de palabras clave. Cuando el filtrado de contenido encuentra una palabra que coincide con una palabra clave, puede realizar una acción para evitar que el contenido no deseado se entregue a los clientes de Microsoft Exchange. Messaging Security Agent puede enviar notificaciones siempre que realiza una acción frente a contenido no deseado. Nota No confunda la exploración de contenido (antispam basada en firmas y heurística) con filtrado de contenido (exploración y bloqueo de correos electrónicos basado en palabras clave categorizadas). Consulte el apartado Exploración del contenido en la página 6-9. El filtrado de contenido permite a los administradores evaluar y controlar la entrega de correo electrónico según el propio texto del mensaje. Esta característica se puede utilizar 6-15 Manual del administrador de Worry-Free Business Security 8.0 para supervisar los mensajes entrantes y salientes y, asimismo, para comprobar la existencia de contenido molesto, ofensivo o censurable en algún aspecto. El filtrado de contenidos también dispone de una función de comprobación de sinónimos para ampliar el alcance de las políticas. Por ejemplo, se pueden crear reglas para buscar los siguientes elementos: • Lenguaje sexual molesto • Lenguaje racista • Spam incrustado en el cuerpo de un mensaje de correo electrónico Nota el filtrado de contenido no está activado de forma predeterminada. Gestionar las reglas del filtrado de contenidos El Messaging Security Agent muestra todas las reglas de filtrado de contenido en la pantalla Filtrado de contenido. Para acceder a esta pantalla: • Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Configurar > Filtrado de contenido • Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido • Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido Procedimiento 1. Podrá ver información resumida sobre las reglas, por ejemplo: • 6-16 Regla: WFBS incluye reglas predeterminadas que filtran contenido en función de las siguientes categorías: Blasfemias, Discriminación racial, Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Discriminación sexual, Bulos y Correo en cadena. Estas reglas están desactivadas de forma predeterminada. Puede modificarlas en función de sus necesidades o bien eliminarlas. Si ninguna de esas reglas cumple sus requisitos, añada sus propias reglas. 2. • Acción: El Messaging Security Agent realiza esta acción cuando detecta contenido no deseado. • Prioridad: El Messaging Security Agent aplica los filtros en la secuencia que determina el orden indicado en esta página. • Activado: Un icono verde indica que la regla está activada. Si el icono es rojo, significa que la regla está desactivada. Realice las siguientes tareas: TAREA PASOS Activar/desactivar el filtrado de contenido Marque o desmarque la opción Activar el filtrado de contenido en tiempo real en la parte superior de la pantalla. Agregar una regla Haga clic en Agregar. Se abre una nueva pantalla en la que podrá elegir el tipo de regla que desea agregar. Para conocer los detalles, consulte Tipos de reglas para filtrar contenidos en la página 6-20. 6-17 Manual del administrador de Worry-Free Business Security 8.0 TAREA Modificar una regla PASOS a. Haga clic en el nombre de la regla. Se abrirá una nueva pantalla. b. Las opciones disponibles en la pantalla dependen del tipo de regla. Para determinar el tipo de regla, consulte la "pista" situada en la parte superior de la pantalla y tome nota del segundo elemento de la pista. Por ejemplo: Filtrado de contenido > Coincidir con cualquier regla de condición > Editar regla Para obtener detalles sobre las configuraciones de regla que puede modificar, consulte los siguientes temas: • Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición en la página 6-24 • Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones en la página 6-21 Nota Este tipo de regla no está disponible para las exploraciones manuales y programadas de filtrado de contenidos. 6-18 • Agregar reglas de supervisión para el filtrado de contenido en la página 6-27 • Crear excepciones para las reglas de filtrado de contenidos en la página 6-30 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) TAREA Reordenar reglas PASOS El Messaging Security Agent aplica las reglas de filtrado de contenidos a los mensajes de correo electrónico según el orden de aparición en la pantalla Filtrado de contenidos. Puede configurar el orden de aplicación de las reglas. El agente filtra todos los mensajes de correo según cada regla hasta que una infracción de contenido activa una acción que detiene la exploración (como eliminar o poner en cuarentena). Es posible modificar el orden de estas reglas para optimizar el filtrado de contenido. a. Seleccione una casilla de verificación que se corresponda con la regla a la que desea cambiar el orden. b. Haga clic en Reordenar. Aparecerá un cuadro alrededor del número de orden de la regla. c. En el cuadro de la columna Prioridad, elimine el número de orden existente y escriba uno nuevo. Nota Asegúrese de introducir un número que no sea superior al número total de reglas de la lista. Si introduce un número superior al número total de reglas, WFBS omite la entrada y no cambia el orden de la regla. d. Haga clic en Guardar reordenación. La regla se desplaza al nivel de prioridad especificado y los números de orden de todas las demás reglas cambian convenientemente. Por ejemplo, si selecciona el número de regla 5 y lo cambia por el número 3, entonces los números de regla 1 y 2 seguirán siendo los mismos, pero las reglas con el número 3 en adelante aumentarán en uno. Activar/Desactivar reglas Haga clic en el icono que hay en la columna Activado. 6-19 Manual del administrador de Worry-Free Business Security 8.0 TAREA Eliminar las reglas PASOS Cuando se elimina una regla, Messaging Security Agent actualiza el orden del resto de las reglas para reflejar el cambio. Nota la eliminación de una regla es una operación irreversible, por lo que es conveniente plantearse deshabilitarlas en lugar de eliminarlas. 3. a. Seleccione una norma. b. Haga clic en Eliminar. Haga clic en Guardar. Tipos de reglas para filtrar contenidos Se pueden crear reglas que filtren los mensajes de correo según las condiciones que especifique o según las direcciones de correo del remitente o del destinatario. Las condiciones que se pueden especificar en la regla son: qué campos del encabezado explorar, si se buscará o no en el cuerpo de un mensaje y qué palabras clave se deben buscar. Puede crear reglas que permitan hacer lo siguiente: • Filtrar mensajes que coincidan con cualquier condición definida: Con este tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una exploración. Para obtener más información, consulte Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición en la página 6-24. • Filtrar mensajes que coincidan con todas las condiciones definidas: Con este tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una exploración. Para obtener más información, consulte Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones en la página 6-21. 6-20 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota Este tipo de regla no está disponible para las exploraciones manuales y programadas de filtrado de contenidos. • Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares: Este tipo de regla supervisa el contenido de los mensajes de cuentas de correo electrónico particulares. Las reglas de supervisión son similares a las reglas de filtrado de contenido generales, excepto por el hecho de que solo filtran el contenido de cuentas de correo electrónico específicas. Para obtener más información, consulte Agregar reglas de supervisión para el filtrado de contenido en la página 6-27. • Crear excepciones para cuentas de correo electrónico particulares: Este tipo de regla crea una excepción para una cuenta de correo electrónico determinada. Cuando se excluye una cuenta de correo electrónico en concreto, esta cuenta no se filtrará en busca de infracciones de las reglas de contenido. Para obtener más información, consulte Crear excepciones para las reglas de filtrado de contenidos en la página 6-30. Tras haber creado una regla, el Messaging Security Agent comienza a filtrar todos los mensajes entrantes y salientes según dicha regla. Cuando se produce una infracción de contenido, Messaging Security Agent realiza una acción contra el mensaje. La acción que realiza Security Server también depende de las acciones definidas en la regla. Agregar reglas de filtrado de contenidos para la coincidencia con todas las condiciones Este tipo de regla no está disponible para las exploraciones manuales y programadas de filtrado de contenidos. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. 6-21 Manual del administrador de Worry-Free Business Security 8.0 Aparecerá una nueva pantalla. 4. Haga clic en Filtrado de contenidos. Aparecerá una nueva pantalla. 5. Haga clic en Agregar. Aparecerá una nueva pantalla. 6. Seleccione Filtrar mensajes que coincidan con todas las condiciones definidas. 7. Haga clic en Siguiente. 8. Escriba el nombre de la regla en el campo Nombre de la regla. 9. Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: • Encabezado (De, Para y Cc) • Asunto • Tamaño del cuerpo del mensaje o del adjunto • Nombre del archivo adjunto Nota Messaging Security Agent solo puede filtrar el contenido del encabezado y el asunto durante una exploración en tiempo real. 10. Haga clic en Siguiente. 11. Seleccione la acción que Messaging Security Agent realizará cuando detecte contenido no deseado. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): • 6-22 Sustituir por texto o archivo Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. • Poner en cuarentena todo el mensaje • Poner en cuarentena parte del mensaje • Eliminar todo el mensaje • Archivar • Omitir todo el mensaje 12. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 13. Seleccione Notificar a remitentes para configurar Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 14. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico en cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico archivado, o 6-23 Manual del administrador de Worry-Free Business Security 8.0 bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage\backup for content filter 15. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de filtrado de contenido sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de filtrado de contenido cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 16. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenido. Agregar reglas de filtrado de contenidos para la coincidencia con cualquier condición • Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Configurar > Filtrado de contenido • Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido • Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido 6-24 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Procedimiento 1. Haga clic en Agregar. Aparecerá una nueva pantalla. 2. Seleccione Filtrar mensajes que coincidan con cualquier condición definida. 3. Haga clic en Siguiente. 4. Escriba el nombre de la regla en el campo Nombre de la regla. 5. Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: • Encabezado (De, Para y Cc) • Asunto • Cuerpo • Adjunto Nota Messaging Security Agent solo puede filtrar el contenido del encabezado y el asunto durante una exploración en tiempo real. 6. Haga clic en Siguiente. 7. Agregue las palabras clave de la parte del mensaje que desea filtrar en busca de contenido no deseado. Para obtener más información sobre cómo funcionan las palabras clave, consulte Palabras clave en la página D-5 8. a. Si fuera necesario, seleccione si desea que el filtrado distinga entre mayúsculas y minúsculas. b. Importe nuevos archivos de palabras clave desde un archivo .txt en caso de que sea necesario. c. Defina una lista de sinónimos. Haga clic en Siguiente. 6-25 Manual del administrador de Worry-Free Business Security 8.0 9. Seleccione la acción que Messaging Security Agent realizará cuando detecte contenido no deseado. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): • Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. • Poner en cuarentena todo el mensaje • Poner en cuarentena parte del mensaje • Eliminar todo el mensaje • Archivar 10. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 11. Seleccione Notificar a remitentes para configurar Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 12. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. 6-26 En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico en Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico archivado, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage\backup for content filter 13. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de filtrado de contenido sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de filtrado de contenido cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 14. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenido. Agregar reglas de supervisión para el filtrado de contenido • Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Configurar > Filtrado de contenido • Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido 6-27 Manual del administrador de Worry-Free Business Security 8.0 • Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido Procedimiento 1. Haga clic en Agregar. Aparecerá una nueva pantalla. 2. Seleccione Supervisar el contenido de los mensajes de cuentas de correo electrónico particulares. 3. Haga clic en Siguiente. 4. Escriba el nombre de la regla en el campo Nombre de la regla. 5. Defina las cuentas de correo electrónico que desee supervisar. 6. Haga clic en Siguiente. 7. Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: • Asunto • Cuerpo • Adjunto Nota Messaging Security Agent solo es compatible con el filtrado de estas partes del mensaje durante la exploración en tiempo real. No admite el filtrado del contenido del encabezado ni del asunto durante las exploraciones manuales y programadas. 8. Agregue las palabras clave de la parte del mensaje que desea filtrar en busca de contenido no deseado. Para obtener más información sobre cómo funcionan las palabras clave, consulte Palabras clave en la página D-5 a. 6-28 Si fuera necesario, seleccione si desea que el filtrado distinga entre mayúsculas y minúsculas. Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) 9. b. Importe nuevos archivos de palabras clave desde un archivo .txt en caso de que sea necesario. c. Defina una lista de sinónimos. Haga clic en Siguiente. 10. Seleccione la acción que Messaging Security Agent realizará cuando detecte contenido no deseado. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): • Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. • Poner en cuarentena todo el mensaje • Poner en cuarentena parte del mensaje • Eliminar todo el mensaje • Archivar 11. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 12. Seleccione Notificar a remitentes para configurar Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico en los que se ha filtrado contenido. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 6-29 Manual del administrador de Worry-Free Business Security 8.0 13. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico en cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de filtrado de contenido colocará el correo electrónico archivado, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage\backup for content filter 14. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de filtrado de contenido sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de filtrado de contenido cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 15. Por último, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenido. Crear excepciones para las reglas de filtrado de contenidos • Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Configurar > Filtrado de contenido 6-30 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado de contenido • Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Filtrado de contenido Procedimiento 1. Haga clic en Agregar. Aparecerá una nueva pantalla. 2. Seleccione Crear excepciones para cuentas de correo electrónico particulares. 3. Haga clic en Siguiente. 4. Escriba un nombre para la regla. 5. Escriba las cuentas de correo electrónico que desea excluir del filtrado de contenidos y haga clic en Agregar. La cuenta se añade a la lista de excepciones de cuentas de correo electrónico. Messaging Security Agent no aplica reglas de contenido con una prioridad inferior a esta regla para las cuentas de correo de la lista. 6. Cuando la lista de cuentas de correo contenga las direcciones pertinentes, haga clic en Finalizar. El asistente se cierra y regresa a la pantalla Filtrado de contenidos. Prevención de pérdida de datos Use la función de prevención de pérdida de datos para protegerse frente a la pérdida de datos a través del correo electrónico saliente. Esta función puede proteger determinados datos como, por ejemplo, números de la seguridad social, números de teléfono, números 6-31 Manual del administrador de Worry-Free Business Security 8.0 de cuentas bancarias y otra información empresarial confidencial que coincida con el patrón definido. Las siguientes versiones de Microsoft Exchange se admiten en esta versión: TABLA 6-3. Versiones admitidas de Microsoft Exchange COMPATIBLE NO COMPATIBLE 2007 x64 2003 x86/x64 2010 x64 2007 x86 2010 x86 Tareas de preparación Antes de supervisar los datos confidenciales en busca de posibles pérdidas, debe determinar los siguientes aspectos: • Los datos que necesitan protección frente a usuarios no autorizados • La ubicación en la que residen los datos • La ubicación a la que se transmitirán los datos y el modo en que se realizará esta acción • Los usuarios a los que se les concederá autorización para acceder o transmitir esta información Para realizar esta importante comprobación, normalmente es necesario recabar información de varios departamentos y del personal familiarizado con los datos confidenciales de la organización. En el procedimiento siguiente, se supone que ha identificado la información confidencial y ha establecido las políticas de seguridad en relación con la administración de los datos empresariales confidenciales. La función de prevención de pérdida de datos está compuesta por tres partes básicas: • Reglas (los patrones que se buscarán) • Dominios que se excluirán del filtrado 6-32 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • Remitentes permitidos (cuentas de correo electrónico que se excluirán del filtrado) Para obtener más información, consulte Gestionar reglas de prevención de pérdida de datos en la página 6-33. Gestionar reglas de prevención de pérdida de datos El Messaging Security Agent muestra todas las reglas de prevención de pérdida de datos en la pantalla Prevención de pérdida de datos (Configuración de seguridad > {Messaging Security Agent} > Configurar > Prevención de pérdida de datos). Procedimiento 1. Podrá ver información resumida sobre las reglas, por ejemplo: • Regla: WFBS incluye reglas predeterminadas (consulte Reglas de prevención de pérdida de datos predeterminadas en la página 6-40). Estas reglas están desactivadas de forma predeterminada. Puede modificarlas en función de sus necesidades o bien eliminarlas. Si ninguna de esas reglas cumple sus requisitos, añada sus propias reglas. Consejo Pase el puntero del ratón sobre el nombre de la regla para verla. Las reglas que utilizan una expresión regular aparecen marcadas con un icono de lupa ( 2. ). • Acción: El Messaging Security Agent realiza esta acción cuando se activa una regla. • Prioridad: El Messaging Security Agent aplica las reglas en la secuencia que determina el orden indicado en esta página. • Activado: Un icono verde indica que la regla está activada. Si el icono es rojo, significa que la regla está desactivada. Realice las siguientes tareas: 6-33 Manual del administrador de Worry-Free Business Security 8.0 TAREA PASOS Activar/desactivar la prevención de pérdida de datos Marque o desmarque la opción Habilitar la prevención de pérdida de datos en tiempo real en la parte superior de la pantalla. Agregar una regla Haga clic en Agregar. Se abre una nueva pantalla en la que podrá elegir el tipo de regla que desea agregar. Para conocer los detalles, consulte Agregar reglas de prevención de pérdida de datos en la página 6-41. Modificar una regla Haga clic en el nombre de la regla. Se abrirá una nueva pantalla. Para obtener información sobre las configuraciones de las reglas que puede modificar, consulte Agregar reglas de prevención de pérdida de datos en la página 6-41. Importar y exportar reglas Importe una o varias reglas desde un archivo de texto sin formato (o expórtelas a un archivo de este tipo), tal y como se muestra a continuación. Si lo prefiere, puede editar a continuación las reglas directamente en este archivo. [SMEX_SUB_CFG_CF_RULE43ca5aea-6e75-44c5-94c9d0b35d2be599] RuleName=Bubbly UserExample= Value=Bubbly [SMEX_SUB_CFG_CF_RULE8b752cf2-aca9-4730a4dd-8e174f9147b6] RuleName=Master Card No. UserExample=Value=.REG. \b5[1-5]\d{2}\-?\x20? \d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b 6-34 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) TAREA PASOS Para exportar reglas a un archivo de texto sin formato, seleccione una o varias reglas en la lista y haga clic en Exportar. Consejo Puede seleccionar las reglas que aparecen solo en una pantalla. Para seleccionar reglas que aparecen actualmente en diferentes pantallas, aumente el valor de "Filas por página" en la parte superior de la lista de reglas para que la vista abarque todas las reglas que desea exportar. Para importar reglas: a. Cree un archivo de texto en el formato indicado anteriormente. También puede hacer clic en Descargue más reglas predeterminadas debajo de la tabla y, a continuación, guardar las reglas. b. Haga clic en Importar. Se abrirá una ventana nueva. c. Haga clic en Examinar para buscar el archivo que desea importar y, a continuación, haga clic en Importar. La función de prevención de pérdida de datos importará las reglas del archivo y las añadirá al final de la lista de reglas actual. Consejo Si ya tiene más de 10 reglas, las reglas importadas no estarán visibles en la primera página. Use los iconos de navegación de la página ubicados en la parte superior o inferior de la lista de reglas para mostrar la última página de la lista. Encontrará en esa ubicación las reglas importadas recientemente. 6-35 Manual del administrador de Worry-Free Business Security 8.0 TAREA Reordenar reglas PASOS El Messaging Security Agent aplica las reglas de prevención de pérdida de datos a los mensajes de correo electrónico según el orden de aparición en la pantalla Prevención de pérdida de datos. Puede configurar el orden de aplicación de las reglas. El agente filtra todos los mensajes de correo según cada regla hasta que una infracción de contenido activa una acción que detiene la exploración (como eliminar o poner en cuarentena). Cambie el orden de estas reglas para optimizar la prevención de pérdida de datos. a. Seleccione una casilla de verificación que se corresponda con la regla a la que desea cambiar el orden. b. Haga clic en Reordenar. Aparecerá un cuadro alrededor del número de orden de la regla. c. En el cuadro de la columna Prioridad, elimine el número de orden existente y escriba uno nuevo. Nota Asegúrese de introducir un número que no sea superior al número total de reglas de la lista. Si introduce un número superior al número total de reglas, WFBS omite la entrada y no cambia el orden de la regla. d. Haga clic en Guardar reordenación. La regla se desplaza al nivel de prioridad especificado y los números de orden de todas las demás reglas cambian convenientemente. Por ejemplo, si selecciona el número de regla 5 y lo cambia por el número 3, entonces los números de regla 1 y 2 seguirán siendo los mismos, pero las reglas con el número 3 en adelante aumentarán en uno. Activar/Desactivar reglas 6-36 Haga clic en el icono que hay en la columna Activado. Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) TAREA Eliminar las reglas PASOS Cuando se elimina una regla, Messaging Security Agent actualiza el orden del resto de las reglas para reflejar el cambio. Nota la eliminación de una regla es una operación irreversible, por lo que es conveniente plantearse deshabilitarlas en lugar de eliminarlas. a. Seleccione una norma. b. Haga clic en Eliminar. 6-37 Manual del administrador de Worry-Free Business Security 8.0 TAREA PASOS Excluir cuentas de dominio específicas Dentro de una empresa, el intercambio de información confidencial acerca del negocio es una situación necesaria del día a día. La carga de procesamiento de los Security Servers sería demasiada si Prevención de pérdida de datos tuviera que filtrar todos los mensajes internos. Por estos motivos, necesita establecer uno o más dominios predeterminados, que representen el tráfico de correo interno del negocio, para que Prevención de la pérdida de datos no filtre los mensajes enviados desde una cuenta de correo electrónico a otra dentro del mismo dominio de la empresa. Esta lista permite que todos los mensajes de correo electrónico internos (dentro del dominio de la empresa) omitan las reglas de prevención de pérdida de datos. Se debe especificar, al menos, un dominio de este tipo. Agregue los dominios a la lista si utiliza más de uno. Por ejemplo: *@example.com a. Haga clic en el icono de signo más (+) para expandir la sección Cuenta(s) de dominio específicas que están excluidas de la prevención de pérdida de datos. b. Coloque el cursor en el campo Agregar y escriba el dominio mediante el siguiente patrón: *@example.com c. Haga clic en Agregar. El dominio aparecerá en la lista mostrada debajo del campo Agregar. d. Haga clic en Guardar para completar el proceso. ¡ADVERTENCIA! La función de prevención de pérdida de datos no agregará el dominio hasta que haga clic en Guardar. Si hace clic en Agregar, pero no en Guardar, no se agregará el dominio. 6-38 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) TAREA Agregar cuentas de correo electrónico a la lista de remitentes seguros PASOS El correo de los remitentes permitidos se transmite fuera de su red sin que la función de pérdida de datos lo filtre. La función de prevención de pérdida de datos omitirá el contenido de cualquier mensaje enviado desde las cuentas de correo electrónico incluidas en la lista de remitentes permitidos. a. Haga clic en el icono de signo más (+) para expandir la sección Remitentes permitidos. b. Coloque el cursor en el campo Agregar y escriba la dirección de correo electrónico completa mediante el siguiente patrón: [email protected] c. Haga clic en Agregar. La dirección aparecerá en la lista mostrada debajo del campo Agregar. d. Haga clic en Guardar para completar el proceso. Nota La función de prevención de pérdida de datos no agregará la dirección hasta que haga clic en Guardar. Si hace clic en Agregar, pero no en Guardar, no se agregará la dirección. 6-39 Manual del administrador de Worry-Free Business Security 8.0 TAREA PASOS Importar cuentas de correo electrónico a la lista de remitentes seguros Puede importar una lista de direcciones de correo electrónico desde un archivo de texto sin formato que incluya una cuenta de correo electrónico por línea, como se muestra a continuación: [email protected] [email protected] [email protected] a. Haga clic en el icono de signo más (+) para expandir la sección Remitentes permitidos. b. Haga clic en Importar. Se abrirá una ventana nueva. c. Haga clic en Examinar para buscar el archivo de texto sin formato que desea importar y, a continuación, haga clic en Importar. Prevención de pérdida de datos importa las reglas del archivo y las añade al final de la lista actual. 3. Haga clic en Guardar. Reglas de prevención de pérdida de datos predeterminadas La Prevención de pérdida de datos viene con varias reglas predeterminadas, tal y como se muestra en la siguiente tabla. TABLA 6-4. Reglas de prevención de pérdida de datos predeterminadas NOMBRE DE LA REGLA Número de cuenta de tarjeta Visa 6-40 EJEMPLO 4111-1111-1111-1111 EXPRESIÓN REGULAR .REG. \b4\d{3}\-?\x20?\d{4}\-? \x20?\d{4}\-?\x20?\d{4}\b Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) NOMBRE DE LA REGLA EJEMPLO EXPRESIÓN REGULAR Número de cuenta de tarjeta MasterCard 5111-1111-1111-1111 .REG. \b5[1-5]\d{2}\-?\x20? \d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b Número de cuenta de tarjeta American Express 3111-111111-11111 .REG. \b3[4,7]\d{2}\-?\x20? \d{6}\-?\x20?\d{5}\b Número de cuenta de tarjeta Diners Club/ Carte Blanche 3111-111111-1111 .REG. [^\d-]((36\d{2}|38\d{2}| 30[0-5]\d)-?\d{6}-?\d{4})[^\d-] IBAN BE68 5390 0754 7034, FR14 2004 1010 0505 0001 3M02 606, DK50 0040 0440 1162 43 .REG. [^\w](([A-Z]{2}\d{2}[-|\s]?) ([A-Za-z0-9]{11,27}|([A-Za-z0-9] {4}[-|\s]){3,6}[A-Za-z0-9]{0,3}|([AZa-z0-9]{4}[-|\s]){2}[A-Za-z0-9] {3,4}))[^\w] BIC Swift BANK US 99 .REG. [^\w-]([A-Z]{6}[A-Z0-9]{2} ([A-Z0-9]{3})?)[^\w-] Fecha ISO 2004/01/23, 04/01/23, 2004-01-23, 04-01-23 .REG. [^\d\/-]([1-2]\d{3}[-\/][0-1]? \d[-\/][0-3]?\d|\d{2}[-\/][0-1]?\d[-\/] [0-3]?\d)[^\d\/-] Nota Desde la consola Web, se puede descargar un archivo zip que contiene más reglas DLP. Acceda a Configuración de seguridad > {Messaging Security Agent} > Configurar > Prevención de pérdida de datos y haga clic en Descargue más reglas predeterminadas. Agregar reglas de prevención de pérdida de datos Procedimiento 1. Acceda a Configuración de seguridad. 6-41 Manual del administrador de Worry-Free Business Security 8.0 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Prevención de pérdida de datos. Aparecerá una nueva pantalla. 5. Haga clic en Agregar. Aparecerá una nueva pantalla. 6. 7. Seleccione la parte del mensaje que desee evaluar. Messaging Security Agent puede filtrar los mensajes de correo electrónico por: • Encabezado (De, Para y Cc) • Asunto • Cuerpo • Adjunto Agregue una regla. Para agregar una regla basada en una palabra clave: a. Seleccione Palabra clave. b. Escriba la palabra clave en el campo que se muestra. Esta palabra clave debe tener entre 1 y 64 caracteres alfanuméricos. c. Haga clic en Siguiente. Para agregar una regla basada en expresiones generadas automáticamente: 6-42 a. Consulte Expresiones regulares en la página D-11 para obtener información sobre cómo definir expresiones regulares. b. Seleccione Expresión regular (generada automáticamente). c. En el campo proporcionado, escriba un nombre de regla. Este campo es obligatorio. Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) d. En el campo Ejemplo, escriba o pegue un ejemplo del tipo de cadena (de hasta 40 caracteres) con la que la expresión regular deba coincidir. Los caracteres alfanuméricos aparecen en mayúsculas en el área sombreada con filas de cuadros debajo del campo Ejemplo. e. Si existen constantes en la expresión, selecciónelas haciendo clic en los cuadros en los que se muestran los caracteres. Al hacer clic en un cuadro, el borde se vuelve rojo para indicar que es una constante, y la herramienta de generación automática modifica la expresión regular que se muestra debajo del área sombreada. Nota Los caracteres que no son alfanuméricos (como los espacios, el punto y coma y otros signos de puntuación) se consideran constantes de manera automática y no se pueden cambiar a variables. f. Para comprobar que la expresión regular generada coincide con el patrón previsto, seleccione Proporcione otro ejemplo para verificar la regla (opcional). Aparece un campo de prueba debajo de esta opción. g. Escriba otro ejemplo del patrón que acaba de introducir. Por ejemplo, si esta expresión debe coincidir con una serie de números de cuenta del patrón “01-EX????? 20??”, escriba otro ejemplo que coincida, como “01-Extreme 2010” y haga clic en Probar. La herramienta valida el nuevo ejemplo con respecto a la expresión regular existente e incluye un icono de marca de verificación verde junto al campo si el nuevo ejemplo coincide. Si la expresión regular no coincide con el nuevo ejemplo, aparece un icono de equis rojo junto al campo. ¡ADVERTENCIA! Las expresiones regulares creadas mediante esta herramienta distinguen entre mayúsculas y minúsculas. Estas expresiones solo pueden coincidir con patrones que tengan el número exacto de caracteres del ejemplo; no se puede evaluar un patrón formado por "una o varias instancias" de un determinado carácter. 6-43 Manual del administrador de Worry-Free Business Security 8.0 h. Haga clic en Siguiente. Para agregar una regla basada en expresiones definidas por el usuario: ¡ADVERTENCIA! Las expresiones regulares son una potente herramienta de coincidencia de cadenas. Asegúrese de estar familiarizado con la sintaxis de las expresiones regulares antes de utilizar este tipo de expresiones. Las expresiones regulares escritas de forma incorrecta pueden reducir considerablemente el rendimiento. Trend Micro recomienda comenzar con expresiones regulares sencillas. Al crear nuevas reglas, use la acción de archivado y observe cómo la función de prevención de pérdida de datos administra los mensajes mediante la regla. Cuando esté seguro de que la regla no tiene consecuencias inesperadas, podrá cambiar la acción. a. Consulte Expresiones regulares en la página D-11 para obtener información sobre cómo definir expresiones regulares. b. Seleccione Expresión regular (definida por el usuario). Aparecen los campos Nombre de la regla y Expresión regular. c. En el campo proporcionado, escriba un nombre de regla. Este campo es obligatorio. d. En el campo Expresión regular, escriba una expresión regular comenzando con un prefijo ".REG." y con una longitud de 255 caracteres, incluido el prefijo. ¡ADVERTENCIA! Tenga cuidado al pegar elementos en este campo. Si se incluye un carácter externo como, por ejemplo, un avance de línea específico del SO o una etiqueta HTML en el contenido del Portapapeles, la expresión pegada será imprecisa. Por este motivo, Trend Micro recomienda que escriba manualmente la expresión. e. Para comprobar que la expresión regular coincide con el patrón previsto, seleccione Proporcione otro ejemplo para verificar la regla (opcional). Aparece un campo de prueba debajo de esta opción. 6-44 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) f. Escriba otro ejemplo del patrón que acaba de introducir (40 caracteres o menos). Por ejemplo, si esta expresión debe coincidir con una serie de números de cuenta del patrón “ACC-?????, 20??” escriba otro ejemplo que coincida, como “Acc-65432 2012” y haga clic en Probar. La herramienta valida el nuevo ejemplo con respecto a la expresión regular existente e incluye un icono de marca de verificación verde junto al campo si el nuevo ejemplo coincide. Si la expresión regular no coincide con el nuevo ejemplo, aparece un icono de equis rojo junto al campo. g. 8. Haga clic en Siguiente. Seleccione una acción para que el Messaging Security Agent la lleve a cabo cuando se active una regla (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): • Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. 9. • Poner en cuarentena todo el mensaje • Poner en cuarentena parte del mensaje • Eliminar todo el mensaje • Archivar • Omitir todo el mensaje Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe a los destinatarios previstos cuando la función de prevención de pérdida de datos realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los destinatarios de correo externos que se ha bloqueado un mensaje con información confidencial. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 6-45 Manual del administrador de Worry-Free Business Security 8.0 10. Seleccione Notificar a remitentes para que Messaging Security Agent informe a los remitentes previstos cuando la función de prevención de pérdida de datos realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los remitentes de correo externos que se ha bloqueado un mensaje con información confidencial. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 11. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración del archivado. a. En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que la función de prevención de pérdida de datos incluirá el correo electrónico en cuarentena, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage \quarantine b. En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la función de prevención de pérdida de datos colocará el correo electrónico archivado, o bien acepte el valor predeterminado: <Carpeta de instalación del Messaging Security Agent>\storage\backup for content filter 12. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de prevención de pérdida de datos sustituirá un mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de prevención de pérdida de datos cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. 13. Por último, haga clic en Finalizar. 6-46 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) El asistente se cierra y regresa a la pantalla Prevención de pérdida de datos. Bloqueo de archivos adjuntos El bloqueo de archivos adjuntos impide que los archivos adjuntos a mensajes de correo electrónico se entreguen en el Almacén de información de Microsoft Exchange. Configure Messaging Security Agent para bloquear los archivos adjuntos según el tipo o nombre de dicho archivo y, a continuación, sustituya, ponga en cuarentena o elimine todos los mensajes que contengan archivos adjuntos que cumplan esos criterios. El bloqueo puede producirse durante la exploración en tiempo real, manual y programada, pero las acciones eliminar y poner en cuarentena no están disponibles en las exploraciones manual y programada. La extensión de un archivo adjunto identifica el tipo de archivo, por ejemplo: .txt, .exe o .dll. Sin embargo, Messaging Security Agent examina el encabezado del archivo en lugar de su nombre para determinar el tipo de archivo real. Numerosos virus/malware están estrechamente vinculados a determinados tipos de archivo. Si configura Messaging Security Agent para realizar el bloqueo según el tipo de archivo, puede reducir el riesgo que esos tipos de archivo representan para la seguridad de los servidores Microsoft Exchange. De forma similar, hay ataques específicos asociados a un nombre de archivo específico. Consejo La utilización del bloqueo es un modo eficaz de controlar las epidemias de virus. Puede poner en cuarentena temporalmente todos los tipos de archivos de riesgo elevado o aquellos con un nombre específico asociado a un virus/malware conocido. Posteriormente, cuando disponga de más tiempo, puede revisar la carpeta de cuarentena y realizar las acciones que desee en los archivos infectados. Configurar el bloqueo de archivos adjuntos La configuración de opciones de bloqueo de archivos adjuntos en servidores Microsoft Exchange implica configurar las reglas de forma que bloqueen mensajes con determinados archivos adjuntos. 6-47 Manual del administrador de Worry-Free Business Security 8.0 • Para Exploración en tiempo real: Configuración de seguridad > {Messaging Security Agent} > Configurar > Bloqueo de archivos adjuntos • Para la exploración manual: Exploraciones > Manual > {abra el Messaging Security Agent} > Bloqueo de archivos adjuntos • Para exploración programada: Exploraciones > Programada > {abra el Messaging Security Agent} > Bloqueo de archivos adjuntos Procedimiento 1. En la pestaña Destino, actualice la siguiente información según sea necesario: • • 6-48 Todos los archivos adjuntos: el agente puede bloquear todos los mensajes de correo electrónico que contengan archivos adjuntos. Sin embargo, este tipo de exploración requiere mucho procesamiento. Vuelva a definir este tipo de exploración seleccionando los tipos o nombres de archivos adjuntos que deben excluirse. • Tipos de archivos adjuntos que excluir • Nombres de archivos adjuntos que excluir Archivos adjuntos específicos: cuando se selecciona este tipo de exploración, el agente solo explora los mensajes de correo electrónico que contienen los archivos adjuntos que usted identifique. Este tipo de exploración puede ser muy exclusivo y es ideal para detectar mensajes de correo electrónico con archivos adjuntos sospechosos de contener amenazas. Esta exploración se ejecuta muy rápidamente cuando se especifica una cantidad relativamente pequeña de nombres o tipos de archivos adjuntos. • Tipos de archivos adjuntos: el agente examina el encabezado del archivo en lugar del nombre de archivo para determinar el tipo de archivo real. • Nombres de archivos adjuntos: de forma predeterminada, el agente examina el encabezado del archivo en lugar del nombre de archivo para Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) determinar el tipo de archivo real. Si se establece el bloqueo de archivos adjuntos para explorar según nombres específicos, el agente detectará los tipos de archivos adjuntos según su nombre. • 2. 3. Bloquear tipos o nombres de archivos adjuntos dentro de archivos zip Haga clic en la pestaña Acción para configurar las acciones que realizará el Messaging Security Agent cuando detecte un archivo adjunto. El Messaging Security Agent puede realizar las siguientes acciones (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): • Sustituir por texto o archivo • Poner en cuarentena todo el mensaje • Poner en cuarentena parte del mensaje • Eliminar todo el mensaje Seleccione Notificar a destinatarios para configurar el Messaging Security Agent de forma que notifique a los destinatarios originales de los mensajes de correo electrónico que incluyen documentos adjuntos. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 4. Seleccione Notificar a remitentes para configurar el Messaging Security Agent de forma que notifique a los remitentes de los mensajes de correo electrónico que incluyen documentos adjuntos. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 5. Haga clic en el icono de signo más (+) para expandir la sección secundaria Configuración de la sustitución. a. En el campo Nombre del archivo de sustitución, escriba el nombre del archivo por el que la función de bloqueo de archivos adjuntos sustituirá un 6-49 Manual del administrador de Worry-Free Business Security 8.0 mensaje de correo electrónico cuando se active una regla que utilice la acción "Sustituir por texto/archivo", o bien acepte el valor predeterminado. b. 6. En el campo Texto de sustitución, escriba o pegue el contenido del texto de sustitución que utilizará la función de bloqueo de archivos adjuntos cuando un mensaje de correo active una regla cuya acción sea "Sustituir por texto/ archivo", o bien acepte el valor predeterminado. Haga clic en Guardar. Reputación Web Reputación Web impide el acceso a las URL que están en la Web o incrustadas en mensajes de correo electrónico que plantean riesgos de seguridad. La función de reputación Web comprueba la reputación de las URL con respecto a los servidores de reputación Web de Trend Micro y establece una correlación de la reputación y la política de la reputación Web específica aplicada en el cliente. En función de la política en uso: • El Security Agent bloqueará o permitirá el acceso al sitio Web. • El Messaging Security Agent (Advanced solo) pondrá en cuarentena, eliminará o etiquetará los mensajes de correo electrónico que contengan URL maliciosas o permitirá que el mensaje se envíe si la URL es segura. La reputación Web envía una notificación por correo electrónico al administrador y una notificación en línea al usuario si se producen detecciones. Para los Security Agents, configure un nivel de seguridad distinto basado en la ubicación (en la oficina o fuera de la oficina) del cliente. Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura, agréguela a la lista de URL permitidas. Consejo Para ahorrar ancho de banda de la red, Trend Micro recomienda agregar los sitios web internos de la empresa a la lista de URL admitidas por reputación Web. 6-50 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Puntuación de reputación La "puntuación de reputación" de una URL determina si una URL es una amenaza Web. Trend Micro calcula la puntuación mediante métricas de propiedad. Trend Micro considera que una URL es una amenaza Web si su puntuación encaja en un umbral definido y considera que es segura si excede dicho umbral. Un Security Agent tiene tres niveles de seguridad que determinan si se permitirá o se bloqueará el acceso a una URL. • • • Alto: Bloquea las páginas en los casos siguientes: • Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas • Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas • Sospechosa: Relacionada con spam o probablemente comprometida • Sin probar: Mientras que Trend Micro comprueba de forma activa la seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se bloquea el acceso a las páginas sin comprobar se aumenta la seguridad, pero también se puede impedir el acceso a páginas seguras. Medio: Bloquea las páginas en los casos siguientes: • Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas • Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de amenazas Bajo: Bloquea las páginas en los casos siguientes: • Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de amenazas 6-51 Manual del administrador de Worry-Free Business Security 8.0 Configurar la reputación Web para los Messaging Security Agents Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Reputación Web. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: • Activar Reputación Web • Nivel de seguridad: Alto, Medio o Bajo. • URL aprobadas • URL para permitir: separe las distintas URL mediante punto y coma (;). Haga clic en Agregar. Nota la aprobación de una URL implica la aprobación de todos sus subdominios. Use los caracteres comodín con cuidado ya que pueden permitir conjuntos grandes de URL. • 6. 6-52 Lista de URL permitidas: las URL de esta lista no se bloquearán. Haga clic en la pestaña Acción y seleccione la acción que el Messaging Security Agent deba realizar cuando se active una política de reputación Web (para ver las descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19): Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • Sustituir por texto o archivo Nota No se puede sustituir el texto de los campos De, Para, CC o del asunto. • Poner el mensaje en cuarentena en la carpeta para spam del usuario • Eliminar todo el mensaje • Etiquetar y entregar 7. Seleccione Realizar una acción en las URL que Trend Micro no ha evaluado para que las URL que no se han clasificado se consideren como sospechosas. Se realizará la misma acción especificada en el paso anterior en los mensajes de correo electrónico que contengan URL sin clasificar. 8. Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe a los destinatarios previstos cuando la función de reputación Web realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los destinatarios de correo externos que se ha bloqueado un mensaje con URL maliciosas. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 9. Seleccione Notificar a remitentes para que Messaging Security Agent informe a los remitentes previstos cuando la función de reputación Web realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los remitentes de correo externos que se ha bloqueado un mensaje con URL maliciosas. Seleccione No notificar a remitentes externos para enviar notificaciones únicamente a remitentes internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 10. Haga clic en Guardar. 6-53 Manual del administrador de Worry-Free Business Security 8.0 Cuarentena para los Messaging Security Agents Cuando un Messaging Security Agent detecta una amenaza, spam, archivos adjuntos restringidos o contenido restringido en mensajes de correo electrónico, el agente puede mover el mensaje a una carpeta de cuarentena. Este proceso ofrece una alternativa a la eliminación de mensajes o archivos adjuntos, y evita que los usuarios abran el mensaje infectado y propaguen la amenaza. La carpeta de cuarentena predeterminada de Message Security Agent es: <Carpeta de instalación del Messaging Security Agent>\storage \quarantine Los archivos puestos en cuarentena se cifran para mayor seguridad. Para abrir un archivo cifrado, use la herramienta Restaurar virus cifrados (VSEncode.exe). Consulte el apartado Restaurar archivos cifrados en la página 14-9. Los administradores pueden consultar la base de datos de cuarentena para obtener información sobre los mensajes puestos en cuarentena. Use la cuarentena para: • Eliminar la posibilidad de borrar mensajes importantes de forma irreversible si son detectados por error por filtros estrictos • Revisar los mensajes que activan filtros de contenido para determinar la gravedad de la infracción de la política • Conservar pruebas de un posible uso incorrecto del sistema de mensajería de la empresa por parte de un empleado 6-54 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Nota No confunda la carpeta de cuarentena con la carpeta para spam del usuario final. La carpeta de cuarentena es una carpeta basada en archivos. Cada vez que el Messaging Security Agent pone en cuarentena un mensaje de correo electrónico, envía el mensaje a la carpeta de cuarentena. La carpeta para spam del usuario final se encuentra en el almacén de información de cada buzón de entrada de los usuarios. La carpeta para spam del usuario final solo recibe los mensajes de correo electrónico puestos por una acción de cuarentena antispam en la carpeta de spam de un usuario, no los de acciones de cuarentena derivadas de políticas de filtrado de contenido, antivirus/antispyware o bloqueo de archivos adjuntos. Consultar directorios de cuarentena Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Poner en cuarentena > Consulta. Aparecerá una nueva pantalla. 5. Actualice los siguientes datos según sea necesario: • Intervalo de fechas u horas • Motivos de la cuarentena • • Todos los motivos • Tipos especificados: elija entre Exploración de virus, AntiSpam, Filtrado de contenidos, Bloqueo de archivos adjuntos o Partes de mensaje que no se pueden explorar. Estado de reenvío • No reenviado nunca 6-55 Manual del administrador de Worry-Free Business Security 8.0 • 6. • Reenviado al menos una vez • Ambas opciones Criterios avanzados • Remitente: Mensajes de remitentes específicos. Utilice comodines si es necesario. • Destinatario: Mensajes de destinatarios específicos. Utilice comodines si es necesario. • Asunto: Mensajes con asuntos específicos. Utilice comodines si es necesario. • Ordenar por: configure los criterios de ordenación para la página de resultados. • Pantalla: Número de resultados por página. Haga clic en Buscar. Consulte el apartado Ver resultados de las consultas y realizar acciones en la página 6-56. Ver resultados de las consultas y realizar acciones La pantalla Resultados de consulta de cuarentena muestra la siguiente información sobre los mensajes: • Hora de exploración • Remitente • Destinatario • Asunto • Motivo: La razón por la que el mensaje está puesto en cuarentena. • Nombre de archivo: Nombre del archivo bloqueado en el mensaje de correo electrónico. • Ruta de cuarentena: La ubicación del mensaje de correo electrónico puesto en cuarentena. Los administradores pueden descifrar el archivo con la herramienta 6-56 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) VSEncoder.exe (consulte Restaurar archivos cifrados en la página 14-9) y cambiarle la extensión a .eml para verlo. ¡ADVERTENCIA! la acción de ver archivos infectados podría propagar la infección. • Estado de reenvío Procedimiento 1. Si considera que algún mensaje no es seguro, bórrelo. ¡ADVERTENCIA! la carpeta de cuarentena contiene mensajes de correo electrónico con un riesgo elevado de infección. Actúe con precaución al manipular mensajes de correo electrónico de esta carpeta para evitar la infección accidental del cliente. 2. Si considera que algún mensaje es seguro, selecciónelo y haga clic en el icono de reenvío ( ). Nota si reenvía un mensaje en cuarentena enviado originalmente por Microsoft Outlook, el destinatario podría recibir varias copias del mismo mensaje. Esto puede ocurrir porque el motor de exploración antivirus divide cada mensaje que explora en varias secciones. 3. Si no puede reenviar el mensaje, es posible que no exista la cuenta del administrador del sistema en el servidor Microsoft Exchange. a. Con el Editor del Registro de Windows, abra la siguiente entrada del Registro del servidor: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion b. Modifique la entrada de la manera siguiente: 6-57 Manual del administrador de Worry-Free Business Security 8.0 ¡ADVERTENCIA! si modifica incorrectamente el Registro, podrían producirse daños graves en el sistema. Antes de realizar cambios en el Registro debe realizar una copia de seguridad de los datos valiosos del equipo. • ResendMailbox {Administrator Mailbox} Ejemplo: [email protected] • ResendMailboxDomain {Administrator’s Domain} Ejemplo: example.com • ResendMailSender {Administrator’s Email Account} Ejemplo: admin c. Cierre el Editor del Registro. Mantener directorios de cuarentena Use esta función para eliminar manual o automáticamente los mensajes puestos en cuarentena. Esta función puede eliminar todos los mensajes, los mensajes reenviados y los mensajes que no se hayan reenviado. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Poner en cuarentena > Mantenimiento. Aparecerá una nueva pantalla. 5. 6-58 Actualice los siguientes datos según sea necesario: Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) • Activar el mantenimiento automático: Solo está disponible para el mantenimiento automático. • Archivos que se van a borrar • 6. • Todos los archivos en cuarentena • Archivos en cuarentena que nunca se han reenviado • Archivos en cuarentena que se han reenviado como mínimo una vez Acción: El número de días que deben almacenarse los mensajes. Por ejemplo, si la fecha es el 21 de noviembre y usted ha escrito 10 en el campo Eliminar los archivos seleccionados con más de, el Messaging Security Agent eliminará todos los archivos anteriores al 11 de noviembre cuando se ejecute la eliminación automática. Haga clic en Guardar. Configurar directorios de cuarentena Especifique los directorios de cuarentena en el servidor Microsoft Exchange. El directorio de cuarentena se excluirá de la exploración. Nota los directorios de cuarentena están basados en archivos y no residen en el almacén de información. Messaging Security Agent pone en cuarentena los mensajes de correo según las acciones que se hayan configurado. Los siguientes son los directorios de cuarentena: • Antivirus: Pone en cuarentena los mensajes de correo electrónico que contienen virus/malware, spyware/grayware, gusanos, troyanos y otras amenazas maliciosas. • Antispam: Pone en cuarentena los mensajes de correo spam y phishing. • Bloqueo de archivos adjuntos: Pone en cuarentena los mensajes de correo electrónico que contienen archivos adjuntos restringidos. 6-59 Manual del administrador de Worry-Free Business Security 8.0 • Filtrado de contenidos: Pone en cuarentena los mensajes de correo electrónico con contenido restringido. De manera predeterminada, todos los directorios tienen las mismas rutas (<Carpeta de instalación del Messaging Security Agent>\storage \quarantine). Puede cambiar las rutas de directorios individuales o de todos ellos. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Cuarentena > Directorio. Aparecerá una nueva pantalla. 5. 6. Consulte la ruta de los siguientes directorios de cuarentena: • Antivirus • Antispam • Filtrado de contenido • Bloqueo de archivos adjuntos Haga clic en Guardar. Configuración de notificaciones para los Messaging Security Agents WFBS puede enviar notificaciones en forma de mensajes de correo electrónico a diversas alertas. Puede configurar notificaciones para aplicarlas solo a los mensajes de correo electrónico internos usando definiciones personalizadas de correo interno. Estas definiciones son 6-60 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) útiles cuando la empresa tiene dos (o más) dominios y se desea tratar los mensajes de correo electrónico de ambos dominios como mensajes de correo internos. Por ejemplo: ejemplo.com y ejemplo.net. Los destinatarios de la lista Definición de correo interno recibirán mensajes con notificaciones si activa la casilla de verificación No notificar a remitentes externos en la Configuración de la notificación de Antivirus, Filtrado de contenidos y Bloqueo de archivos adjuntos. No confunda la lista Definición de correo interno con la lista Remitentes permitidos. Para evitar que todos los mensajes de correo provenientes de direcciones con dominios externos se marquen como spam, agregue las direcciones de correo electrónico externo a las listas de antispam de Remitentes permitidos. Acerca de las definiciones personalizadas de correo interno Messaging Security Agent divide el tráfico de correo electrónico en dos categorías de redes: interna y externa. El agente solicita al servidor Microsoft Exchange información acerca de cómo se definen las direcciones internas y externas. Todas las direcciones internas comparten un dominio común al que no pertenece ninguna de las direcciones externas. Por ejemplo, si la dirección de dominio interna es "@trend_1.com", el Messaging Security Agent clasifica direcciones como "abc@trend_1.com" y "xyz@trend_1.com" como direcciones internas. El agente clasifica el resto de las direcciones, por ejemplo "abc@trend_2.com" y "[email protected]", como externas. Solo puede definir un dominio como dirección interna de Messaging Security Agent. Si utiliza Microsoft Exchange System Manager para cambiar su dirección principal en un servidor, Messaging Security Agent no reconoce la nueva dirección como una dirección interna porque Messaging Security Agent no puede detectar que ha cambiado la política de destinatarios. Por ejemplo, suponga que tiene dos direcciones de dominio para la empresa: @ejemplo_1.com y @ejemplo_2.com. Establece @ejemplo_1.com como dirección principal. Messaging Security Agent considera que los mensajes de correo electrónico con la dirección principal son internos (es decir, abc@ejemplo_1.com o xyz@ejemplo_1.com son internas). Posteriormente utiliza Microsoft Exchange System Manager para cambiar la dirección principal por @ejemplo_2.com. Esto significa que 6-61 Manual del administrador de Worry-Free Business Security 8.0 Microsoft Exchange reconoce ahora direcciones como abc@ejemplo_2.com y xyz@ejemplo_2.com como direcciones internas. Definir configuraciones de notificación para los Messaging Security Agents Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Operaciones > Configuración de la notificación. Aparecerá una nueva pantalla. 5. 6. 6-62 Actualice los siguientes datos según sea necesario: • Dirección de correo electrónico: dirección en nombre de la cual WFBS enviará los mensajes de notificación. • Definición de correo interno • Predeterminadas: WFBS tratará los mensajes de correo electrónico del mismo dominio como mensajes internos. • Personalizada: Especifique direcciones de correo electrónico o dominios determinados que desee tratar como mensajes de correo electrónico internos. Haga clic en Guardar. Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Configurar el mantenimiento del spam La pantalla Mantenimiento del spam permite configurar la herramienta End User Quarantine (EUQ) o la cuarentena en el servidor. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Operaciones > Mantenimiento del spam. Aparecerá una nueva pantalla. 5. Haga clic en Activar la herramienta End User Quarantine. Si activa la herramienta, se creará una carpeta de cuarentena en el servidor del buzón de correo de cada cliente y aparecerá una carpeta para spam en el árbol de carpetas de Outlook del usuario. Después de activar EUQ y de que se hayan creado las carpetas para spam, EUQ podrá filtrar el correo spam a la carpeta para spam del usuario. Para obtener más información, consulte Gestionar End User Quarantine en la página 6-64. Consejo Si selecciona esta opción, Trend Micro recomienda desactivar la barra de herramientas de Trend Micro Anti-Spam en los agentes para aumentar el rendimiento de los clientes. Desmarque la opción Activar la herramienta End User Quarantine para desactivar la herramienta End User Quarantine en todos los buzones de correo del servidor Microsoft Exchange. Al desactivar la herramienta EUQ, permanecerán las carpetas para correo spam de los usuarios pero los mensajes detectados como spam no se moverán a las carpetas de correo spam. 6-63 Manual del administrador de Worry-Free Business Security 8.0 6. Haga clic en Crear carpeta para spam y eliminar los mensajes de spam para crear (inmediatamente) carpetas para correo spam para los nuevos clientes de correo creados y para los clientes de correo existentes que han eliminado su carpeta de correo spam. Para el resto de clientes de correo existentes, la herramienta eliminará los mensajes con una antigüedad superior a los días especificados en el campo Configuración de la carpeta para spam del cliente. 7. En Eliminar los mensajes de spam con más de {número} días, modifique el tiempo durante el que el Messaging Security Agent conservará los mensajes de spam. El valor predeterminado es 14 días y el límite máximo de tiempo es 30 días. 8. Para desactivar la herramienta End User Quarantine para determinados usuarios: a. En Lista de excepciones de la herramienta End User Quarantine, escriba la dirección de correo electrónico del usuario final para el que desea desactivar EUQ. b. Haga clic en Agregar. La dirección de correo electrónico se agregará a la lista de direcciones para las que EUQ está desactivado. Para eliminar un usuario final de la lista y restaurar el servicio EUQ, seleccione la dirección de correo electrónico del usuario final en la lista y haga clic en Eliminar. 9. Haga clic en Guardar. Gestionar End User Quarantine Durante la instalación, Messaging Security Agent crea una carpeta, Correo Spam, en el buzón de correo del servidor de cada usuario final. Cuando se recibe un mensaje de spam, el sistema lo pone en cuarentena en esta carpeta, según las reglas de filtrado de spam predefinidas por parte de Messaging Security Agent. Los usuarios finales pueden ver esta carpeta para spam para abrir, leer o eliminar los mensajes de correo sospechosos. Consulte el apartado Configurar el mantenimiento del spam en la página 6-63. Los administradores también pueden crear una carpeta para el correo spam en Microsoft Exchange. Cuando un administrador crea una cuenta de buzón de correo, la entidad del 6-64 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) buzón de correo no se crea inmediatamente en el servidor Microsoft Exchange, sino que se crea si se dan las siguientes condiciones: • Un usuario final inicia una sesión por primera vez en el buzón de correo. • Llega el primer mensaje de correo electrónico al buzón de correo. El administrador debe crear en primer lugar la entidad del buzón de correo antes de que EUQ pueda crear la carpeta para spam. Carpeta para correo spam en el cliente Los usuarios finales pueden abrir los mensajes que están en cuarentena en la carpeta de spam. Cuando abren uno de estos mensajes, aparecen dos botones en el propio mensaje de correo: Remitente permitido y Ver la lista de remitentes permitidos. • Cuando un usuario final abre un mensaje de correo de la carpeta Correo spam y hace clic en Remitente permitido, la dirección de ese remitente se añade a la lista Remitentes permitidos del usuario final. • Al hacer clic en Ver la lista de remitentes permitidos se abre otra pantalla que permite al usuario final ver y modificar la lista de remitentes permitidos por dirección de correo electrónico o por dominio. Remitentes permitidos Cuando el usuario final recibe un mensaje en la carpeta de correo spam y hace clic en Remitente permitido, Messaging Security Agent desplaza el mensaje a la bandeja de entrada local del usuario y añade la dirección del remitente de ese mensaje a la lista de remitentes permitidos del usuario final. Messaging Security Agent registra el suceso. Cuando el servidor Microsoft Exchange recibe un mensaje de una de las direcciones incluidas en la lista de remitentes permitidos del usuario, lo envía a la bandeja de entrada del usuario final, independientemente del encabezado o del contenido del mensaje. Nota Messaging Security Agent también ofrece a los administradores una lista de remitentes permitidos o bloqueados. El Messaging Security Agent aplica la lista de remitentes permitidos y bloqueados del administrador antes que la del usuario final. 6-65 Manual del administrador de Worry-Free Business Security 8.0 Característica de mantenimiento de End User Quarantine La característica de mantenimiento de Messaging Security Agent realiza las tareas programadas cada 24 horas a la hora predeterminada (2:30 a.m.): • Elimina automáticamente los mensajes de spam caducados. • Crea nuevamente la carpeta de spam cuando se ha eliminado. • Crea las carpetas de spam para cuentas de correo electrónico recientemente creadas. • Mantiene las reglas para los mensajes de correo electrónico. La característica de mantenimiento es una parte integral del Messaging Security Agent y no requiere configuración alguna. Depurador y asistencia de Trend Micro El Depurador y la asistencia le ayudan a depurar o simplemente a informar sobre el estado de los procesos del Messaging Security Agent. Si se produce algún problema inesperado, puede utilizar el depurador para crear informes y enviarlos al equipo de asistencia técnica de Trend Micro para que lo analice. Cada módulo del Messaging Security Agent inserta mensajes en el programa y, a continuación, registra la acción en los archivos de registro al ejecutarse. Puede reenviar los registros al equipo cualificado de asistencia técnica de Trend Micro para que depure el flujo real del programa en su entorno. Utilice el depurador para generar registros en los siguientes módulos: • Servicio maestro de Messaging Security Agent • Servidor de configuración remota de Messaging Security Agent • Supervisión del sistema de Messaging Security Agent • API de exploración antivirus (VSAPI) • Protocolo SMTP (Protocolo simple de transferencia de correo) • Interfaz CGI 6-66 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) De manera predeterminada, MSA mantiene los registros en el siguiente directorio: <Carpeta de instalación del Messaging Security Agent>\Debug Para visualizar la salida utilice cualquier editor de texto. Generar informes del depurador del sistema Puede generar informes del depurador para ayudar al servicio de asistencia de Trend a solucionar posibles problemas. Procedimiento 1. Acceda a Configuración de seguridad. 2. Seleccione un Messaging Security Agent. 3. Haga clic en Configurar. Aparecerá una nueva pantalla. 4. Haga clic en Operaciones > Asistencia/depurador. Aparecerá una nueva pantalla. 5. 6. Seleccione los módulos que desee supervisar: • Servicio maestro de Messaging Security Agent • Servidor de configuración remota de Messaging Security Agent • Supervisión del sistema de Messaging Security Agent • API de exploración antivirus (VSAPI) • Protocolo SMTP (Protocolo simple de transferencia de correo) • Interfaz CGI Haga clic en Aplicar. El depurador empezará a recopilar datos sobre los módulos seleccionados. 6-67 Manual del administrador de Worry-Free Business Security 8.0 Supervisor en tiempo real El supervisor en tiempo real facilita la información actualizada sobre el servidor Microsoft Exchange seleccionado y su Messaging Security Agent. Muestra información sobre los mensajes explorados y las estadísticas de protección, incluido el número de virus y mensajes de spam detectados, archivos bloqueados e infracciones de contenido. También comprueba si el agente funciona de forma correcta. Usar un supervisor en tiempo real Procedimiento 1. Para acceder al supervisor en tiempo real desde la consola Web: a. Acceda a Configuración de seguridad. b. Seleccione un agente. c. Haga clic en Configurar. Aparecerá una nueva pantalla. d. Haga clic en el enlace Supervisor en tiempo real situado en la parte superior derecha de la pantalla. 2. Para acceder al supervisor en tiempo real desde el menú Inicio de Windows, haga clic en Todos los programas > Trend Micro Messaging Security Agent > Supervisor en tiempo real. 3. Haga clic en Restablecer para restablecer las estadísticas de protección a cero. 4. Haga clic en Borrar contenido para borrar la información antigua sobre los mensajes explorados. 6-68 Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced solo) Agregar una renuncia de responsabilidad a los mensajes de correo electrónico salientes Puede agregar un mensaje de renuncia de responsabilidad, pero solo a los mensajes salientes. Procedimiento 1. Cree un archivo de texto y añada la renuncia de responsabilidad a este archivo. 2. Modifique las siguientes claves en el registro: • Primera clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: EnableDisclaimer Tipo: REG_DWORD Valor de datos: 0: desactivar, 1: activar • Segunda clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: DisclaimerSource Tipo: REG_SZ Valor: la ruta completa del archivo de contenido de la renuncia de responsabilidad. Por ejemplo, C:\Data\Disclaimer.txt 6-69 Manual del administrador de Worry-Free Business Security 8.0 Nota De forma predeterminada, WFBS detecta si un mensaje saliente se envía a los dominios internos o externos, y agrega una renuncia de responsabilidad a cada mensaje enviado a los dominios externos. El usuario puede sobrescribir la configuración predeterminada y agregar una renuncia de responsabilidad a cada mensaje de correo saliente, excepto a los dominios incluidos en la siguiente clave de registro: • Tercera clave: Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Clave: InternalDomains Tipo: REG_SZ Valor: escriba los nombres de dominios que deben excluirse. Utilice un punto y coma (;) para separar varios elementos. Por ejemplo: dominio1.org;dominio2.org Nota aquí, los nombres de dominio son los nombres DNS de los servidores de Microsoft Exchange. 6-70 Capítulo 7 Gestionar las exploraciones En este capítulo se explica cómo realizar exploraciones en los Security Agents y los Messaging Security Agents (Advanced solo) para proteger la red y los clientes frente a las amenazas. 7-1 Manual del administrador de Worry-Free Business Security 8.0 Acerca de las exploraciones Durante una exploración, el motor de exploración de Trend Micro trabaja junto con el archivo de patrones para realizar el primer nivel de detección mediante un proceso denominado "coincidencia de patrones". Puesto que cada amenaza contiene una firma única o cadena de caracteres delatores que lo diferencian de cualquier otro código, los fragmentos inertes de este código se capturan en el archivo de patrones. El motor compara a continuación determinadas partes de cada archivo explorado con el archivo de patrones en busca de coincidencias. Cuando el motor de exploración detecta un archivo que contiene una amenaza, ejecuta una acción como limpiar, poner en cuarentena, eliminar o sustituir con texto u otro archivo (Advanced solo). Estas acciones se pueden personalizar cuando se definen las tareas de exploración. Worry-Free Business Security ofrece tres tipos de exploración. Cada exploración tiene un objetivo y un uso distinto pero todas se configuran aproximadamente del mismo modo. • Exploración en tiempo real: Consulte Exploración en tiempo real en la página 7-2 para obtener más información. • Exploración manual: Consulte Exploración manual en la página 7-3 para obtener más información. • Exploración programada: Consulte Exploración programada en la página 7-7 para obtener más información. Los Security Agents usan uno de estos dos métodos al realizar exploraciones: • Exploración inteligente • Exploración convencional Consulte Métodos de exploración en la página 5-3 para obtener más información. Exploración en tiempo real La exploración en tiempo real es un proceso continuo. 7-2 Gestionar las exploraciones Cada vez que se abre, descarga, copia o modifica un archivo, la exploración en tiempo real del Security Agent explora el archivo en busca de amenazas. Para obtener información sobre cómo configurar las exploraciones en tiempo real, consulte Configurar la exploración en tiempo real para los Security Agents en la página 5-8. En el caso de los mensajes de correo electrónico, la exploración en tiempo real en Messaging Security Agent (Advanced solo) protege todos los puntos de entrada de virus conocidos mediante la exploración en tiempo real de todos los mensajes entrantes, los mensajes SMTP, los documentos publicados en carpetas públicas y los archivos replicados desde otros servidores Microsoft Exchange. Para obtener información sobre cómo configurar las exploraciones en tiempo real, consulte Configurar la exploración en tiempo real para Messaging Security Agent en la página 6-6. Exploración manual La exploración manual funciona a petición. La exploración manual en los Security Agents elimina las amenazas de los archivos y erradica infecciones antiguas, en caso de que las haya, para reducir al máximo la posibilidad de que se vuelva a infectar. La exploración manual en el Messaging Security Agent (Advanced solo) explora todos los archivos del almacén de información del servidor Microsoft Exchange. El tiempo que tarde la exploración dependerá de los recursos de hardware del cliente y del número de archivos que deban explorarse. Una exploración manual en curso la puede interrumpir el administrador del Security Server si la exploración se ejecutó remotamente desde la consola Web, o la puede interrumpir el usuario si se ejecutó directamente en el cliente. Consejo Trend Micro recomienda ejecutar una exploración manual después de una epidemia de amenazas. 7-3 Manual del administrador de Worry-Free Business Security 8.0 Ejecutar exploraciones manuales Este procedimiento describe la forma en que los administradores del Security Server pueden ejecutar exploraciones manuales en los Security Agents y los Messaging Security Agents (solo versión Advanced) desde la consola Web. Nota La exploración manual también se puede ejecutar directamente desde los clientes; para ello, haga clic con el botón derecho del ratón en el icono del Security Agent de la barra de tareas de Windows y elija Explorar ahora. No es posible ejecutar una exploración manual directamente en los servidores Microsoft Exchange. Procedimiento 7-4 1. Acceda a Exploraciones > Exploración manual. 2. (Opcional) Personalice la configuración de la exploración antes de ejecutar una exploración manual. Gestionar las exploraciones CONFIGURACIÓN DE EXPLORACIÓN INSTRUCCIONES Y NOTAS Para personalizar la configuración de exploración para el Security Agent, haga clic en un grupo de servidores o de equipos de sobremesa. RECOMENDADA Destino • Todos los archivos explorables: Incluye todos los archivos que se pueden explorar. Los archivos que no se pueden explorar son los protegidos mediante contraseña, los archivos cifrados o los que superan las restricciones de exploración definidas por el usuario. • Explorar archivos comprimidos hasta 1 capas de compresión: con esta opción se exploran los archivos comprimidos con una capa de compresión. El valor predeterminado es "off" (desactivado) para el grupo predeterminado de servidores y "on" (activado) para el grupo predeterminado de equipos de sobremesa. Consulte el apartado Explorar destinos y acciones para los Security Agents en la página 7-11. Nota La configuración de exploración de los Security Agents también se usa cuando los usuarios ejecutan exploraciones manuales directamente desde los clientes. Sin embargo, si concede a los usuarios el derecho de definir sus propias configuraciones de exploración, serán estas últimas las que se emplearán durante la exploración. Exclusiones • No explorar los directorios de instalación de los productos de Trend Micro Configuración avanzada • Modificar lista de spyware/ grayware permitido (solo para antispyware). 7-5 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN DE EXPLORACIÓN INSTRUCCIONES Y NOTAS Para personalizar las configuraciones de exploración de un Messaging Security Agent, expanda un agente y haga clic en las siguientes opciones, según corresponda: • Antivirus: haga clic en esta opción para que el agente busque virus y otros tipos de malware. Consulte el apartado Explorar destinos y acciones para los Messaging Security Agents en la página 7-19. • Filtrado de contenido: haga clic en esta opción para que el agente explore el correo electrónico en busca de contenido prohibido. Consulte el apartado Gestionar las reglas del filtrado de contenidos en la página 6-16. • Bloqueo de archivos adjuntos: haga clic en esta opción para que el agente explore el correo electrónico en busca de infracciones de las reglas de los archivos adjuntos. Consulte el apartado Configurar el bloqueo de archivos adjuntos en la página 6-47. RECOMENDADA • El agente explora todos los archivos que pueden someterse a este proceso. En la exploración incluye el cuerpo de los mensajes de correo electrónico. • Cuando el agente detecta un archivo con un virus u otro tipo de malware, lo limpia. Si no puede limpiarlo, lo sustituye por texto/ archivo. • Cuando el agente detecta un archivo con un troyano o un gusano, sustituye el troyano o gusano por un texto o un archivo. • Cuando el agente detecta un archivo con un packer, sustituye el packer por un texto o un archivo. • El agente no limpia los archivos comprimidos infectados. Así reduce el tiempo necesario para completar la exploración en tiempo real. 3. Seleccione los grupos o los Messaging Security Agents que desee explorar. 4. Haga clic en Explorar ahora. El Security Server envía una notificación a los agentes para que ejecuten una exploración manual. La pantalla Resultados de la notificación de la exploración que se abre muestra cuántos agentes han recibido la notificación y cuántos no la han recibido. 5. 7-6 Para detener exploraciones en curso, haga clic en Detener exploración. Gestionar las exploraciones El Security Server envía otra notificación a los agentes para que detengan la exploración manual. La pantalla Resultados de la notificación de Detener la exploración que se abre muestra cuántos agentes han recibido la notificación y cuántos no la han recibido. Es posible que los Security Agents no reciban la notificación si han estado desconectados desde que se ejecutó la exploración o si hay interrupciones en la red. Exploración programada La exploración programada es similar a la exploración manual, pero explora todos los archivos y mensajes de correo electrónico (Advanced solo), según la hora y frecuencia configuradas. Utilice las exploraciones programadas para automatizar las exploraciones rutinarias en los clientes y mejorar la eficacia de la administración de las amenazas. Consejo Ejecute exploraciones programadas durante horas de escasa actividad para minimizar las posibles interrupciones de los usuarios y la red. Configurar exploraciones programadas Trend Micro recomienda que no programe una exploración al mismo tiempo que una actualización programada. Esto podría provocar que la exploración programada se detuviera de forma prematura. De igual forma, si se inicia una exploración manual cuando se está ejecutando una exploración programada, esta última se interrumpe y se ejecutará de nuevo según la programación. Procedimiento 1. Acceda a Actualizaciones > Exploración programada. 2. Haga clic en la pestaña Programa. a. Configure la frecuencia de la exploración (diaria, semanal o mensual) y la hora de inicio. Cada grupo o cada Messaging Security Agent pueden tener su propio programa. 7-7 Manual del administrador de Worry-Free Business Security 8.0 Nota Para las exploraciones programadas mensuales, si selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, la exploración no se realizará ese mes. 3. 7-8 b. (Opcional) Seleccione Apagar cliente tras completar la exploración programada. c. Haga clic en Guardar. (Opcional) Haga clic en la pestaña Configuración para personalizar la configuración de la exploración programada. Gestionar las exploraciones CONFIGURACIÓN DE EXPLORACIÓN INSTRUCCIONES Y NOTAS Para personalizar la configuración de exploración para el Security Agent, haga clic en un grupo de servidores o de equipos de sobremesa. Consulte el apartado Explorar destinos y acciones para los Security Agents en la página 7-11. RECOMENDADA Destino • Todos los archivos explorables: Incluye todos los archivos que se pueden explorar. Los archivos que no se pueden explorar son los protegidos mediante contraseña, los archivos cifrados o los que superan las restricciones de exploración definidas por el usuario. • Explorar archivos comprimidos hasta 2 capas de compresión: con esta opción se exploran los archivos comprimidos con una capa de compresión. Nota Si concede a los usuarios el derecho de definir sus propias configuraciones de exploración, las configuraciones definidas por el usuario serán las que se usen durante la exploración. Exclusiones • No explorar los directorios de instalación de los productos de Trend Micro Configuración avanzada • Explorar sector de arranque (solo para antivirus): • Modificar lista de spyware/ grayware permitido (solo para antispyware). 7-9 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN DE EXPLORACIÓN INSTRUCCIONES Y NOTAS Para personalizar las configuraciones de exploración de un Messaging Security Agent, expanda un agente y haga clic en las siguientes opciones, según corresponda: • Antivirus: haga clic en esta opción para que el agente busque virus y otros tipos de malware. Consulte el apartado Explorar destinos y acciones para los Messaging Security Agents en la página 7-19. • Filtrado de contenido: haga clic en esta opción para que el agente explore el correo electrónico en busca de contenido prohibido. Consulte el apartado Gestionar las reglas del filtrado de contenidos en la página 6-16. • 4. Bloqueo de archivos adjuntos: haga clic en esta opción para que el agente explore el correo electrónico en busca de infracciones de las reglas de los archivos adjuntos. Consulte el apartado Configurar el bloqueo de archivos adjuntos en la página 6-47. RECOMENDADA • El agente realiza una exploración cada domingo a las 5:00 a.m. • Personalice este programa para que se ejecute a una hora de poca actividad en los clientes. El agente explora todos los archivos que pueden someterse a este proceso. En la exploración incluye el cuerpo de los mensajes de correo electrónico. • Cuando el agente detecta un archivo con un virus u otro tipo de malware, lo limpia. Si no puede limpiarlo, lo sustituye por texto/ archivo. • Cuando el agente detecta un archivo con un troyano o un gusano, sustituye el troyano o gusano por un texto o un archivo. • Cuando el agente detecta un archivo con un packer, lo sustituye por un texto o un archivo. • El agente no limpia los archivos comprimidos infectados. Seleccione los grupos o los Messaging Security Agents que aplicarán la configuración de exploración programada. Nota Para desactivar la exploración programada, quite la marca de la casilla correspondiente al grupo o al Messaging Security Agent. 5. 7-10 Haga clic en Guardar. Gestionar las exploraciones Explorar destinos y acciones para los Security Agents Defina las siguientes configuraciones para cada tipo de exploración (Exploración manual, Exploración programada y Exploración en tiempo real): Pestaña Destino • Objetivos de la exploración • Exclusiones de la exploración • Configuración avanzada • Lista de spyware o grayware permitido Pestaña Acción • Acciones de exploración/ActiveAction • Configuración avanzada Objetivos de la exploración Seleccione los objetivos de la exploración: • Todos los archivos explorables: incluye todos los archivos que se pueden explorar. Los archivos que no se pueden explorar son los protegidos mediante contraseña, los archivos cifrados o los que superan las restricciones de exploración definidas por el usuario. Nota Esta opción ofrece la máxima seguridad posible. Sin embargo, explorar todos los archivos requiere un gran consumo de tiempo y recursos y puede ser innecesario en algunas circunstancias. Por lo tanto, es posible que desee limitar la cantidad de archivos que el agente incluirá en la exploración. • IntelliScan: explora los archivos basándose en el tipo de archivo verdadero. Consulte el apartado IntelliScan en la página D-2. 7-11 Manual del administrador de Worry-Free Business Security 8.0 • Explorar archivos con las siguientes extensiones: especifique manualmente los archivos que se deben explorar según su extensión. Separe las distintas entradas mediante comas. Exclusiones de la exploración Se pueden configurar los siguientes valores: • Activar o desactivar exclusiones • Excluir los directorios de productos de Trend Micro de las exploraciones • Excluir otros directorios de las exploraciones También se excluirán todos los subdirectorios de la ruta de acceso del directorio especificado. • Excluir de las exploraciones nombres de archivos o nombres de archivos con rutas completas Los caracteres comodín, por ejemplo, "*", no se admiten como extensiones de archivo. Nota (Advanced solo) Si el servidor Microsoft Exchange se está ejecutando en el cliente, Trend Micro recomienda excluir todas las carpetas del servidor Microsoft Exchange de la exploración. Para excluir de la exploración las carpetas de servidores Microsoft Exchange de forma general, vaya a Preferencias > Configuración general > Equipo de sobremesa/Servidor {pestaña} > Configuración de la exploración general y, a continuación, seleccione Excluir las carpetas del servidor Microsoft Exchange cuando se instala en un servidor Microsoft Exchange. Configuración avanzada (objetivos de exploración) 7-12 TIPO DE EXPLORACIÓN OPCIÓN Exploración en tiempo real, Exploración manual Explorar unidades asignadas y carpetas compartidas de la red: con esta opción se pueden seleccionar directorios para explorar que estén ubicados físicamente en otros equipos, pero asignados al equipo local. Gestionar las exploraciones TIPO DE EXPLORACIÓN OPCIÓN Exploración en tiempo real Explorar archivos comprimidos: Hasta __ capas de compresión (un máximo de 6 capas) Exploración en tiempo real Explorar disquete durante el apagado del sistema Exploración en tiempo real Activar IntelliTrap: IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte el apartado IntelliTrap en la página D-3. Exploración en tiempo real, programada y manual Explorar archivos comprimidos hasta el nivel __: Un archivo comprimido incorpora una capa cada vez que se comprime. Si un archivo infectado se ha comprimido en varias capas, se debe explorar el número especificado de capas para detectar la infección. No obstante, la exploración de varias capas requiere más tiempo y recursos. Exploración en tiempo real Condición/Activación de exploración: Exploración manual, Exploración programada • Leer: explora los archivos cuyo contenido se lee. Los archivos se leen cuando se abren, se ejecutan, se copian o se mueven. • Escribir: explora los archivos cuyo contenido se está escribiendo. El contenido de un archivo se escribe cuando este se modifica, se guarda, se descarga o se copia de una ubicación a otra. • Leer o escribir Uso de la CPU/Velocidad de exploración: el Security Agent puede realizar una pausa entre la exploración de dos archivos. Seleccione una de las siguientes opciones: • Alta: no se realizan pausas entre las exploraciones • Media: realiza pausas en la exploración si el consumo de la CPU es superior al 50%, y ninguna pausa si es del 50% o inferior • Baja: realiza pausas en la exploración si el consumo de la CPU es superior al 20%, y ninguna pausa si es del 20% o inferior 7-13 Manual del administrador de Worry-Free Business Security 8.0 TIPO DE EXPLORACIÓN OPCIÓN Exploración en tiempo real, programada y manual Modificar la lista de spyware y grayware permitido Exploración manual, Exploración programada Efectuar una limpieza avanzada: el Security Agent impide el funcionamiento de programas de software deshonestos que se hacen pasar por herramientas de seguridad, conocidos como "falsos antivirus" o "FakeAV". Además, el agente cuenta con reglas de limpieza avanzadas que permiten detectar y detener de forma proactiva las aplicaciones que presentan comportamientos propios de FakeAV. Nota La limpieza avanzada proporciona una protección proactiva, pero al mismo tiempo devuelve un número elevado de falsos positivos. Lista de spyware o grayware permitido Trend Micro clasifica algunas aplicaciones como spyware/grayware no porque puedan causar daños en el sistema en el que están instaladas, sino porque, en potencia, pueden exponer al cliente o la red a malware o a ataques de hackers. Worry-Free Business Security incluye una lista de aplicaciones potencialmente peligrosas y, de forma predeterminada, evita que se ejecuten estas aplicaciones en los clientes. Si los clientes necesitan ejecutar una aplicación que Trend Micro ha clasificado como spyware/grayware, deberá añadir el nombre de la aplicación a la lista de spyware/ grayware permitido. Acciones de exploración A continuación, figuran algunas acciones que los Security Agents pueden realizar para luchar con los virus o el malware: 7-14 Gestionar las exploraciones TABLA 7-1. Acciones de exploración de virus y malware ACCIÓN DESCRIPCIÓN Eliminar Elimina un archivo infectado. Cuarentena Cambia el nombre del archivo infectado y lo mueve a un directorio de cuarentena temporal en el cliente. Los Security Agents envían los archivos en cuarentena al directorio de cuarentena especificado, que está en el Security Server de manera predeterminada. El Security Agent cifra los archivos en cuarentena que se envían a este directorio. Si necesita restaurar alguno de los archivos en cuarentena, utilice la herramienta VSEncrypt. Para obtener más información sobre el uso de esta herramienta, consulte Restaurar archivos cifrados en la página 14-9. Limpiar Limpia el archivo infectado antes de permitir el acceso total al archivo. Si el archivo no se puede limpiar, el Security Agent realiza una segunda acción, que puede ser una de las siguientes: poner en cuarentena, eliminar, cambiar nombre y omitir. Esta acción se puede realizar con todos los tipos de malware con excepción de virus/malware probables. Nota Algunos archivos no se pueden limpiar. Para obtener más información, consulte Archivos que no se pueden limpiar en la página D-29. Cambiar nombre Cambia la extensión de un archivo infectado por "vir". Los usuarios no pueden abrir el archivo inicialmente infectado pero sí pueden hacerlo si lo asocian a una determinada aplicación. un virus/malware podría ejecutarse al abrir el archivo infectado con el nombre cambiado. 7-15 Manual del administrador de Worry-Free Business Security 8.0 ACCIÓN DESCRIPCIÓN Omitir Solo se puede realizar durante una exploración manual o programada. El Security Agent no puede utilizar esta acción durante la Exploración en tiempo real porque el hecho de no realizar ninguna acción cuando se detecta un intento de abrir o ejecutar un archivo infectado permitirá la ejecución de virus/malware. Todas las otras acciones de exploración se pueden utilizar durante la exploración en tiempo real. Denegar acceso Se puede realizar solo durante una exploración en tiempo real. Cuando el Security Agent detecta un intento de abrir o ejecutar un archivo infectado, inmediatamente bloquea la operación. Los usuarios pueden eliminar el archivo infectado manualmente. La acción de exploración que realiza el Security Agent depende del tipo de exploración que ha detectado el spyware/grayware. Aunque se pueden configurar acciones específicas para cada tipo de virus o malware, solo se puede configurar una acción para todos los tipos de spyware o grayware. Por ejemplo, cuando el Security Agent detecta cualquier tipo de spyware/grayware durante la Exploración manual (tipo de exploración), limpia (acción) los recursos del sistema afectados. A continuación, se describen las acciones que el Security Agent puede llevar a cabo para hacer frente al spyware y grayware: TABLA 7-2. Acciones de exploración de spyware y grayware ACCIÓN DESCRIPCIÓN Limpiar Finaliza los procesos o elimina los registros, los archivos, las cookies y los accesos directos. Omitir No realiza ninguna acción sobre los componentes de spyware/grayware detectados pero registra la detección de spyware/grayware en los registros. Esta acción solo se puede realizar durante una exploración manual o programada. Durante el Escaneo en tiempo real, la acción es "Denegar acceso". El Security Agent no llevará a cabo ninguna acción si el spyware o grayware detectado está incluido en la lista de permitidos. 7-16 Gestionar las exploraciones ACCIÓN Denegar acceso DESCRIPCIÓN Deniega el acceso (copiar o abrir) a los componentes de spyware/ grayware detectados. Esta acción sólo se puede llevar a cabo durante la Exploración en tiempo real. Para las exploraciones manuales o programadas, la acción es "Omitir". ActiveAction Existen distintos tipos de virus/malware, cada uno de los cuales requiere acciones de exploración diferentes. La personalización de las acciones de exploración requiere una serie de conocimientos acerca de los virus y el malware, y puede resultar una tarea tediosa. Worry-Free Business Security usa ActiveAction para hacer frente a estos problemas. ActiveAction es un conjunto de acciones de exploración preconfiguradas para la defensa frente a los virus y el malware. Si no está familiarizado con las acciones de exploración o si no está seguro de cuál es la acción más adecuada para un determinado tipo de virus/ malware, Trend Micro le recomienda utilizar ActiveAction. Utilizar ActiveAction ofrece las siguientes ventajas: • ActiveAction utiliza acciones de exploración que recomienda Trend Micro. De este modo, no tendrá que perder tiempo configurando las acciones de exploración. • Los programadores de virus modifican sin cesar el modo en que los virus y el malware atacan a los ordenadores. La configuración de ActiveAction se actualiza para proporcionar protección ante las últimas amenazas y métodos de ataque de los virus y el malware. En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/ malware: 7-17 Manual del administrador de Worry-Free Business Security 8.0 TABLA 7-3. Acciones de exploración recomendadas por Trend Micro frente a virus y malware TIPO DE VIRUS/ EXPLORACIÓN EN TIEMPO REAL MALWARE EXPLORACIÓN MANUAL/ EXPLORACIÓN PROGRAMADA PRIMERA SEGUNDA PRIMERA SEGUNDA ACCIÓN ACCIÓN ACCIÓN ACCIÓN Programa de broma Cuarentena Eliminar Cuarentena Eliminar Gusanos/ programa de caballo de Troya Cuarentena Eliminar Cuarentena Eliminar Packer Cuarentena N/D Cuarentena N/D Virus/Malware probable Denegar acceso o realizar una acción configurada por el usuario N/D Omitir o realizar una acción configurada por el usuario N/D Virus Limpiar Cuarentena Limpiar Cuarentena Virus de prueba Denegar acceso N/D N/D N/D Otros tipos de malware Limpiar Cuarentena Limpiar Cuarentena Notas y recordatorios: • Para los posibles virus y malware, la acción predeterminada es "Denegar acceso" durante la exploración en tiempo real y "Omitir" durante la exploración manual y la exploración programada. Si prefiere utilizar otras acciones, tiene a su disposición Poner en cuarentena, Eliminar o Cambiar nombre. • Algunos archivos no se pueden limpiar. Para obtener más información, consulte Archivos que no se pueden limpiar en la página D-29. • ActiveAction no está disponible para buscar spyware/grayware. 7-18 Gestionar las exploraciones Configuración avanzada (acciones de exploración) TIPO DE EXPLORACIÓN OPCIÓN Exploración en tiempo real, Exploración programada Mostrar mensaje de alerta en el equipo de sobremesa o en el servidor al detectar un virus/spyware Exploración en tiempo real, Exploración programada Mostrar mensaje de alerta en el equipo de sobremesa o en el servidor al detectar un posible virus/spyware Exploración manual, en tiempo real o programada Ejecutar la limpieza cuando se detecte una posible amenaza de virus/malware: solo está disponible si elige ActiveAction y una acción personalizada para el posible virus/malware. Explorar destinos y acciones para los Messaging Security Agents Defina las siguientes configuraciones para cada tipo de exploración (Exploración manual, Exploración programada y Exploración en tiempo real): Pestaña Destino • Objetivos de la exploración • Configuración de exploración de amenazas adicionales • Exclusiones de la exploración Pestaña Acción • Acciones de exploración/ActiveAction • Notificaciones • Configuración avanzada 7-19 Manual del administrador de Worry-Free Business Security 8.0 Objetivos de la exploración Seleccione los objetivos de la exploración: • Todos los archivos adjuntos: solo quedan excluidos los archivos cifrados o protegidos por contraseña. Nota Esta opción ofrece la máxima seguridad posible. Sin embargo, explorar todos los archivos requiere un gran consumo de tiempo y recursos y puede ser innecesario en algunas circunstancias. Por lo tanto, es posible que desee limitar la cantidad de archivos que el agente incluirá en la exploración. • IntelliScan: explora los archivos basándose en el tipo de archivo verdadero. Consulte el apartado IntelliScan en la página D-2. • Tipos de archivo específicos: WFBS explorará solo los archivos de los tipos seleccionados y con las extensiones seleccionadas. Separe las distintas entradas mediante punto y coma (;). Seleccione otras opciones: • Activar IntelliTrap: IntelliTrap detecta código malicioso, como los programas robot, en archivos comprimidos. Consulte el apartado IntelliTrap en la página D-3. • Explorar el cuerpo del mensaje: Explora el cuerpo de un mensaje de correo electrónico que puede contener amenazas incrustadas. Configuración de exploración de amenazas adicionales Seleccione otras amenazas que el agente deba explorar. Si desea obtener información detallada acerca de las amenazas, consulte Descripción de las amenazas en la página 1-9. Seleccione opciones adicionales: • Crear copia de seguridad del archivo infectado antes de limpiar: WFBS realiza una copia de seguridad de la amenaza antes de limpiar. El archivo copiado se cifra y almacena en el siguiente directorio del cliente: <Carpeta de instalación del Messaging Security Agent> \storage\backup 7-20 Gestionar las exploraciones Puede cambiar el directorio en la sección Opciones avanzadas, subsección Configuración de la copia de seguridad. Para descifrar el archivo, consulte Restaurar archivos cifrados en la página 14-9. • No limpiar los archivos comprimidos infectados para optimizar el rendimiento. Exclusiones de la exploración En la pestaña Destino, acceda a la sección Exclusiones y elija entre los siguientes criterios que usará el agente para excluir los mensajes de correo electrónico de las exploraciones: • El tamaño del cuerpo del mensaje es mayor que: Messaging Security Agent solo explora los mensajes de correo electrónico cuando el tamaño del cuerpo del mensaje es menor o igual que la cantidad especificada. • El tamaño del archivo adjunto es mayor que: Messaging Security Agent solo explora los mensajes de correo electrónico cuando el tamaño del archivo adjunto es menor o igual que la cantidad especificada. Consejo Trend Micro recomienda fijar un límite de 30 MB. • El total de archivos descomprimidos es mayor que: Cuando la cantidad de archivos descomprimidos del archivo comprimido supera esta cantidad, Messaging Security Agent explorará solo los archivos hasta el límite definido en esta opción. • El tamaño del archivo descomprimido es mayor que: Messaging Security Agent solo explorará los archivos comprimidos que sean menores o iguales que este tamaño después de la descompresión. • El número de capas de compresión es mayor que: El Messaging Security Agent solo explora archivos comprimidos que tengan una cantidad inferior o igual a las capas de compresión especificadas. Por ejemplo, si define el límite en 5 capas de compresión, entonces Messaging Security Agent explorará las 5 primeras capas de archivos comprimidos, pero no explorará los archivos comprimidos en la capa 6 y en adelante. 7-21 Manual del administrador de Worry-Free Business Security 8.0 • El tamaño del archivo descomprimido es “x” veces el tamaño del archivo comprimido: Messaging Security Agent solo explorará los archivos comprimidos cuando la relación del tamaño del archivo descomprimido en comparación con el tamaño del archivo comprimido sea menor que este número. Esta función evita que Messaging Security Agent explore un archivo comprimido que pueda causar un ataque de denegación de servicio (DoS). Los ataques DoS se producen cuando se sobrecargan los recursos del servidor de correo a causa de tareas innecesarias. Si impide que Messaging Security Agent explore los archivos que descomprime en archivos de gran tamaño evitará este problema. Ejemplo: en la tabla siguiente, el valor introducido para "x" es 100. TAMAÑO DEL ARCHIVO TAMAÑO DEL ARCHIVO (SIN COMPRIMIR) (SIN COMPRIMIR) RESULTADO 500 KB 10 KB (relación 50:1) Explorado 1000 KB 10 KB (relación 100:1) Explorado 1001 KB 10 KB (relación superior a 100:1) No explorado* 2000 KB 10 KB (relación 200:1) No explorado* * Messaging Security Agent realizará la acción que se haya especificado para los archivos excluidos. Acciones de exploración Los administradores pueden configurar Messaging Security Agent para realizar acciones según el tipo de amenaza presentada por los virus/malware, troyanos y gusanos. Si utiliza acciones personalizadas, puede definir una acción para cada tipo de amenaza. 7-22 Gestionar las exploraciones TABLA 7-4. Acciones personalizadas de Messaging Security Agent ACCIÓN Limpiar DESCRIPCIÓN Elimina el código malicioso de los cuerpos de los mensajes infectados y los archivos adjuntos. El resto del texto del mensaje, los archivos no infectados y los archivos limpiados se entregan entonces a los destinatarios originales. Trend Micro recomienda utilizar la acción de exploración predeterminada Limpiar para los virus/malware. En algunas circunstancias, Messaging Security Agent no puede limpiar un archivo. Durante una exploración manual o programada, el Messaging Security Agent actualiza el almacén de información y sustituye el archivo por el limpio. Sustituir por texto o archivo Elimina el contenido filtrado o infectado y lo sustituye por texto o por un archivo. El mensaje de correo electrónico se envía al destinatario original, pero el texto insertado le informa de que el contenido original estaba infectado y ha sido sustituido. Para el Filtrado de contenido y la Prevención de pérdida de datos, solo puede sustituir texto en los campos de cuerpo o archivos adjuntos (y no en los campos De, Para, CC o Asunto). Poner en cuarentena todo el mensaje (Exploración en tiempo real solo) Coloca en el directorio de cuarentena solo el contenido infectado y el destinatario recibe el mensaje sin contenido. Para el Filtrado de contenido, la Prevención de pérdida de datos y el Bloqueo de archivos adjuntos, se mueve el mensaje entero al directorio de cuarentena. Poner en cuarentena parte del mensaje (Exploración en tiempo real solo) Coloca en el directorio de cuarentena solo el contenido infectado o filtrado y el destinatario recibe el mensaje sin contenido. Eliminar todo el mensaje (Exploración en tiempo real) Elimina todo el mensaje de correo electrónico. El destinatario original no recibirá el mensaje. 7-23 Manual del administrador de Worry-Free Business Security 8.0 ACCIÓN Omitir DESCRIPCIÓN Registra la infección de virus de archivos maliciosos en los registros de virus, pero no realiza ninguna acción. Los archivos excluidos, cifrados o protegidos con contraseña se entregan al destinatario sin actualizar los registros. Para el filtrado de contenido, se envía el mensaje tal cual. Archivar Mueve el mensaje al directorio de archivado y entrega el mensaje al destinatario original. Poner en cuarentena el mensaje en la carpeta para spam del servidor Envía todo el mensaje al Security Server para ponerlo en cuarentena. Poner el mensaje en cuarentena en la carpeta para spam del usuario Envía todo el mensaje a la carpeta de spam del usuario para ponerlo en cuarentena. La carpeta se encuentra en el lado del servidor del almacén de información. Etiquetar y entregar Añade una etiqueta a la información del encabezado del mensaje de correo electrónico que lo identifica como spam y entonces lo entrega al destinatario original. Además de estas acciones, se pueden configurar estas otras: • Activar acción para el comportamiento de correo masivo: elija entre limpiar, sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje con el tipo de amenaza de comportamiento de correo masivo. • Ejecutar esta acción cuando no se pueda llevar a cabo la limpieza: Permite definir la acción secundaria que se llevará a cabo cuando los intentos de limpiar sean infructuosos. Elija entre sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. ActiveAction En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/ malware: 7-24 Gestionar las exploraciones TABLA 7-5. Acciones de exploración recomendadas por Trend Micro frente a virus y malware TIPO DE VIRUS/ MALWARE EXPLORACIÓN MANUAL/ EXPLORACIÓN PROGRAMADA EXPLORACIÓN EN TIEMPO REAL PRIMERA SEGUNDA PRIMERA SEGUNDA ACCIÓN ACCIÓN ACCIÓN ACCIÓN Virus Limpiar Eliminar todo el mensaje Limpiar Sustituir por texto o archivo Gusanos/ programa de caballo de Troya Sustituir por texto o archivo N/D Sustituir por texto o archivo N/D Packer Poner en cuarentena parte del mensaje N/D Poner en cuarentena parte del mensaje N/D Otro código malicioso Limpiar Eliminar todo el mensaje Limpiar Sustituir por texto o archivo Amenazas adicionales Poner en cuarentena parte del mensaje N/D Sustituir por texto o archivo N/D Comportamiento de correo masivo Eliminar todo el mensaje N/D Sustituir por texto o archivo N/D Notificaciones sobre la acción de exploración Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe a los destinatarios previstos cuando se realice una acción en un mensaje de correo electrónico específico. Por diversos motivos, es posible que no desee notificar a los destinatarios de correo externos que se ha bloqueado un mensaje con información confidencial. Seleccione No notificar a destinatarios externos para enviar notificaciones únicamente a destinatarios internos. Defina las direcciones de correo internas en Operaciones > Configuración de la notificación > Definición de correo interno. 7-25 Manual del administrador de Worry-Free Business Security 8.0 También se puede desactivar el envío de notificaciones a remitentes y destinatarios externos engañosos. Configuración avanzada (acciones de exploración) CONFIGURACIÓN Macros DETALLES los virus de macro son virus específicos de una aplicación que infectan las utilidades de macro que acompañan a las aplicaciones. La exploración avanzada de macros utiliza la exploración heurística para detectar virus de macro o quitar todos los códigos de macro detectados. La exploración heurística es un método de evaluación que sirve para detectar virus y que utiliza las tecnologías de reconocimiento de patrones y reglas para buscar código de macro malicioso. Este método es especialmente eficaz para detectar virus y amenazas desconocidos que carecen de una firma de virus conocida. El Messaging Security Agent realiza acciones contra el código de macro malicioso en función de la acción que se configure. • Nivel heurístico • El nivel 1 utiliza los criterios más específicos, pero es el que detecta menos códigos de macro. • El nivel 4 es el que detecta más códigos de macro, pero utiliza los criterios menos específicos y puede notificar por error que un código de macro seguro alberga código de macro malicioso. Consejo Trend Micro recomienda el nivel 2 de exploración heurística, el cual proporciona un nivel de detección elevado para virus de macro desconocidos y alta velocidad de exploración. Asimismo utiliza solo las reglas necesarias para buscar cadenas de virus de macro. El nivel 2 también tiene un bajo nivel de identificación incorrecta de código malicioso en el código de macro seguro. • 7-26 Eliminar todas las macros detectadas por la exploración de macros avanzada: quita todos los códigos de macro detectados en los archivos explorados. Gestionar las exploraciones CONFIGURACIÓN DETALLES Partes de mensajes no explorables Defina la condición de acción y notificación para los archivos cifrados o protegidos con contraseña. Para la acción, elija entre sustituir con texto/archivo, poner en cuarentena todo el mensaje, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. Partes del mensaje excluidas Defina la condición de acción o notificación para las partes de mensajes que se hayan excluido. Para la acción, elija entre sustituir con texto/archivo, poner en cuarentena todo el mensaje, eliminar todo el mensaje, omitir o poner en cuarentena la parte del mensaje. Configuración de la copia de seguridad La ubicación para guardar la copia de seguridad de los archivos infectados antes de que el agente los limpie. Configuración de la sustitución configure el texto y el archivo del texto de sustitución. Si la acción consiste en sustituir por texto/archivo, WFBS sustituirá la amenaza por este archivo y esta cadena de texto. 7-27 Capítulo 8 Administrar las actualizaciones En este capítulo se describen los componentes de Worry-Free Business Security y los procedimientos de actualización. 8-1 Manual del administrador de Worry-Free Business Security 8.0 Información general sobre actualizaciones Todas las actualizaciones de componentes se originan en el servidor ActiveUpdate de Trend Micro. Cuando hay actualizaciones disponibles, el Security Server descarga los componentes actualizados y, a continuación, los distribuye a los Security Agents y a los Messaging Security Agents (Advanced solo). Si un Security Server administra un número grande de Security Agents, es posible que la actualización utilice una cantidad considerable de recursos informáticos de servidor, lo que afectaría a la estabilidad y al rendimiento del servidor. Para solucionar este problema, Worry-Free Business Security tiene una función de agente de actualización que permite a determinados Security Agents compartir la tarea de distribuir las actualizaciones a los demás Security Agents. En la siguiente tabla, se describen opciones de actualización de componentes para los Security Servers y los agentes, además de recomendaciones acerca de su uso: TABLA 8-1. Opciones de actualización SECUENCIA DE ACTUALIZACIÓN 8-2 1. Fuente de actualización personalizada o servidor ActiveUpdate 2. Security Server 3. Agentes DESCRIPCIÓN RECOMENDACIÓN Trend Micro Security Server recibe componentes actualizados desde el servidor ActiveUpdate o desde una fuente de actualizaciones personalizada y, a continuación, los implementa directamente en los agentes (Security Agents y Messaging Security Agents). Utilice este método si no hay secciones con ancho de banda reducido entre el Security Server y los agentes. Administrar las actualizaciones SECUENCIA DE DESCRIPCIÓN RECOMENDACIÓN Trend Micro Security Server recibe componentes actualizados del servidor ActiveUpdate (u otra fuente de actualización personalizada) y los implementa directamente en: Si no hay secciones de ancho de banda reducido entre el Security Server y los Security Agents, utilice este método para equilibrar la carga de tráfico en la red. ACTUALIZACIÓN 1. Fuente de actualización personalizada o servidor ActiveUpdate 2. Security Server 3. Actualizar los agentes, los Messaging Security Agents y los Security Agents sin agentes de actualización 4. Todos los demás Security Agents 1. Servidor ActiveUpdate 2. Agentes de Security Agent • Agentes de actualización • Agentes Messaging Security Agent • Security Agents sin agentes de actualización Los agentes de actualización pueden entonces implementar los componentes en sus Security Agents correspondientes. Si esos Security Agents no se pueden actualizar, se actualizan directamente desde el Security Server. Los Security Agents que no se pueden actualizar desde ninguna fuente, se actualizan directamente desde el servidor ActiveUpdate. Este mecanismo se debe usar solo como último recurso. Nota Los Messaging Security Agents nunca se actualizan directamente desde el servidor ActiveUpdate. Si ninguna fuente está disponible, el Messaging Security Agent sale del proceso de actualización. 8-3 Manual del administrador de Worry-Free Business Security 8.0 Componentes que se pueden actualizar Worry-Free Business Security utiliza componentes para proteger a los clientes frente a las últimas amenazas. Mantenga actualizados los componentes realizando actualizaciones programadas o manuales. La pantalla Estado de actividad permite ver el estado de los componentes Defensa frente a epidemias, Antivirus, Anti-spyware y Virus de red. Si Worry-Free Business Security está protegiendo los servidores Microsoft Exchange (solo versión Advanced), también podrá ver el estado de los componentes antispam. WFBS puede enviar una notificación a los administradores cuando sea necesario actualizar un componente. En las siguientes tablas figuran los componentes que Security Server descarga de ActiveUpdate Server: Componentes de mensajería (solo versión Advanced) COMPONENTE 8-4 DESTINO DE LA DISTRIBUCIÓN DESCRIPCIÓN Patrón antispam del Messaging Security Agent Messaging Security Agents El patrón antispam identifica el spam más reciente en los mensajes de correo electrónico y los documentos adjuntos a dichos mensajes. Motor antispam del Messaging Security Agent de 32 y 64 bits Messaging Security Agents El motor antispam detecta spam en mensajes de correo electrónico y en documentos adjuntos a estos. Motor de exploración del Messaging Security Agent de 32 y 64 bits Messaging Security Agents El motor de exploración detecta gusanos de Internet, virus de envío de correo masivo, troyanos, sitios de phishing, spyware y explotaciones de la red, además de virus en mensajes de correo electrónico y en sus documentos adjuntos. Administrar las actualizaciones COMPONENTE Motor de filtrado de URL de Messaging Security Agent de 32 y 64 bits DESTINO DE LA DESCRIPCIÓN DISTRIBUCIÓN Messaging Security Agents Motor de filtrado de URL facilita la comunicación entre WFBS y el servicio de filtrado de URL de Trend Micro. El servicio de filtrado de URL es un sistema que clasifica las URL y proporciona la información correspondiente a WFBS. Antivirus y smart scan COMPONENTE Motor de exploración antivirus de 32 y 64 bits DESTINO DE LA DESCRIPCIÓN DISTRIBUCIÓN Security Agents El motor de exploración es el pilar en el que se fundamentan todos los productos de Trend Micro y se desarrolló como respuesta a los virus informáticos basados en archivos. El motor de exploración es en la actualidad muy sofisticado y es capaz de detectar varios tipos de virus y malware. El motor de exploración también detecta virus controlados que se crean y utilizan para investigar. Más que explorar cada uno de los bytes de cada archivo, lo que hacen el motor y el archivo de patrón es trabajar juntos para identificar lo siguiente: • Características delatoras del código de virus • La ubicación concreta en la que reside el virus dentro de un archivo 8-5 Manual del administrador de Worry-Free Business Security 8.0 COMPONENTE Smart Scan Pattern 8-6 DESTINO DE LA DISTRIBUCIÓN No se distribuye a los Security Agents. Este patrón permanece en el Security Server y se usa al responder a consultas de exploración recibidas desde los Security Agents. Smart Scan Agent Pattern Security Agents que usan smart scan Patrón de virus Security Agents que usan la exploración convencional DESCRIPCIÓN En el modo smart scan, los Security Agents utilizan dos patrones ligeros que funcionan juntos para proporcionar la misma protección que ofrecen los patrones antimalware y antispyware convencionales. El Smart Scan Pattern contiene la mayoría de las definiciones de patrones. El Smart Scan Agent Pattern contiene todas las demás definiciones de patrones no halladas en el Smart Scan Pattern. El Security Agent explora el cliente para ver si hay amenazas de seguridad mediante el Smart Scan Agent Pattern. Si el Security Agent no puede determinar el riesgo del archivo durante la exploración, verifica este riesgo enviando una consulta de exploración a un servidor de exploración, un servicio alojado en el Security Server. El servidor de exploración verifica el riesgo usando el Smart Scan Pattern. El Security Agent almacena en caché el resultado de la consulta de exploración proporcionado por el servidor de exploración para mejorar el rendimiento de la exploración. Patrón de virus contiene información que ayuda a los Security Agents a identificar los virus, el malware y los ataques de amenazas mixtas más recientes. Trend Micro crea y publica nuevas versiones del patrón de virus varias veces por semana y siempre que se detecta un virus o malware especialmente dañino. Administrar las actualizaciones COMPONENTE Patrón de IntelliTrap DESTINO DE LA DISTRIBUCIÓN Security Agents DESCRIPCIÓN El Patrón de IntelliTrap detecta los archivos de compresión en tiempo real empaquetados como archivos ejecutables. Para obtener más información, consulte IntelliTrap en la página D-3. Patrón de excepciones de IntelliTrap Security Agents La solución Patrón de excepciones de IntelliTrap contiene una lista de archivos de compresión "permitidos". Motor de Damage Cleanup de 32 y 64 bits Security Agents La solución El motor de Damage Cleanup realiza exploraciones y eliminaciones de troyanos y sus procesos. Plantilla de Damage Cleanup Security Agents La solución El motor de Damage Cleanup utiliza la plantilla de Damage Cleanup para identificar, y así poder eliminar, los archivos y procesos troyanos. Antispyware COMPONENTE DESTINO DE LA DISTRIBUCIÓN DESCRIPCIÓN Motor de exploración de spyware y grayware v.6 de 32 y 64 bits Security Agents La solución Motor de exploración antispyware busca spyware y grayware y lleva a cabo la acción de exploración apropiada con ellos. Patrón de antispyware y grayware v.6 Security Agents Patrón de spyware y grayware Security Agents La solución Patrón de spyware detecta la presencia de spyware o grayware en los archivos y los programas, los módulos de la memoria, el Registro de Windows y los accesos directos a URL. 8-7 Manual del administrador de Worry-Free Business Security 8.0 Virus de red COMPONENTE Patrón del cortafuegos DESTINO DE LA DESCRIPCIÓN DISTRIBUCIÓN Security Agents Al igual que Patrón de virus, Patrón del cortafuegos ayuda a los agentes a identificar firmas de virus, que son patrones exclusivos de bits y bytes que indican la presencia de un virus de red. Supervisión de comportamiento y control del dispositivo COMPONENTE DESCRIPCIÓN DISTRIBUCIÓN Patrón de detección de la supervisión de comportamiento (32/64 bits) Security Agents Este patrón contiene las reglas para detectar comportamientos sospechosos de constituir amenazas. Controlador básico de la supervisión del comportamiento de 32 y 64 bits Security Agents Este controlador en modo kernel supervisa los sucesos del sistema y los transmite al Servicio básico de la supervisión de comportamiento para la aplicación de las políticas. Servicio básico de la supervisión de comportamiento de 32 y 64 bits Security Agents Este servicio en modo de usuario cuenta con las siguientes funciones: Patrón de configuración de la supervisión de comportamiento 8-8 DESTINO DE LA Security Agents • Proporciona detección de rootkits. • Regula el acceso a dispositivos externos. • Protege archivos, claves de Registro y servicios. El controlador de la supervisión de comportamiento utiliza este patrón para identificar los sucesos normales del sistema y los excluye de la aplicación de las políticas. Administrar las actualizaciones COMPONENTE DESTINO DE LA DISTRIBUCIÓN DESCRIPCIÓN Patrón de firmas digitales Security Agents Este patrón contiene una lista de firmas digitales válidas que el Servicio básico de supervisión de comportamiento utiliza para determinar si el programa responsable del suceso de un sistema es o no seguro. Patrón de aplicación de políticas Security Agents El servicio básico de la supervisión de comportamiento contrasta los sucesos del sistema con las políticas de este patrón. Defensa frente a epidemias COMPONENTE Patrón de valoración de vulnerabilidades de 32 y 64 bits DESTINO DE LA DISTRIBUCIÓN Security Agents DESCRIPCIÓN Un archivo que incluye la base de datos para todas las vulnerabilidades. El patrón de valoración de vulnerabilidades contiene las instrucciones para que el motor de exploración busque vulnerabilidades conocidas. Archivos Hotfix, parches y Service Packs Tras la publicación oficial de un producto, Trend Micro suele desarrollar los siguientes elementos para solucionar algunos problemas, mejorar el rendimiento del producto o incluir nuevas características: • Revisión en la página D-2 • Parche en la página D-10 • Revisión de seguridad en la página D-27 • Service Pack en la página D-27 El distribuidor o proveedor de asistencia puede ponerse en contacto con el usuario cuando estos elementos están disponibles. Visite el sitio Web de Trend Micro para 8-9 Manual del administrador de Worry-Free Business Security 8.0 obtener más información sobre las nuevas publicaciones de archivos Hotfix, parches y Service Packs: http://www.trendmicro.com/download/emea/?lng=es Todas las publicaciones incluyen un archivo Léame que contiene información sobre la instalación, implementación y configuración. Lea detenidamente el archivo Léame antes de efectuar la instalación. Actualizaciones del Security Server Actualizaciones automáticas El Security Server ejecuta automáticamente las siguientes actualizaciones: • Inmediatamente después de instalar el Security Server, este se actualiza desde el servidor ActiveUpdate de Trend Micro. • Cada vez que se inicia el Security Server, este actualiza los componentes y la política de defensa frente a epidemias. • De forma predeterminada, las actualizaciones programadas se ejecutan cada hora (la frecuencia de actualización se puede cambiar desde la consola Web). Actualizaciones manuales Se pueden ejecutar actualizaciones manuales desde la consola Web en caso de que haya que realizar una actualización urgente. Sugerencias y recordatorios sobre la actualización de servidores • Después de una actualización, el Security Server distribuye automáticamente las actualizaciones de los componentes a los agentes. Para obtener más información sobre los componentes distribuidos a los agentes, consulte Componentes que se pueden actualizar en la página 8-4. • Un Security Server que use solo IPv6 no puede realizar las siguientes tareas: • 8-10 Obtener las actualizaciones directamente desde el servidor ActiveUpdate de Trend Micro o desde una fuente de actualizaciones personalizadas que solo use IPv4. Administrar las actualizaciones • Distribuir las actualizaciones directamente a agentes que solo usen IPv4. Del mismo modo, un Security Server que solo use IPv4 no podrá obtener actualizaciones directamente desde una fuente de actualizaciones personalizada que solo use IPv6 ni distribuir actualizaciones a agentes que solo usen IPv6. En estas situaciones, es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para que el Security Server pueda obtener y distribuir actualizaciones. • Si utiliza un servidor proxy para conectarse a Internet, use la configuración del proxy adecuada en Preferencias > Configuración general > pestaña Proxy para descargar las actualizaciones correctamente. Duplicación de componentes Trend Micro publica archivos de patrones regularmente para mantener actualizada la protección de los clientes. Dada la frecuencia con la que se publican actualizaciones de archivos de patrones, el Security Server utiliza un mecanismo denominado duplicación de componentes que permite descargar archivos de patrones con mayor rapidez. Cuando la última versión de un archivo de patrones completo está disponible para su descarga desde el servidor ActiveUpdate de Trend Micro, también lo están los patrones incrementales. Los patrones incrementales con versiones reducidas del archivo de patrones completo que representan la diferencia entre la última versión del archivo de patrones completo y la versión anterior. Por ejemplo, si la última versión es la 175, el patrón incremental v_173.175 contiene firmas en la versión 175 que no se hallan en la versión 173 (la versión 173 es el patrón completo anterior, ya que los números de patrones se utilizan en incrementos de 2). El patrón incremental v_171.175 contiene firmas en la versión 175 que no se encuentran en la versión 171. Para reducir el tráfico de red generado al descargar el último patrón, el Security Server ejecuta una duplicación de componentes, que es un método de actualización de componentes mediante el que el servidor solo descarga patrones incrementales. Para beneficiarse de la duplicación de componentes, asegúrese de que el Security Server se actualice periódicamente. De lo contrario, el servidor se verá obligado a descargar el archivo del patrón completo. La duplicación de componentes se aplica a los componentes siguientes: • Patrón de virus 8-11 Manual del administrador de Worry-Free Business Security 8.0 • Smart Scan Agent Pattern • Plantilla de Damage Cleanup • Patrón de excepciones de IntelliTrap • Patrón de spyware Configurar la fuente de actualización del Security Server Antes de empezar De forma predeterminada, el Security Server obtiene las actualizaciones del servidor ActiveUpdate de Trend Micro. Puede especificar una fuente de actualización personalizada si el Security Server no consigue acceder directamente al servidor ActiveUpdate. • Si la fuente es el servidor ActiveUpdate de Trend Micro, asegúrese de que el Security Server tenga conexión a Internet y, en el caso de utilizar un servidor proxy, compruebe si la conexión a Internet se puede establecer utilizando la configuración del proxy. Para obtener más información, consulte Configurar el proxy de Internet en la página 11-3. • Si la fuente de actualización es personalizada (Ubicación de la intranet que contiene una copia del archivo actual o Fuente de actualización alternativa), configure el entorno adecuado y actualice los recursos para esta fuente de actualización. Además, asegúrese de que exista una conexión funcional entre el Security Server y esta fuente de actualización. Si necesita ayuda a la hora de configurar una fuente de actualización, póngase en contacto con el proveedor de asistencia. • Un Security Server que solo use IPv6 no se puede actualizar directamente desde el servidor ActiveUpdate de Trend Micro ni desde ninguna fuente de actualización personalizada que solo use IPv4. Del mismo modo, un Security Server que solo utilice IPv4 no puede actualizarse directamente desde fuentes de actualización personalizadas que utilicen solo IPv6. Es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para permitir al Security Server que se conecte a las fuentes de actualización. 8-12 Administrar las actualizaciones Procedimiento 1. Acceda a Actualizaciones > Fuente. 2. En la pestaña Servidor, seleccione una fuente de actualización. 3. • servidor ActiveUpdate de Trend Micro • Ubicación de la intranet que contiene una copia del archivo actual: escriba la ruta de la Convención de nomenclatura universal (UNC) de la fuente, por ejemplo, \\Web\ActiveUpdate. Especifique también las credenciales de inicio de sesión (el nombre de usuario y la contraseña) que el Security Server utilizará para conectarse a esta fuente. • Fuente de actualización alternativa: escriba la URL correspondiente a esta fuente. Asegúrese de que el directorio virtual HTTP de destino (Web compartida) esté disponible para el Security Server. Haga clic en Guardar. Actualizar manualmente el Security Server Actualice manualmente los componentes del Security Server después de instalar o actualizar el servidor y siempre que haya una epidemia. Procedimiento 1. 2. Inicie una actualización manual de una de estas dos formas: • Acceda a Actualizaciones > Manual. • Acceda a Estado de actividad, diríjase a Estado del sistema > Actualizaciones de los componentes y haga clic en Actualizar ahora. Seleccione los componentes que desee actualizar. Para obtener información detallada acerca de los componentes, consulte Componentes que se pueden actualizar en la página 8-4. 3. Haga clic en Actualizar. 8-13 Manual del administrador de Worry-Free Business Security 8.0 Se abre una pantalla nueva en la que se muestra el estado de la actualización. Si la actualización es correcta, el Security Server distribuirá automáticamente los componentes actualizados a los agentes. Configuración de actualizaciones programadas para el Security Server Configure el Security Server para que compruebe de forma regular su fuente de actualización y descargue automáticamente las actualizaciones disponibles. Utilizar la actualización programada es la forma más fácil y eficaz de garantizar que la protección frente a amenazas esté siempre actualizada. Durante las epidemias de virus/malware, Trend Micro responde rápidamente para actualizar los archivos de patrones de virus (las actualizaciones pueden emitirse más de una vez por semana). El motor de exploración y el resto de los componentes también se actualizan con regularidad. Trend Micro recomienda una actualización diaria de los componentes (o incluso con mayor frecuencia durante epidemias de virus/malware) para asegurarse de que el agente tiene los componentes más recientes. Importante se recomienda no programar una exploración y una actualización simultáneamente. Esto podría provocar que la exploración programada se detuviera inesperadamente. Procedimiento 1. Acceda a Actualizaciones > Programada. 2. Seleccione los componentes que desee actualizar. Para obtener información detallada acerca de los componentes, consulte Componentes que se pueden actualizar en la página 8-4. 3. Haga clic en la pestaña Programa y especifique el programa de actualizaciones. • 8-14 Las actualizaciones de exploración convencional incluyen todos los componentes, excepto el Smart Scan Pattern y el Smart Scan Agent Pattern. Elija entre actualizaciones diarias, semanales y mensuales y especifique un Administrar las actualizaciones valor para Actualizar por un periodo de, que es el número de horas durante las que el Security Server realizará la actualización. El Security Server se actualizará en cualquier momento durante el periodo definido. Nota Para las actualizaciones programadas mensuales (opción no recomendada), si selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, la actualización no se realizará ese mes. • 4. Las actualizaciones de smart scan incluyen solo el Smart Scan Pattern y el Smart Scan Agent Pattern. Si ninguno de los agentes usa smart scan, haga caso omiso de este tema. Haga clic en Guardar. Recuperación de componentes La recuperación significa volver a la versión anterior del patrón de virus, Smart Scan Agent Pattern y el motor de exploración antivirus. Si estos componentes no funcionan correctamente, recupere las versiones anteriores. Security Server conserva la versión actual y las versiones anteriores del motor de exploración antivirus, así como las últimas tres versiones del patrón de virus y de Smart Scan Agent Pattern. Nota Solo se pueden recuperar los componentes anteriormente mencionados. Worry-Free Business Security utiliza distintos motores de exploración para los agentes que se ejecutan en plataformas de 32 y 64 bits. Estos motores de exploración deben recuperarse por separado. El procedimiento de recuperación es idéntico para todos los tipos de motores de exploración. Procedimiento 1. Vaya a Actualizaciones > Recuperar. 8-15 Manual del administrador de Worry-Free Business Security 8.0 2. Haga clic en Sincronizar para que un componente específico notifique a los agentes que sincronicen las versiones de sus componentes con la del servidor. 3. Haga clic en Recuperar para que un componente específico recupere ese componente tanto en Security Server como en los agentes. Actualizaciones del Security Agent y el Messaging Security Agent Actualizaciones automáticas Tanto los Security Agents como los Messaging Security Agents (Advanced solo) realizan automáticamente las siguientes actualizaciones: • Inmediatamente después de la instalación, los agentes realizan la actualización desde el Security Server. • Cada vez que el Security Server finaliza una actualización, automáticamente trasmite las actualizaciones a los agentes. • Cada vez que un agente de actualización finaliza una actualización, automáticamente trasmite las actualizaciones a los Security Agents correspondientes. • De forma predeterminada, las actualizaciones programadas se ejecutan: • • Cada 8 horas en los Security Agents que están en una oficina. • Cada 2 horas en los Security Agents que están fuera de una oficina. De manera predeterminada, los Messaging Security Agents ejecutan una actualización programada cada 24 horas, a las 12:00 a.m. Actualizaciones manuales Si hay alguna actualización que sea urgente, puede realizarla manualmente desde la consola Web. Acceda a Estado de actividad, diríjase a Estado del sistema > Actualizaciones de los componentes y haga clic en Implementar ahora. 8-16 Administrar las actualizaciones Sugerencias y recordatorios sobre la actualización de agentes • Los Security Agents se actualizan desde el Security Server, los agentes de actualización o el servidor ActiveUpdate de Trend Micro. Los Messaging Security Agents se actualizan únicamente desde el Security Server. Para obtener más información sobre el proceso de actualización, consulte Información general sobre actualizaciones en la página 8-2 • Un agente que solo use IPv6 no puede obtener actualizaciones directamente desde un agente de actualización o un Security Server que solo usen IPv4 o desde un servidor ActiveUpdate de Trend Micro. Del mismo modo, un agente que solo use IPv4 no puede obtener actualizaciones directamente desde un agente de actualización o un Security Server que solo usen IPv6. En estas situaciones, es necesario un servidor proxy de doble pila que convierta direcciones IP, como DeleGate, para que los clientes puedan obtener actualizaciones. • Para obtener más información sobre los componentes que actualizan los agentes, consulte Componentes que se pueden actualizar en la página 8-4. • Además de los componentes, los agentes también reciben archivos de configuración actualizados cuando efectúan actualizaciones desde el Security Server. Los agentes necesitan los archivos de configuración para aplicar la nueva configuración. Cada vez que se modifica la configuración de un agente desde la consola Web, también se modifican los archivos de configuración. Agentes de actualización Los agentes de actualización son Security Agents que pueden recibir componentes actualizados desde el Security Server o el servidor ActiveUpdate y los implementan en otros Security Agents. Si en algunas secciones de la red entre los clientes y Trend Micro Security Server el ancho de banda es reducido o el tráfico es muy denso, puede especificar que los Security 8-17 Manual del administrador de Worry-Free Business Security 8.0 Agents actúen como agentes de actualización. Los agentes de actualización reducen el consumo de ancho de banda al eliminar la necesidad de que los Security Agents accedan al Security Server en busca de las actualizaciones de componentes. Si la red está segmentada por ubicación y el enlace de red entre los segmentos soporta con frecuencia una carga pesada de tráfico, Trend Micro recomienda permitir que al menos un Security Agent de cada segmento actúe como un agente de actualización. El proceso de actualización de un agente de actualización se puede describir de la siguiente forma: 1. Security Server envía notificaciones a los Agentes de actualización cuando hay nuevas actualizaciones disponibles. 2. Los agentes de actualización descargan los componentes actualizados desde el Security Server. 8-18 Administrar las actualizaciones 3. El Security Server informa a los Security Agents sobre la disponibilidad de componentes actualizados. 4. Cada Security Agent carga una copia de la tabla de orden de los agentes de actualización para determinar su fuente de actualización apropiada. El orden de los agentes de actualización en la tabla se establece inicialmente según el orden en que se añadieron como fuentes de actualización alternativas en la consola Web. Cada Security Agent revisará la tabla entrada por entrada, desde la primera, hasta identificar su fuente de actualización. 8-19 Manual del administrador de Worry-Free Business Security 8.0 5. A continuación, los Security Agents descargan los componentes actualizados desde su agente de actualización asignado. Si por alguna razón el agente de actualización asignado no estuviera disponible, el Security Agent intentará descargar los componentes actualizados desde el Security Server. Configurar agentes de actualización Procedimiento 1. Acceda a Actualizaciones > Fuente. 2. Haga clic en la pestaña Agentes de actualización. 3. Realice las siguientes tareas: 8-20 Administrar las actualizaciones TAREA Asignar Security Agents como agentes de actualización PASOS a. En la sección Asignar agente(s) de actualización, haga clic en Agregar. Se abrirá una nueva pantalla. b. En el cuadro de lista, elija uno o varios agentes para que actúen como agentes de actualización. c. Haga clic en Guardar. La pantalla se cerrará. d. De nuevo en la sección Asignar agente(s) de actualización, seleccione Los agentes de actualización siempre se actualizan solo directamente desde Security Server si desea que los agentes de actualización descarguen siempre componentes actualizados desde Security Server, en lugar de usar otro agente de actualización. 8-21 Manual del administrador de Worry-Free Business Security 8.0 TAREA Configurar Security Agents para que se actualicen a partir de agentes de actualización PASOS a. En la sección Fuentes de actualización alternativas, seleccione Activar fuentes de actualización alternativas para agentes de Security Agent y agentes de actualización. Nota Si se desactiva esta opción, se impide que los Security Agents se actualicen a partir de agentes de actualización, lo que hace que su fuente de actualización sea el Security Server. b. Haga clic en Agregar. Se abrirá una nueva pantalla. c. Escriba las direcciones IP de los Security Agents que se actualizarán a partir de un agente de actualización. • Escriba un intervalo de direcciones IPv4. Para especificar un único Security Agent, introduzca la dirección IP del Security Agent en los campos desde y hasta. • d. En el caso de IPv6, escriba un prefijo IP y una longitud. Seleccione un agente de actualización en la lista desplegable. Si la lista desplegable no está disponible, significa que no se ha configurado ningún agente de actualización. e. Haga clic en Guardar. La pantalla se cerrará. f. 8-22 Defina más intervalos IP según sea necesario. Si ha definido varios intervalos IP, puede usar la opción Volver a ordenar para determinar la prioridad del intervalo IP. Cuando Security Server notifica a los Security Agents que hay actualizaciones disponibles, estos exploran la lista de intervalos IP para identificar su fuente de actualización correcta. El Security Agent examina el primer elemento de la lista y prosigue hacia abajo hasta que identifica la fuente de actualización correcta. Administrar las actualizaciones TAREA PASOS Configurar Security Agents para que se actualicen a partir de agentes de actualización Eliminar agentes de actualización Consejo Defina varios agentes de actualización para el mismo intervalo IP como medida de conmutación por error. Esto significa que si los Security Agents no se pueden actualizar a partir de un agente de actualización, lo intentarán con otro. Para ello, cree al menos dos (2) entradas con el mismo intervalo IP y asigne a cada entrada un agente de actualización diferente. Para eliminar un agente de actualización y anular la asignación de todos los Security Agents que tenga asignados, acceda a la sección Asignar agente(s) de actualización, marque la casilla de verificación correspondiente al nombre del equipo del agente de actualización y haga clic en Eliminar. Esta acción no eliminará el intervalo de direcciones IP de los Security Agents en la sección Fuentes de actualización alternativas y solo hará que los Security Agents que se hayan quedado "huérfanos" cambien su fuente de actualización al Security Server. Si cuenta con otro agente de actualización, podrá asignarlo a los Security Agents huérfanos. Anular la asignación de los Security Agents desde los agentes de actualización 4. Si no desea que los Security Agents pertenecientes a un intervalo de direcciones IP efectúen sus actualizaciones a partir de un agente de actualización, acceda a la sección Fuentes de actualización alternativas, marque la casilla de verificación correspondiente al intervalo de direcciones IP de los Security Agents y haga clic en Eliminar. Haga clic en Guardar. 8-23 Capítulo 9 Gestionar las notificaciones En este capítulo se explica cómo utilizar las distintas opciones de notificación. 9-1 Manual del administrador de Worry-Free Business Security 8.0 Notificaciones Los administradores pueden recibir notificaciones siempre que se produzcan sucesos extraños en la red. Worry-Free Business Security puede enviar notificaciones mediante el correo electrónico, SNMP o registros de sucesos de Windows. De manera predeterminada, todos los sucesos que aparecen en la pantalla Notificaciones están seleccionados y hacen que el Security Server envíe una notificación al administrador del sistema. Sucesos de amenazas 9-2 • Defensa frente a epidemias: TrendLabs ha declarado una alerta o se han detectado vulnerabilidades muy críticas. • Antivirus: los virus/malware detectados en los clientes o servidores Microsoft Exchange (Advanced solo) superan un cierto número, las acciones realizadas con los virus/malware no han surtido efecto o se ha desactivado la exploración en tiempo real en los clientes o en los servidores Microsoft Exchange. • Antispyware: se ha detectado spyware/grayware en los clientes, incluidos los que precisan que se reinicie el cliente infectado para eliminar completamente la amenaza de spyware/grayware. Puede configurar el umbral de notificación de spyware/grayware, es decir, el número de incidentes de spyware/grayware detectados en el periodo de tiempo especificado (el valor predeterminado es de una hora). • Antispam (Advanced solo): los casos de spam superan un determinado porcentaje del total de mensajes de correo electrónico. • Reputación Web: El número de infracciones de URL supera el número configurado para un determinado periodo. • Filtrado de URL: El número de infracciones de URL supera el número configurado para un determinado periodo. • Supervisión de comportamiento: El número de infracciones de políticas supera el número configurado para un determinado periodo. • Control de dispositivos: el número de infracciones de control de dispositivos excede un cierto número. Gestionar las notificaciones • Virus de red: los virus de red detectados superan un número determinado. Sucesos del sistema • Smart Scan: los clientes configurados para smart scan no se pueden conectar a smart scan server o el servidor no está disponible. • Actualización de componentes: desde la última vez que se actualizaron los componentes han pasado más días del número especificado o los componentes actualizados no se han implementado con suficiente rapidez en los agentes. • Sucesos inusuales del sistema: el espacio en disco restante en alguno de los clientes en que se ejecuta el sistema operativo Windows Server es inferior al mínimo configurado y está alcanzando niveles peligrosamente bajos. Sucesos de la licencia • Licencia: la licencia del producto ha caducado o está a punto de caducar, el recuento máximo de licencias usadas es superior al 100 % o es superior al 120 %. Configurar sucesos de notificaciones La configuración de notificaciones consta de dos pasos. En primer lugar se seleccionan los sucesos para los que se necesitan las notificaciones y, en segundo lugar, se configuran los métodos de entrega. Worry-Free Business Security ofrece tres métodos de entrega: • Notificaciones por correo electrónico • Notificaciones SNMP • Registro de sucesos de Windows Procedimiento 1. Acceda a Preferencias > Notificaciones. 2. En la pestaña Sucesos, actualice la siguiente información según sea necesario: 9-3 Manual del administrador de Worry-Free Business Security 8.0 3. 4. • Correo electrónico: seleccione la casilla de verificación para recibir notificaciones para dicho suceso. • Umbral de alerta: configure el umbral y/o periodo de tiempo para el suceso. • Nombre del suceso: haga clic en el nombre de un suceso para modificar el contenido de la notificación de dicho suceso. Puede incluir variables de símbolo en el contenido. Para obtener más información, consulte Variables de símbolo en la página 9-4. Haga clic en la pestaña Configuración y actualice la siguiente información según sea necesario: • Notificación por correo electrónico: defina las direcciones de correo electrónico del remitente y los destinatarios. En el caso de los destinatarios, separe las distintas direcciones de correo electrónico con punto y coma (;). • Destinatario de la notificación SNMP: SNMP es el protocolo que usan los hosts de la red para intercambiar información que se utiliza para administrar redes. Para ver los datos de la captura SNMP, utilice un explorador MIB (Management Information Base). • Activar notificaciones SNMP • Dirección IP: Dirección IP de la captura SNMP. • Comunidad: La cadena de la comunidad de SNMP. • Registro: Notificaciones que usan el registro de sucesos de Windows. • Escribir en el registro de sucesos de Windows Haga clic en Guardar. Variables de símbolo Use variables de símbolo para personalizar la línea del asunto y el cuerpo del mensaje de las notificaciones de sucesos. 9-4 Gestionar las notificaciones Para evitar que todos los mensajes de correo provenientes de direcciones con dominios externos se marquen como spam, agregue las direcciones de correo electrónico externo a las listas de antispam de Remitentes permitidos. Los siguientes símbolos representan cualquier amenaza detectada en un equipo de sobremesa/servidor o servidor Microsoft Exchange. VARIABLE DESCRIPCIÓN {$CSM_SERVERNAME } El nombre del Security Server que gestiona los agentes %CV Número de incidentes %CU Unidad de tiempo (minutos, horas) %CT Número de %CU %CP Porcentaje total de mensajes de correo electrónico que son spam Lo siguiente es un ejemplo de notificación: Trend Micro detected %CV virus incidents on your computer(s) in %CT %CU. Virus incidents that are too numerous or too frequent might indicate a pending outbreak situation. Refer to the Live Status screen on the Security Server for further instructions. 9-5 Capítulo 10 Utilizar la función Defensa frente a epidemias En este capítulo se explica la estrategia de la Defensa frente a epidemias de Worry-Free Business Security, cómo configurar la función Defensa frente a epidemias y cómo utilizarla para proteger las redes y los clientes. 10-1 Manual del administrador de Worry-Free Business Security 8.0 Estrategia de la defensa frente a epidemias La característica Defensa frente a epidemias es un componente clave de la solución Worry-Free Business Security y protege su empresa frente a epidemias mundiales. WFBS inicia la defensa frente a epidemias en respuesta a las instrucciones establecidas en la política de prevención de epidemias (OPP). Trend Micro Outbreak Prevention Policy son reglas de filtrado de contenido diseñadas por Trend Micro para ofrecer una protección óptima a los clientes y la red durante una epidemia. Trend Micro crea la política de prevención de epidemias cuando observa incidentes frecuentes y graves de virus y virus/malware que están en circulación activa por Internet. Security Server descarga una política de prevención de epidemias del servidor ActiveUpdate de Trend Micro cada 30 minutos o siempre que se inicia Security Server. Durante la defensa frente a epidemias, Security Server aplica la política de prevención de epidemias y realiza acciones para proteger los clientes y la red. Esto puede interrumpir las funciones normales de la red con medidas tales como el bloqueo de puertos y la inaccesibilidad a los directorios. Puede personalizar la defensa frente a epidemias en los clientes y la red y evitar así consecuencias inesperadas a causa de las políticas aplicadas durante la defensa frente a epidemias. Como parte de la defensa frente a epidemias, Trend Micro puede enviar alertas y otra información en respuesta a las condiciones de amenaza. Por ejemplo: Alertas rojas Varias unidades de negocio han informado de la creciente propagación de virus/ malware. Como respuesta, Trend Micro activa el proceso de solución Alerta roja de 45 minutos, que implica el lanzamiento de soluciones preventivas y patrones de exploración, así como herramientas de soluciones junto con la información de vulnerabilidad y amenazas. Alertas amarillas Se han recibido informes de infecciones de varias unidades de negocio, además de llamadas de asistencia que confirman la existencia de casos dispersos. Automáticamente se envía una publicación del patrón oficial (OPR) a los servidores de implementación y se pone a disposición para la descarga. 10-2 Utilizar la función Defensa frente a epidemias En caso de tratarse de virus/malware que se propaga a través del correo electrónico (Advanced solo), se envían automáticamente las políticas de prevención de epidemias para bloquear los archivos adjuntos de los servidores equipados con esta funcionalidad del producto. Ciclo de vida de una epidemia La estrategia de Defensa frente a epidemias se basa en la idea del ciclo de vida de una epidemia en Internet. El ciclo de vida de una epidemia se divide en tres etapas: Prevención frente a amenazas, Protección frente a amenazas y Limpieza de amenazas. Trend Micro responde a cada etapa con una estrategia de defensa llamada Defensa frente a epidemias. TABLA 10-1. Respuesta de la defensa frente a epidemias para las etapas del ciclo de vida de una epidemia ETAPA DE LA EPIDEMIA Durante la primera etapa del ciclo de vida de una epidemia, los expertos de Trend Micro descubren una amenaza que está circulando activamente por Internet. En este momento, no existe una solución conocida para esa amenaza. En la segunda etapa de la epidemia, los equipos atacados por la amenaza la transmiten a otros equipos. La amenaza comienza a propagarse rápidamente por las redes locales, lo que puede interrumpir la actividad empresarial y dañar los equipos. ETAPA DE LA DEFENSA FRENTE A EPIDEMIAS Prevención frente a amenazas La defensa frente a epidemias evita que la amenaza ataque los equipos y la red realizando acciones. Estas acciones se basan en la política de epidemias descargada de los servidores de actualización de Trend Micro. Es posible enviar alertas, bloquear puertos y denegar el acceso a las carpetas y los archivos. Protección frente a amenazas La defensa frente a epidemias indica a los equipos en riesgo que descarguen los componentes y los parches de revisión más recientes para que estén protegidos. 10-3 Manual del administrador de Worry-Free Business Security 8.0 ETAPA DE LA EPIDEMIA En la tercera y última etapa de una epidemia, la amenaza va disminuyendo con cada vez menos incidentes registrados. ETAPA DE LA DEFENSA FRENTE A EPIDEMIAS Limpieza de amenazas La defensa frente a epidemias repara los daños sufridos con los servicios de limpieza. Otras exploraciones ofrecen información que los administradores pueden utilizar para afrontar otras amenazas en el futuro. Acciones de la defensa frente a epidemias La estrategia de la defensa frente a epidemias administra las epidemias en todas las etapas de su ciclo de vida. Según la política de prevención de epidemias, la respuesta automática frente a epidemias de WFBS lleva a cabo pasos preventivos como: • Bloquear las carpetas compartidas para impedir que los virus/malware infecten sus archivos • Bloquear archivos con determinadas extensiones en el servidor Microsoft Exchange (Advanced solo) • Añadir reglas de filtrado de contenido al Messaging Security Agent (Advanced solo) • Bloquear los puertos para impedir que los virus/malware utilicen los puertos desprotegidos para extender la infección por la red y los clientes Nota la defensa frente a epidemias nunca bloquea el puerto que utiliza Security Server para comunicarse con los clientes. • Denegar el acceso de escritura a archivos y carpetas para evitar que los virus/ malware modifiquen los archivos • Determinar qué clientes de la red son vulnerables a la epidemia actual • Implementar los componentes más recientes y el motor de Damage Cleanup • Realizar una limpieza en todos los clientes afectados por la epidemia • Explorar los clientes y las redes, y emprender acciones contra las amenazas detectadas (si está activada) 10-4 Utilizar la función Defensa frente a epidemias Valoración de vulnerabilidades La herramienta Valoración de vulnerabilidades ofrece a los administradores del sistema o a otro personal de seguridad de la red una valoración de los riesgos de seguridad de la red. La información generada con la valoración de vulnerabilidades les ofrece una guía clara para resolver vulnerabilidades conocidas y proteger las redes. Use la valoración de vulnerabilidades para: • Buscar vulnerabilidades en los equipos de la red. • Identificar vulnerabilidades según unas convenciones estándar de nomenclatura. Para obtener más información sobre la vulnerabilidad y cómo solucionarla, haga clic en su nombre. • Visualizar las vulnerabilidades por equipo y dirección IP. Entre los resultados se incluye el nivel de riesgo que suponen las vulnerabilidades para el equipo y toda la red. • Comunicar las vulnerabilidades de equipos individuales y describir los riesgos de seguridad que esos equipos suponen para toda la red. • Configurar tareas que exploren alguno o todos los equipos conectados a la red. En las exploraciones se pueden buscar vulnerabilidades concretas o una lista de todas las vulnerabilidades conocidas. • Ejecutar tareas de valoración manual o configurar tareas según un programa. • Solicitar el bloqueo de los equipos que presentan un nivel inaceptable de riesgo para la seguridad de la red. • Crear informes que identifiquen las vulnerabilidades de equipos individuales y describan los riesgos de seguridad que esos equipos suponen para toda la red. Los informes identifican las vulnerabilidades según unas convenciones de nombres estándar para que los administradores puedan seguir investigando para solucionar las vulnerabilidades y proteger la red. • Puede ver historiales de valoraciones y comparar informes para comprender mejor las vulnerabilidades y modificar los factores de riesgo para la seguridad de la red. 10-5 Manual del administrador de Worry-Free Business Security 8.0 Política de prevención de epidemias La política de prevención de epidemias de Trend Micro es un conjunto de parámetros de configuración de seguridad predeterminados recomendados por Trend Micro, que se aplican como respuesta a una epidemia en la red. La política de prevención de epidemias se descarga desde Trend Micro en Security Server. Cuando Trend Micro Security Server detecta una epidemia, determina el grado de ésta e implementa inmediatamente las medidas de seguridad apropiadas, según lo establecido en la política de prevención de epidemias. Basándose en la política de prevención de epidemias, la respuesta automática frente a epidemias lleva a cabo los siguientes pasos preventivos para proteger la red en caso de epidemia: • Bloquea las carpetas compartidas para impedir que los virus/malware infecten sus archivos. • Bloquea los puertos para impedir que los virus/malware utilicen los puertos desprotegidos para infectar los archivos de la red y los clientes. • Deniega el acceso de escritura a archivos y carpetas para evitar que los virus/ malware modifiquen los archivos Estado actual de Defensa frente a epidemias Acceda a Defensa frente a epidemias > Estado actual para ver y seguir el estado de las amenazas de epidemia de virus/malware en todo el mundo. Durante una epidemia, Worry-Free Business Security utiliza la estrategia de defensa frente a epidemias para proteger los equipos y las redes. En cada etapa, actualiza la información en la página Estado actual. 10-6 Utilizar la función Defensa frente a epidemias Prevención La etapa Prevención frente a amenazas de la pantalla Estado actual muestra información sobre las amenazas recientes, los clientes que tienen alertas activadas y los clientes que son vulnerables a las amenazas detectadas. • Información de la amenaza: en la sección Información de la amenaza se muestra información sobre los virus/malware que circulan actualmente por Internet y que podrían afectar a la red y a los clientes. A partir de la información de las amenazas, la Política de prevención de epidemias pone en práctica los pasos necesarios para proteger la red y los clientes mientras Trend Micro desarrolla una solución (consulte Política de prevención de epidemias en la página 10-6). Para obtener más información sobre una amenaza en el sitio Web de Trend Micro, haga clic en Ayuda > Información de seguridad. En este apartado encontrará la información siguiente: • • Nivel de riesgo: el nivel de riesgo que la amenaza supone para los clientes y redes se basa en el número y en la gravedad del incidente de virus/malware. • Detalles de la respuesta automática: haga clic aquí para ver las acciones concretas que Defensa frente a epidemias utiliza para proteger los clientes de la amenaza actual. Haga clic en Desactivar para detener la respuesta automática en el servidor y en los agentes. Estado de alerta de los equipos en línea: En Estado de alerta de los equipos en línea se muestra el número total de clientes que tienen y no tienen activada la alerta automática. Haga clic en el enlace de número situado debajo de las columnas Activada y No activada para ver más información sobre clientes concretos. Nota Las siguientes secciones solo se muestran después de que se produzca una epidemia. Equipos vulnerables En la sección Equipos vulnerables se ofrece una lista de clientes que son vulnerables a la amenaza indicada en la sección Información de la amenaza. 10-7 Manual del administrador de Worry-Free Business Security 8.0 Protección frente a amenazas La fase Protección frente a amenazas de la pantalla Estado actual facilita información sobre el Estado de descarga de la solución referente a los componentes de actualización de Trend Micro y el Estado de implementación de la solución referente a todos los agentes. • Estado de descarga de la solución: Muestra una lista de los componentes que deben actualizarse debido a la amenaza indicada en la sección Información de la amenaza. • Estado de implementación de la solución: Muestra el número de agentes que tienen componentes actualizados y obsoletos. También facilita enlaces a clientes con componentes actualizados u obsoletos. Limpieza de amenazas La etapa Limpieza de amenazas de la pantalla Estado actual muestra el estado de la exploración que se realiza tras implementar los componentes actualizados. En la fase Limpieza de amenazas también se muestra el estado de los clientes tras la exploración y se indica si en las actualizaciones fue posible limpiar o eliminar los restos de amenazas. Para realizar una exploración automática tras la implementación de nuevos componentes, debe activarse en la pantalla Defensa frente a epidemias > Configuración. • Estado de la exploración de equipos para: Haga clic en los enlaces para mostrar una lista de clientes que han recibido notificación para explorar en busca de amenazas o que todavía deben recibir notificación. Los clientes que no están encendidos o que se han desconectado de la red no pueden recibir notificaciones. • Estado de la limpieza de equipos para: En este panel se muestran los resultados de la exploración de limpieza. Haga clic en Exportar para exportar esta información. Detalles sobre la defensa automática frente a epidemias Acceda a Defensa frente a epidemias > Estado actual > Prevención para ver los detalles de la defensa automática frente a epidemias. 10-8 Utilizar la función Defensa frente a epidemias Durante una epidemia, Security Server activa la defensa frente a epidemias. La defensa automática frente a epidemias evita que la epidemia actual ataque los equipos y la red durante el periodo de tiempo crítico en que TrendLabs crea la solución para dicha epidemia. La defensa automática frente a epidemias realiza las siguientes acciones durante una epidemia de virus: • Bloquear las carpetas compartidas para impedir que los virus infecten sus archivos • Bloquear los puertos para impedir que los virus utilicen los puertos desprotegidos para infectar los archivos de la red y los clientes Nota la defensa frente a epidemias nunca bloquea el puerto que utiliza Security Server para comunicarse con los clientes. • Denegar el acceso de escritura a archivos y carpetas para evitar que los virus modifiquen los archivos • Activa el bloqueo de archivos adjuntos para evitar la entrada de archivos sospechosos • Activa el filtrado de contenidos y crea una regla "Coincidir todo" o "Coincidir cualquiera" para filtrar el contenido peligroso. Defensa frente a epidemias, amenazas potenciales La pantalla Amenaza potencial (Defensa frente a epidemias > Amenaza potencial) muestra información acerca de los riesgos de seguridad para sus clientes y redes. Security Server recopila información sobre las amenazas con las utilidades Valoración de vulnerabilidades y los servicios de limpieza para limpiarlas. A diferencia de la pantalla Amenaza actual, que solo contiene información sobre una amenaza actual, la pantalla Amenaza potencial muestra información sobre todas las amenazas para los clientes y la red que todavía no se han resuelto. 10-9 Manual del administrador de Worry-Free Business Security 8.0 Equipos vulnerables Un equipo vulnerable presenta puntos débiles en su sistema operativo o en sus aplicaciones. Muchas amenazas aprovechan estas vulnerabilidades para causar daños o para obtener un control no autorizado. Por lo tanto, las vulnerabilidades suponen un riesgo no solo para cada equipo en su ubicación, sino que también para el resto de equipos de la red. La sección Equipos vulnerables muestra todos los clientes de la red con vulnerabilidades detectadas desde la última valoración de vulnerabilidades. Puede ver la hora de la última actualización en la esquina superior derecha de la pantalla. La pantalla Amenaza potencial clasifica los clientes según el nivel de riesgo que suponen para la red. Trend Micro calcula el nivel de riesgo, el cual representa el número relativo y la gravedad de las vulnerabilidades de cada cliente. Si hace clic en Buscar vulnerabilidades ahora, Worry-Free Business Security realiza una valoración de vulnerabilidades. Una valoración de vulnerabilidades busca vulnerabilidades en todos los clientes de la red y muestra los resultados en la pantalla Amenaza potencial. La valoración de vulnerabilidades puede suministrar la siguiente información sobre los clientes de la red: Identificar vulnerabilidades según unas convenciones estándar de nomenclatura. Para obtener más información sobre la vulnerabilidad y cómo solucionarla, haga clic en su nombre. Visualizar las vulnerabilidades por cliente y dirección IP. Entre los resultados se incluye el nivel de riesgo que suponen las vulnerabilidades para el cliente y toda la red. Comunicar las vulnerabilidades. Comunicar las vulnerabilidades de clientes individuales y describir los riesgos de seguridad que esos clientes suponen para toda la red. Equipos para limpiar La limpieza se ejecuta en segundo plano siempre que los agentes ejecutan exploraciones antivirus. No es necesario configurar exploraciones programadas de la limpieza. Para obtener más información, consulte Damage Cleanup Services en la página 10-11. Archivo de patrones de valoración de vulnerabilidades Worry-Free Business Security implementa el archivo de patrones de valoración de vulnerabilidades después de actualizar los componentes. El archivo de patrones de 10-10 Utilizar la función Defensa frente a epidemias valoración de vulnerabilidades se utiliza en la pantalla Defensa frente a epidemias > Amenazas potenciales cuando se usa la herramienta Buscar vulnerabilidades ahora, cuando se activa la valoración de vulnerabilidades programada o siempre que se descarga un nuevo archivo de patrones de valoración de vulnerabilidades. Poco después de la descarga del nuevo archivo, WFBS iniciará la exploración de los clientes en busca de vulnerabilidades. Damage Cleanup Services Los Security Agents utilizan Damage Cleanup Services para proteger los clientes frente a los troyanos. Para hacer frente a las amenazas y problemas que causan los troyanos y otros tipos de malware, los Damage Cleanup Services llevan a cabo las siguientes acciones: • Detecta y elimina troyanos activos y otras aplicaciones de malware. • Elimina los procesos creados por los troyanos y otras aplicaciones de malware. • Repara los archivos del sistema modificados por los troyanos y las aplicaciones de malware. • Elimina los archivos y las aplicaciones que crean los troyanos y otras aplicaciones de malware. Para efectuar estas tareas, los Damage Cleanup Services utilizan los componentes que se indican a continuación: • Motor de Damage Cleanup: el motor que utilizan los Damage Cleanup Services para buscar y eliminar los troyanos y sus procesos, gusanos y spyware. • Patrón de limpieza de virus: utilizado por el motor de Damage Cleanup. Esta plantilla ayuda a identificar los troyanos y sus procesos, los gusanos y el spyware para que el motor de Damage Cleanup pueda eliminarlos. Ejecutar Damage Cleanup Services Los Damage Cleanup Services se ejecutan automáticamente. No es necesario que configure esta función. Los usuarios no perciben la ejecución del programa porque se ejecuta en segundo plano (cuando los agentes están en funcionamiento). Sin embargo, Security Server puede en algunas ocasiones indicar al usuario que reinicie su equipo para completar la limpieza. 10-11 Manual del administrador de Worry-Free Business Security 8.0 Los Damage Cleanup Services se ejecutan en los clientes en las ocasiones siguientes: • Los administradores ejecutan una limpieza desde la consola Web (Defensa frente a epidemias > Amenaza potencial > Limpiar ahora) Tras hacer clic en Limpiar ahora, aparecerá durante unos instantes la pantalla Progreso de la notificación para limpiar, la cual muestra cómo avanza la notificación. Esta será sustituida a continuación por la pantalla Resultados de la notificación para limpiar. La pantalla Resultados de la notificación para limpiar indica si el Security Server ha enviado correctamente la notificación a un agente. Habrá un resultado de error si el agente no está conectado o si se produce cualquier situación inesperada, por ejemplo, una interrupción en la red. • Los usuarios ejecutan una exploración manual. • Los usuarios realizan una limpieza manual después de una exploración. • Después de aplicar un archivo Hotfix (de corrección) o revisión. • Cuando se inicia Security Server Configurar las opciones de Defensa frente a epidemias Antes de empezar Trend Micro ha diseñado la defensa frente a epidemias predeterminada para garantizar una protección óptima de los clientes y la red. Antes de personalizar la configuración de la defensa frene a epidemias, revise con detenimiento la configuración y modifique solo los valores que conozca bien y cuyas consecuencias entienda. Se proporcionan las siguientes opciones de configuración para lograr una protección óptima: 10-12 Utilizar la función Defensa frente a epidemias TABLA 10-2. Configuración recomendada para Defensa frente a epidemias CONFIGURACIÓN VALOR RECOMENDADO Activar la defensa automática frente a epidemias para las alertas rojas emitidas por Trend Micro Activado Desactivar las alertas rojas después de 2 días Desactivar las alertas rojas después de implementar los componentes necesarios Activado Exploraciones automáticas de equipos de sobremesa/servidores Activado Exploraciones automáticas de Microsoft Exchange (sólo Advanced) Activado Activar la defensa automática frente a epidemias para las alertas amarillas emitidas por Trend Micro Desactivada Desactivar las alertas amarillas después de N/D Desactivar las alertas amarillas después de implementar el patrón/motor necesario N/D Desactivar las alertas amarillas después de implementar el patrón/motor necesario N/D Exploraciones automáticas de equipos de sobremesa/servidores Activado Exploraciones automáticas de Microsoft Exchange (sólo Advanced) Activado 10-13 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Excepciones Configuración de la descarga programada de políticas VALOR RECOMENDADO No se bloquearán los puertos para los siguientes servicios durante la respuesta automática de la defensa frente a epidemias. • DNS • NetBios • HTTPS (servidor Web seguro) • HTTP (servidor Web) • Telnet • SMTP (protocolo de transferencia de correo simple) • FTP (protocolo de transferencia de archivos) • Correo de Internet (POP3) • Frecuencia: cada 30 minutos • Origen: servidor ActiveUpdate de Trend Micro Procedimiento 1. Acceda a Defensa frente a epidemias > Configuración > Defensa frente a epidemias. 2. Actualice las siguientes opciones si es necesario: 10-14 • Activar la defensa frente a epidemias para las alertas rojas emitidas por Trend Micro: las políticas de defensa frente a epidemias permanecen activas hasta que se hace clic en la opción Defensa frente a epidemias > Estado actual > Desactivar o hasta que se cumpla uno de los valores de desactivación. Cuando Security Server descarga una nueva política de prevención de epidemias, deja de surtir efecto la política antigua. • Desactivar las alertas rojas después de x días: Duración de la alerta de Defensa frente a epidemias. Utilizar la función Defensa frente a epidemias • Realizar una exploración automática antivirus después de implementar los componentes necesarios para: • Equipos de sobremesa/servidores • Servidores Exchange (Advanced solo) • Configuración de las alertas amarillas: Configure las opciones para las alertas amarillas. Consulte el apartado Alertas amarillas en la página 10-2. • Excepciones: Los puertos no se bloquearán durante la respuesta automática de la defensa frente a epidemias. Consulte el apartado Defensa frente a epidemias, excepciones en la página 10-15. Nota cuando agregue una nueva excepción, asegúrese de que la opción Activar esta excepción esté activada. • 3. Configuración de la descarga programada de políticas: Configuración para descargar periódicamente componentes actualizados. • Frecuencia • Origen: La fuente de las actualizaciones. • Servidor Trend Micro ActiveUpdate (valor predeterminado) • Ubicación de la intranet que contiene una copia del archivo actual • Otra fuente de actualización: cualquier otra fuente de actualización en la Web. Haga clic en Guardar. Defensa frente a epidemias, excepciones Durante la defensa frente a epidemias, Security Server puede bloquear los puertos para evitar que las amenazas accedan a los equipos de la red. Sin embargo, puede tener puertos que deban permanecer siempre abiertos para garantizar las comunicaciones 10-15 Manual del administrador de Worry-Free Business Security 8.0 entre Security Server y otros equipos y aplicaciones. Puede agregar estos puertos a la lista de exclusión para que nunca se bloqueen, incluso durante la defensa frente a epidemias. ¡ADVERTENCIA! Trend Micro ha diseñado la defensa frente a epidemias para bloquear los puertos que suelen utilizar los ataques y el software malicioso. Al agregar excepciones al bloqueo de puertos puede dejar los equipos y las redes vulnerables. Procedimiento 1. Acceda a Defensa frente a epidemias > Configuración > Defensa frente a epidemias > Excepción. 2. Realice las siguientes tareas. TAREA Agregue una excepción PASOS a. Haga clic en el icono más (+) de la sección Excepciones. b. Haga clic en Agregar. Se abrirá una nueva pantalla. c. Actualice las siguientes opciones si es necesario: • Activar esta excepción • Descripción • Protocolo • d. 10-16 • Protocolo de control de transmisión (TCP) • Protocolo de datagramas de usuario (UDP) • Protocolo de mensajes de control de Internet (ICMP) Puertos: Escriba un rango de puertos o puertos específicos para la excepción. Separe las distintas entradas mediante punto y coma (;). Haga clic en Agregar. Utilizar la función Defensa frente a epidemias TAREA Editar una excepción PASOS a. En la pantalla Editar excepción, seleccione Activar esta excepción. b. Escriba una descripción para la excepción en el campo Descripción. c. De la lista desplegable Protocolo, seleccione el método de comunicación que desea excluir. Puede seleccionar: d. e. Eliminar una excepción Eliminar puertos de la lista de excepciones 3. • Protocolo de control de transmisión (TCP) • Protocolo de datagramas de usuario (UDP) • Protocolo de mensajes de control de Internet (ICMP) Escriba los puertos que se excluirán. • Si desea incluir un intervalo, seleccione Intervalo de puertos e introduzca a continuación el primer número del intervalo y el último. • Para excluir puertos específicos, seleccione Puertos especificados y escriba los números de puertos que desee. Haga clic en Guardar. Consejo En lugar de eliminar una excepción, puede desactivarla. a. Haga clic en el icono más (+) de la sección Excepciones. b. Seleccione la excepción y haga clic en Eliminar. c. Haga clic en Aceptar para confirmar. a. Seleccione un puerto para eliminar y haga clic en el icono Eliminar. b. Haga clic en Aceptar para confirmar. Haga clic en Guardar. 10-17 Manual del administrador de Worry-Free Business Security 8.0 Definir la configuración de la valoración de vulnerabilidades La configuración de Valoración de vulnerabilidades determina la frecuencia y el destino de las exploraciones de prevención de vulnerabilidades. Procedimiento 1. Acceda a Defensa frente a epidemias > Configuración. 2. En la pestaña Valoración de vulnerabilidades, actualice la siguiente información si es necesario. • • 3. 10-18 Activar la prevención programada de vulnerabilidades • Frecuencia: elija entre Diariamente, Semanalmente o Mensualmente. Si selecciona Semanalmente o Mensualmente, establezca el día de la semana o del mes. • Hora de inicio Destino • Todos los grupos: explora todos los clientes que aparecen en el árbol de administración de grupos en la pantalla Equipos. • Grupos especificados: Limita la exploración de valoración de vulnerabilidades a los grupos seleccionados. Haga clic en Guardar. Capítulo 11 Administrar la configuración general En este capítulo se describe la configuración general de los agentes y los sistemas para el Security Server. 11-1 Manual del administrador de Worry-Free Business Security 8.0 Configuración general Desde la consola Web, puede establecer configuraciones globales para el Security Server y los Security Agents. Proxy Si la red utiliza un servidor proxy para conectarse a Internet, defina la configuración del proxy con el fin de llevar a cabo los siguientes servicios: • Actualizaciones de componentes y notificaciones de licencia • Reputación Web, Supervisión de comportamiento y Smart Scan Para obtener más información, consulte Configurar el proxy de Internet en la página 11-3. SMTP La configuración del servidor SMTP se aplicará a todas las notificaciones y los informes que genere Worry-Free Business Security. Para obtener más información, consulte Definir la configuración del servidor SMTP en la página 11-4. Equipo de sobremesa o servidor Las opciones Equipo de sobremesa/Servidor pertenecen a la configuración general de Worry-Free Business Security. Para obtener más información, consulte Definir la configuración de los equipos de sobremesa/ servidores en la página 11-5. Sistema La sección Sistema de la pantalla Configuración general contiene opciones para eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y mantener la carpeta de cuarentena. Para obtener más información, consulte Definir la configuración de sistemas en la página 11-12. 11-2 Administrar la configuración general Configurar el proxy de Internet Si el Security Server y los agentes utilizan un servidor proxy para conectarse a Internet, defina la configuración del servidor proxy con el fin de utilizar las siguientes funciones y servicios de Trend Micro: • Security Server: actualizaciones de componentes y mantenimiento de licencia • Security Agents: Reputación Web, Filtrado de URL, Supervisión de comportamiento, Comentarios inteligentes y Smart Scan. • Messaging Security Agents (Advanced solo): Reputación Web y antispam Procedimiento 1. Acceda a Preferencias > Configuración general. 2. En la pestaña Proxy, actualice la siguiente información según sea necesario: • Proxy de Security Server Nota Los Messaging Security Agents también utilizan la configuración del proxy del Security Server. • • Usar un servidor proxy para las actualizaciones y las notificaciones sobre la licencia • Utilizar el protocolo de proxy SOCKS 4/5 • Dirección: Nombre de host o dirección IPv4/IPv6 • Puerto • Autenticación del servidor proxy • Usuario • Contraseña Proxy de Security Agent 11-3 Manual del administrador de Worry-Free Business Security 8.0 • Usar las credenciales especificadas para el proxy de actualizaciones Nota Los Security Agents usan el servidor proxy de Internet Explorer y el puerto para conectarse a Internet. Seleccione esta opción solo si el Internet Explorer de los clientes y el Security Server comparten las mismas credenciales de autenticación. 3. • Usuario • Contraseña Haga clic en Guardar. Definir la configuración del servidor SMTP La configuración del servidor SMTP se aplicará a todas las notificaciones y los informes que genere Worry-Free Business Security. Procedimiento 1. Acceda a Preferencias > Configuración general. 2. Haga clic en la pestaña SMTP y actualice la siguiente información según sea necesario: 3. 11-4 • Servidor SMTP: La dirección IP4 o el nombre del servidor SMTP. • Puerto • Habilitar autenticación de servidor SMTP • Nombre de usuario • Contraseña Para verificar que la configuración es correcta, haga clic en Enviar correo electrónico de prueba. Si el envío no fue correcto, modifique la configuración o compruebe el estado del servidor SMTP. Administrar la configuración general 4. Haga clic en Guardar. Definir la configuración de los equipos de sobremesa/servidores Las opciones Equipo de sobremesa/Servidor pertenecen a la configuración general de Worry-Free Business Security. La configuración de los grupos individuales prevalece sobre esta configuración. Si no ha configurado una opción determinada para un grupo, se utilizarán las opciones de Equipo de sobremesa/Servidor. Por ejemplo, si no hay ninguna URL permitida para un determinado grupo, todas las URL permitidas de esta pantalla serán aplicables para el grupo. Procedimiento 1. Acceda a Preferencias > Configuración general. 2. Haga clic en la pestaña Equipo de sobremesa o servidor y actualice la siguiente información según sea necesario: 11-5 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Conocimiento de ubicación DESCRIPCIÓN Conocimiento de ubicación permite a los administradores controlar la configuración de seguridad en función de cómo se conecte el cliente a la red. Conocimiento de ubicación controla la configuración de conexión En la oficina/Fuera de la oficina. El Security Agent identifica automáticamente la ubicación del cliente en función de la información del gateway configurada en la consola Web y, a continuación, controla los sitios Web a los que pueden acceder los usuarios. Las restricciones varían según la ubicación del usuario: • Activar la función Conocimiento de ubicación: Esta opción puede afectar a la configuración de conexión En la oficina/Fuera de la oficina del Cortafuegos, la reputación Web y la frecuencia de las actualizaciones programadas. • Información del gateway: Los clientes y conexiones de esta lista utilizarán la configuración de conexión interna mientras se conectan remotamente a la red (mediante VPN) y Conocimiento de ubicación está activado. • Dirección IP de gateway • Dirección MAC: la adición de una dirección MAC mejora considerablemente la seguridad porque solo permite la conexión del dispositivo configurado. Haga clic en el icono de papelera correspondiente para eliminar una entrada. Aviso del servicio de atención al cliente 11-6 El aviso del servicio de atención al cliente envía una notificación al agente de seguridad informando al usuario con quién tiene que ponerse en contacto para obtener asistencia. Actualice los siguientes datos según sea necesario: • Etiqueta • Dirección de correo electrónico del servicio de atención al cliente • Información adicional: aparecerá cuando el usuario pase el ratón sobre la etiqueta Administrar la configuración general CONFIGURACIÓN Configuración de la exploración general DESCRIPCIÓN • Desactivar Smart Scan Service: cambia todos los Security Agents al modo de exploración convencional. La exploración inteligente dejará de estar disponible hasta que se vuelva a activar con esta opción. Para cambiar uno o varios Security Agent, acceda a Configuración de seguridad > {grupo} > Configurar > Método de exploración. Nota Para obtener directrices sobre cómo hacer que los Security Agents alternen entre los distintos métodos de exploración, consulte Configurar los métodos de exploración en la página 5-5. • Excluir la carpeta de la base de datos de Security Server: impide que los agentes instalados en el Security Server exploren su propia base de datos solo durante las exploraciones en tiempo real. De forma predeterminada, WFBS no explora su propia base de datos. Trend Micro recomienda conservar esta selección para evitar una posible corrupción de la base de datos durante la exploración. • Excluir las carpetas del servidor Microsoft Exchange cuando se instala en un servidor Microsoft Exchange: impide que los agentes instalados en el servidor Microsoft Exchange exploren las carpetas de Microsoft Exchange. • Excluir las carpetas del controlador de dominios de Microsoft: impide que los agentes instalados en el controlador de dominios exploren las carpetas del controlador de dominios. En estas carpetas se almacena información de usuario, nombres de usuarios, contraseñas y otra información importante. • Excluir secciones de Shadow Copy: Los servicios Shadow Copy o Instantáneas de volumen realizan de forma manual o automática copias de seguridad o instantáneas de un archivo o carpeta de un volumen específico. 11-7 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Configuración de la exploración antivirus DESCRIPCIÓN • Definir la configuración de la exploración para archivos comprimidos de gran tamaño: especifique el tamaño máximo del archivo extraído y el número de archivos del archivo comprimido que el agente debería explorar. • Limpiar archivos comprimidos: los agentes intentarán limpiar los archivos infectados dentro de un archivo comprimido. • Explorar hasta {} capas OLE: los agentes explorarán el número especificado de capas OLE (Incrustación y vinculación de objetos). OLE permite a los usuarios crear objetos con una aplicación y enlazarlos posteriormente con otra, o incrustarlos. Por ejemplo, un archivo .xls incrustado en un archivo .doc. • Añadir la exploración manual al menú de accesos directos de Windows en los clientes: agrega un enlace Explorar con Security Agent al menú contextual. Esta opción permite a los usuarios hacer clic con el botón derecho del ratón en un archivo o carpeta (en el escritorio o en el Explorador de Windows) y explorar manualmente el archivo o la carpeta. Configuración de la exploración antispyware y antigrayware Incluir cookie en registro de spyware: Agrega cada cookie de spyware detectada al registro de spyware. Configuración del cortafuegos Marque la casilla de verificación Desactivar cortafuegos y desinstalar controladores para desinstalar el cortafuegos de cliente del servicio WFBS y eliminar los controladores asociados a él. Nota Si desactiva el cortafuegos, los ajustes de configuración asociados a él no volverán a estar disponibles hasta que no vuelva a activar el cortafuegos. 11-8 Administrar la configuración general CONFIGURACIÓN Reputación Web y Filtrado de URL DESCRIPCIÓN • Lista de excepción de procesos: procesos excluidos de las verificaciones del filtrado de URL y de la reputación Web. Especifique los procesos críticos que su organización considera de confianza. Consejo Cuando actualice la lista de excepción de procesos y el servidor implemente la lista actualizada en los agentes, todas las conexiones HTTP activas del equipo del cliente (puertos 80, 81 u 8080) se desconectarán durante varios segundos. Se recomienda actualizar la lista de excepciones de procesos durante las horas de poco trabajo. • Filtrado de contenido de IM Envío de los registros de filtrado de URL y de la reputación Web al Security Server Los administradores pueden restringir el uso de algunas palabras o frases en aplicaciones de mensajería instantánea. No se enviará ningún mensaje que contenga palabras o frases restringidas y se notificará al administrador. Los agentes pueden restringir las palabras utilizadas en las siguientes aplicaciones de IM: ICQ®, MSN™ Messenger, Windows Messenger Live™ y Yahoo!™ Messenger • Palabras restringidas: utilice este campo para agregar palabras o frases restringidas. Puede restringir un máximo de 31 palabras o frases. Cada palabra o frase no puede superar los 35 caracteres (17 para caracteres chinos). Escriba una o varias entradas separadas por puntos y comas (;) y haga clic en Agregar. • Lista Palabras/frases restringidas: las palabras o frases de esta lista no se pueden utilizar en conversaciones de IM. Para eliminar una entrada, haga clic en el icono de papelera correspondiente. 11-9 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Configuración de las alertas Mostrar el icono de alerta en la barra de tareas de Windows si el archivo de patrones no está actualizado después de {} días: muestra un icono de alerta en los clientes cuando un archivo de patrones no se actualiza transcurrido un determinado número de días. Configuración del servicio guardián La opción Servicio guardián garantiza que el agente de seguridad está constantemente protegiendo a los clientes. Cuando está activado, el Servicio guardián comprueba la disponibilidad del agente cada x minutos. Si el agente no está disponible, el servicio guardián intentará reiniciarlo. Contraseña de desinstalación de Security Agent 11-10 DESCRIPCIÓN • Activar el servicio guardián de Security Agent: Trend Micro recomienda activar el servicio guardián para asegurarse de que el Security Agent está protegiendo a los clientes. Cuando el agente de seguridad se cierra de forma inesperada, algo que puede suceder cuando el cliente recibe el ataque de un pirata informático, el servicio guardián reinicia el agente de seguridad. • Comprobar el estado del cliente cada {} minutos: determina la frecuencia con la que el servicio guardián comprobará el estado del cliente. • Si no se puede iniciar el cliente, reintentar {} veces: determina las veces que el servicio guardián intentará reiniciar el Security Agent. • Permitir al usuario del cliente desinstalar el agente de seguridad sin contraseña. • Exigir una contraseña al usuario del cliente para desinstalar el agente de seguridad: Administrar la configuración general CONFIGURACIÓN Contraseña de salida y desbloqueo del programa Security Agent DESCRIPCIÓN • Permitir a los usuarios del cliente cerrar y desbloquear Security Agent en sus equipos sin contraseña. • Exigir a los usuarios del cliente que introduzcan una contraseña para cerrar y desbloquear Security Agent. Nota Al desbloquear el Security Agent, se permite al usuario anular los parámetros configurados en Configuración de seguridad > {grupo} > Configurar > Derechos del cliente. Dirección IP preferida Esta configuración solo está disponible para Security Servers de doble pila y solo la aplican agentes de doble pila. Después de instalar o actualizar los agentes, estos se registran en el Security Server mediante una dirección IP. Seleccione una de estas opciones: 3. • IPv4 en primer lugar y, después, IPv6: los agentes utilizan primero la dirección IPv4. Si el agente no puede registrarse mediante la dirección IPv4, utilizará la dirección IPv6. Si el registro no se realiza correctamente con ninguna de las direcciones IP, el agente vuelve a intentarlo mediante la prioridad de dirección IP para esta selección. • IPv6 en primer lugar y, después, IPv4: los agentes utilizan primero la dirección IPv6. Si el agente no puede registrarse mediante la dirección IPv6, utilizará la dirección IPv4. Si el registro no se realiza correctamente con ninguna de las direcciones IP, el agente vuelve a intentarlo mediante la prioridad de dirección IP para esta selección. Haga clic en Guardar. 11-11 Manual del administrador de Worry-Free Business Security 8.0 Definir la configuración de sistemas La sección Sistema de la pantalla Configuración general contiene opciones para eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y mantener la carpeta de cuarentena. Procedimiento 1. Acceda a Preferencias > Configuración general. 2. Haga clic en la pestaña Sistema y actualice la siguiente información según sea necesario: 11-12 Administrar la configuración general CONFIGURACIÓN Eliminación de agentes de seguridad inactivos DESCRIPCIÓN Cuando se utiliza el programa de desinstalación del agente de seguridad en el cliente para eliminar los agentes de un cliente, el programa envía automáticamente una notificación a Security Server. Cuando Security Server recibe esta notificación, elimina el icono del árbol Grupos de seguridad para indicar que el cliente ya no existe. No obstante, si se utilizan otros métodos para eliminar el agente de seguridad, como volver a formatear el disco duro del equipo o borrar manualmente los archivos del cliente, el servidor Security Server no tendrá conocimiento de la eliminación y mostrará al agente de seguridad como inactivo. Si un usuario descarga o desactiva el agente durante un periodo largo de tiempo, Security Server mostrará también el agente de seguridad como inactivo. Para asegurarse de que el árbol Grupos de seguridad muestre solo los clientes activos, puede configurar Security Server para que elimine automáticamente los agentes Security Agent inactivos del árbol Grupos de seguridad. • Activar eliminación automática del Security Agent inactivo: activa la eliminación automática de los clientes que no hayan contactado con el Security Server durante un número de días especificado. • Eliminar automáticamente un Security Agent si está inactivo durante {} días: días que un cliente puede estar inactivo antes de eliminarlo de la consola Web. 11-13 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Comprobación de la conexión del agente DESCRIPCIÓN WFBS refleja el estado de la conexión del cliente en el árbol Grupos de seguridad mediante iconos. Sin embargo, determinadas circunstancias pueden impedir que el árbol Grupos de seguridad muestre el estado correcto de la conexión del agente. Por ejemplo, si el cable de red de un cliente se desconecta por accidente, el agente no podrá notificar a Trend Micro Security Server que ahora está desconectado. Este agente seguirá apareciendo como conectado en el árbol Grupos de seguridad. Puede comprobar la conexión entre el agente y el servidor manualmente o programar una comprobación desde la consola Web. Nota La función Comprobación de la conexión no permite seleccionar grupos o agentes específicos. Se limita a comprobar la conexión de todos los agentes registrados con el Security Server. • • 11-14 Activar la comprobación programada: permite la comprobación programada de la conexión entre el agente y el servidor. • Cada hora • Diariamente • Semanalmente, cada • Hora de inicio: La hora a la que se inicia la comprobación. Comprobar ahora: prueba la conectividad en el momento. Administrar la configuración general CONFIGURACIÓN Mantenimiento de la cuarentena DESCRIPCIÓN De forma predeterminada, los Security Agents envían archivos infectados en cuarentena al siguiente directorio del Security Server: <Carpeta de instalación del Security Server> \PCCSRV\Virus Si necesita cambiar de directorio (por ejemplo, si no hay espacio de disco suficiente), escriba una ruta absoluta, como D:\Quarantined Files, en el campo Directorio de cuarentena. Si lo hace, asegúrese de aplicar los mismos cambios en Configuración de seguridad > {grupo} > Configurar > Poner en cuarentena o los agentes continuarán enviando los archivos a <Carpeta de instalación del Security Server>\PCCSRV\Virus. Además, defina las siguientes configuraciones de mantenimiento: • Capacidad de la carpeta de cuarentena: tamaño de la carpeta de cuarentena en MB. • Tamaño máximo para un único archivo: el tamaño máximo, en MB, de un archivo almacenado en la carpeta de cuarentena. • Eliminar todos los archivos puestos en cuarentena: elimina todos los archivos de la carpeta Poner en cuarentena. Si cuando se carga un archivo nuevo la carpeta está llena, el archivo no se almacenará. Si no desea que los agentes envíen archivos en cuarentena al Security Server, configure el nuevo directorio en Configuración de seguridad > Configurar > Poner en cuarentena y haga caso omiso de la configuración de mantenimiento. Consulte Directorio de cuarentena en la página 5-31 para obtener instrucciones. 11-15 Manual del administrador de Worry-Free Business Security 8.0 CONFIGURACIÓN Instalación del Security Agent DESCRIPCIÓN Directorio de instalación del Security Agent: durante la instalación, se le solicitará que especifique el directorio de instalación del Security Agent, que es donde el programa de instalación instala cada Security Agent. Si es necesario, cambie el directorio escribiendo una ruta absoluta. Solo los agentes futuros se instalarán en este directorio. Los agentes existentes mantendrán su directorio actual. Utilice una de las variables siguientes para definir la ruta de instalación: 3. 11-16 • $BOOTDISK: la letra de la unidad del disco de arranque • $WINDIR: la carpeta de instalación de Windows • $ProgramFiles: la carpeta de programas Haga clic en Guardar. Capítulo 12 Usar los registros y los informes En este capítulo se describe cómo utilizar los registros y los informes para supervisar el sistema y analizar la protección. 12-1 Manual del administrador de Worry-Free Business Security 8.0 Registros Worry-Free Business Security guarda registros completos de los incidentes de virus, malware y spyware/grayware, sucesos y actualizaciones. Puede utilizar estos registros para valorar las políticas de protección de la organización, identificar los clientes que tienen un mayor riesgo de infección y comprobar que las actualizaciones se han implementado correctamente. Nota Utilice aplicaciones de hoja de cálculo, como Microsoft Excel, para ver los archivos de registro CSV. WFBS mantiene registros de las siguientes categorías: • Registros de sucesos de la consola Web • Registros de equipos de sobremesa/servidores • Registros de servidor Microsoft Exchange Server (Advanced solo) TABLA 12-1. Tipo de registro y contenido TIPO (ENTIDAD QUE GENERÓ LA ENTRADA DE REGISTRO) Sucesos de la consola de administración 12-2 CONTENIDO (TIPO DE REGISTRO DEL QUE SE OBTIENE EL CONTENIDO) • Exploración manual (iniciada desde la consola Web) • Actualización (actualizaciones de Security Server) • Sucesos de defensa frente a epidemias • Sucesos de la consola Usar los registros y los informes TIPO (ENTIDAD QUE GENERÓ LA ENTRADA DE REGISTRO) Equipo de sobremesa o servidor CONTENIDO (TIPO DE REGISTRO DEL QUE SE OBTIENE EL CONTENIDO) • • Registros de virus • Exploración manual • Exploración en tiempo real • Exploración programada • Limpieza Registros de spyware y grayware • Exploración manual • Exploración en tiempo real • Exploración programada • Registros de reputación Web • Registros del filtrado de URL • Registros de supervisión de comportamiento • Registros de actualización • Registros de virus de red • Registros de defensa frente a epidemias • Registros de sucesos • Registros de control de dispositivos • Registros de implementación de archivos de corrección (Hotfix) 12-3 Manual del administrador de Worry-Free Business Security 8.0 TIPO (ENTIDAD QUE GENERÓ LA ENTRADA DE REGISTRO) Servidor Exchange (Advanced solo) CONTENIDO (TIPO DE REGISTRO DEL QUE SE OBTIENE EL CONTENIDO) • Registros de virus • Registros de bloqueo de archivos adjuntos • Filtrado de contenido / Registros de prevención de pérdida de datos • Registros de actualización • Registros de copia de seguridad • Registros de archivado • Registros de defensa frente a epidemias • Registros de sucesos de exploración • Registros de partes de mensajes que no se pueden explorar • Registros de reputación Web Utilizar la consulta al registro Realice consultas de registro para recopilar información de la base de datos de registro. Puede utilizar la pantalla Consulta al registro para diseñar y efectuar sus consultas. Los resultados se pueden exportar a un archivo CSV e imprimir. Un Messaging Security Agent (Advanced solo) envía sus registros al Security Server cada cinco minutos (independientemente de cuándo se genere el registro). Procedimiento 1. Acceda a Informes > Consulta al registro. 2. Actualice las siguientes opciones si es necesario: • Intervalo de tiempo • 12-4 Intervalo predefinido Usar los registros y los informes • • • Intervalo especificado: Para limitar la consulta a unas fechas determinadas. Tipo: consulte Registros en la página 12-2 para ver el contenido de cada tipo de registro. • Sucesos de la consola de administración • Equipo de sobremesa o servidor • Exchange Server (Advanced solo) Contenido: Las opciones disponibles dependen del tipo de registro. 3. Haga clic en Mostrar registros. 4. Para guardar el registro como un archivo de datos de valores separados por comas (CSV), haga clic en Exportar. Utilice aplicaciones de hoja de cálculo para ver los archivos CSV. Informes Puede generar informes puntuales manualmente o bien configurar el Security Server para que genere informes programados. Estos informes se pueden imprimir o enviar por correo electrónico a un administrador o a otras personas. Los datos disponibles en un informe dependen de la cantidad de registros que estén disponibles en el Security Server en el momento de generar el informe. La cantidad de registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes. En Informes > Mantenimiento, puede eliminar manualmente los registros o configurar una programación de eliminación de registros. 12-5 Manual del administrador de Worry-Free Business Security 8.0 Uso de informes puntuales Procedimiento 1. Acceda a Informes > Informes puntuales. 2. Realice las siguientes tareas: TAREA Generar un informe PASOS a. Aparecerá una nueva pantalla. b. c. 12-6 Haga clic en Agregar. Configure la siguiente información: • Nombre del informe • Intervalo de tiempo: Limita el informe a ciertas fechas. • Contenido: Para seleccionar todas las amenazas, active la casilla de verificación Seleccionar todo. Para seleccionar amenazas individuales, haga clic en la casilla de verificación correspondiente. Haga clic en el icono de signo más (+) para expandir la selección. • Enviar el informe a • Destinatarios: escriba las direcciones de correo electrónico de los destinatarios, separándolas con punto y coma (;). • Formato: elija PDF o un enlace a un informe HTML. Si elige PDF, el archivo PDF se adjuntará al correo electrónico. Haga clic en Agregar. Usar los registros y los informes TAREA Ver el informe PASOS En la columna Nombre del informe, haga clic en los enlaces del informe. El primer enlace abre un informe en PDF, mientras que el segundo abre un informe en formato HTML. Los datos disponibles en un informe dependen de la cantidad de registros que estén disponibles en el Security Server en el momento de generar el informe. La cantidad de registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes. En Informes > Mantenimiento, puede eliminar manualmente los registros o configurar una programación de eliminación de registros. Para obtener información detallada acerca del contenido del informe, consulte Interpretar informes en la página 12-12. Eliminar informes a. Seleccione la fila que contiene los enlaces a los informes. b. Haga clic en Eliminar. Nota Para eliminar automáticamente los informes, acceda a Informes > Mantenimiento > pestaña Informes y configure el número máximo de informes puntuales que debe conservar WFBS. El valor predeterminado es 10 informes puntuales. Cuando se supera este número, el Security Server elimina informes empezando por el más antiguo. Trabajar con informes programados Procedimiento 1. Acceda a Informes > Informes programados. 2. Realice las siguientes tareas: 12-7 Manual del administrador de Worry-Free Business Security 8.0 TAREA Crear una plantilla de informe programado PASOS a. Haga clic en Agregar. Aparecerá una nueva pantalla. b. Configure la siguiente información: • Nombre de la plantilla del informe • Programa: el informe puede ser diario, semanal o mensual. Hay que especificar la hora a la que se debe generar el informe. Para los informes mensuales, si selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, WFBS no generará ningún informe ese mes. c. 12-8 • Contenido: Para seleccionar todas las amenazas, active la casilla de verificación Seleccionar todo. Para seleccionar amenazas individuales, haga clic en la casilla de verificación correspondiente. Haga clic en el icono de signo más (+) para expandir la selección. • Enviar el informe a • Destinatarios: escriba las direcciones de correo electrónico de los destinatarios, separándolas con punto y coma (;). • Formato: elija PDF o un enlace a un informe HTML. Si elige PDF, el archivo PDF se adjuntará al correo electrónico. Haga clic en Agregar. Usar los registros y los informes TAREA Ver informes programados PASOS a. En la fila que contiene la plantilla desde la que se generan los informes programados, haga clic en Historial de informes. Se abrirá una nueva pantalla. b. En la columna Mostrar, haga clic en los enlaces del informe. El primer enlace abre un informe en PDF, mientras que el segundo abre un informe en formato HTML. Los datos disponibles en un informe dependen de la cantidad de registros que estén disponibles en el Security Server en el momento de generar el informe. La cantidad de registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes. En Informes > Mantenimiento, puede eliminar manualmente los registros o configurar una programación de eliminación de registros. Para obtener información detallada acerca del contenido del informe, consulte Interpretar informes en la página 12-12. Tareas de mantenimiento de las plantillas Editar la configuración de una plantilla Haga clic en la plantilla y edite la configuración en la nueva pantalla que aparece. Activar/desactivar una plantilla Haga clic en el icono que hay en la columna Activado. Los informes generados después de guardar los cambios usarán la nueva configuración. Desactive una plantilla si desea interrumpir temporalmente la generación de informes programados. Por el contrario, si necesita generar informes de nuevo, actívela. 12-9 Manual del administrador de Worry-Free Business Security 8.0 TAREA Eliminar una plantilla PASOS Seleccione una plantilla y haga clic en Eliminar. Al eliminar una plantilla, no se eliminan los informes programados que se hayan generado a partir de ella, pero los enlaces a los informes ya no estarán disponibles desde la consola Web. Puede acceder a los informes directamente desde el equipo del Security Server. Los informes solo se eliminarán si se borran manualmente del equipo o si el Security Server elimina automáticamente los informes en virtud de una configuración de eliminación automática de informes que se haya programado en Informes > Mantenimiento > pestaña Informes. Para eliminar automáticamente las plantillas, acceda a Informes > Mantenimiento > pestaña Informes y defina el número máximo de plantillas que debe conservar WFBS. El valor predeterminado es 10 plantillas. Cuando se supera este número, Security Server elimina plantillas empezando por la más antigua. Tareas de mantenimiento de informes 12-10 Usar los registros y los informes TAREA Enviar un enlace de los informes programados PASOS Se puede enviar un enlace de los informes programados a través del correo electrónico (en formato PDF). Los destinatarios hacen clic en el enlace del mensaje de correo electrónico para acceder al archivo PDF. Asegúrese de que los destinatarios puedan conectarse al equipo del Security Server; de lo contrario, el archivo no se mostrará. Nota En el correo electrónico solo se proporciona un enlace al archivo PDF. El PDF real no se adjunta. a. En la fila que contiene la plantilla desde la que se generan los informes programados, haga clic en Historial de informes. Se abrirá una nueva pantalla. b. Seleccione los informes y haga clic en Enviar. Se abre el cliente de correo electrónico predeterminado y se muestra un mensaje nuevo que contiene un enlace al informe. Eliminar informes programados a. En la fila que contiene la plantilla desde la que se generan los informes programados, haga clic en Historial de informes. Se abrirá una nueva pantalla. b. Seleccione los informes y haga clic en Eliminar. Nota Para eliminar automáticamente los informes, acceda a Informes > Mantenimiento > pestaña Informes y defina el número máximo de informes programados que WFBS debe conservar en cada plantilla. El valor predeterminado es 10 informes programados. Cuando se supera este número, el Security Server elimina informes empezando por el más antiguo. 12-11 Manual del administrador de Worry-Free Business Security 8.0 Interpretar informes Los informes de Worry-Free Business Security contienen la siguiente información: La información mostrada puede variar en función de las opciones seleccionadas. TABLA 12-2. Contenido de un informe ELEMENTO Antivirus DESCRIPCIÓN Resumen de virus de equipos de sobremesa/servidores Los informes de virus muestran información detallada sobre la cantidad y los tipos de virus/malware que ha detectado el motor de exploración y las acciones realizadas. El informe también contiene los nombres de los virus/malware más frecuentes. Haga clic en los nombres de los virus/malware para abrir una nueva página del explorador Web y acceder a la Enciclopedia de virus de Trend Micro para conocer más información sobre ese virus/ malware. Los 5 equipos de sobremesa/servidores con más detecciones de virus Muestra los cinco equipos de sobremesa o servidores que presentan más detecciones de virus/malware. Si observa frecuentes incidentes de virus/malware en el mismo cliente, esto puede representar un elevado riesgo de seguridad al que se le deberá prestar especial atención. Historial de defensa frente a epidemias 12-12 Historial de defensa frente a epidemias Muestra las epidemias recientes, su gravedad e identifica los spyware/grayware que las provocaron y cómo se introdujeron (mediante correo electrónico o un archivo). Usar los registros y los informes ELEMENTO Antispyware DESCRIPCIÓN Resumen de spyware/grayware de equipos de sobremesa/ servidores El informe de spyware/grayware contiene información detallada sobre las amenazas de spyware/grayware detectadas en los clientes, incluidos el número de detecciones y las acciones que WFBS ha emprendido contra ellos. Dicho informe incluye un gráfico de sectores que muestra el porcentaje correspondiente a cada acción de exploración antispyware que se ha llevado a cabo. Los 5 equipos de sobremesa/servidores con más detecciones de spyware/grayware El informe también indica las cinco amenazas de spyware/ grayware más detectadas y los cinco equipos de sobremesa/ servidores con el mayor número de detecciones de spyware/ grayware. Si desea saber más acerca de las amenazas de spyware/grayware detectadas, haga clic en los distintos nombres de spyware/grayware. Se abrirá una nueva página del explorador Web que mostrará la información relacionada con el spyware/ grayware en el sitio web de Trend Micro. Resumen de antispam (Advanced solo) Resumen de spam Reputación Web Los 10 equipos que más infringen las políticas de reputación Web Categoría de URL Las 5 políticas de categoría de URL más infringidas Los informes de antispam contienen información sobre el número de spam y phish detectado en todos los mensajes explorados. Muestra también los falsos positivos. Muestra las categorías de sitio Web a las que se accede con más frecuencia que han infringido las políticas. Los 10 equipos que más infringen las políticas de categoría de URL 12-13 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO Supervisión del comportamiento DESCRIPCIÓN Los 5 programas que más infringen las políticas de supervisión de comportamiento Los 10 equipos que más infringen las políticas de supervisión de comportamiento Control del dispositivo Los 10 equipos que más infringen las políticas de control de dispositivos Resumen del filtrado de contenido (Advanced solo) Resumen del filtrado de contenido Los informes de filtrado de contenido contienen información sobre el número de mensajes que ha filtrado Messaging Security Agent. Las 10 reglas de filtrado de contenido más infringidas Una lista de las diez reglas de filtrado de contenido que más se han infringido. Use este informe para ajustar con mayor precisión las reglas de filtrado. Virus de red Los 10 virus de red más detectados Indica los diez virus de red más detectados por el controlador del cortafuegos habitual. Haga clic en los nombres de los virus para abrir una nueva página del explorador Web e ir a la Enciclopedia de virus de Trend Micro para conocer más información sobre ese virus. Los 10 equipos más atacados Muestra los equipos de la red que han sufrido más incidentes de virus. Realizar tareas de mantenimiento para informes y registros Procedimiento 1. 12-14 Desplácese a Informes > Mantenimiento. Usar los registros y los informes 2. 3. Realice las siguientes tareas: TAREA PASOS Definir el número máximo de informes y plantillas Puede limitar el número de informes puntuales, informes programados (por plantilla) y plantillas disponibles en el Security Server. Cuando se supera este número, el Security Server elimina informes o plantillas empezando por el más antiguo. a. Haga clic en la pestaña Informes. b. Escriba el número máximo de informes puntuales, informes programados y plantillas de informe que se deben conservar. Configurar la eliminación automática de registros a. Haga clic en Eliminación automática de registros. b. Seleccione los tipos de registro y especifique la máxima antigüedad que puede tener un registro. Los registros cuya antigüedad sea mayor, se eliminarán. Eliminar registros manualmente a. Haga clic en Eliminación automática de registros. b. Para cada tipo de registro, especifique la antigüedad máxima de los registros. Los registros cuya antigüedad sea mayor, se eliminarán. Para eliminar todos los registros, escriba 0. c. Haga clic en Eliminar. Haga clic en Guardar. 12-15 Capítulo 13 Realizar tareas administrativas En este capítulo se explica cómo se realizan tareas de administración adicionales, por ejemplo, ver la licencia del producto, trabajar con Plug-in Manager o desinstalar el Security Server. 13-1 Manual del administrador de Worry-Free Business Security 8.0 Cambiar la contraseña de la consola Web Trend Micro recomienda utilizar contraseñas seguras para la consola Web. Una contraseña segura debe tener como mínimo ocho caracteres de longitud, algunas letras en mayúsculas (A – Z), algunas letras en minúsculas (a – z), algún número (0-9) y caracteres especiales o signos de puntuación (!@#$%^&,.:;?). Una contraseña segura nunca debe ser igual al nombre de inicio de sesión del usuario ni contenerlo dentro de la contraseña. No deben contener el apellido del usuario, las fechas de nacimiento ni otra información fácilmente relacionada con el usuario. Procedimiento 1. Acceda a Preferencias > Contraseña. 2. Actualice las siguientes opciones si es necesario: 3. • Contraseña anterior • Contraseña nueva • Confirmar contraseña: Vuelva a escribir la contraseña nueva para confirmarla. Haga clic en Guardar. Trabajar con Plug-in Manager Plug-in Manager muestra los programas tanto para el Security Server como para los agentes en la consola Web en cuanto están disponibles. Una vez disponibles, puede instalarlos y administrarlos desde la consola Web, e incluso implementar los programas de complementos de cliente en los agentes. Descargue e instale el Plug-in Manager desde Preferencias > Complementos. Después de la instalación, podrá buscar los programas de complementos disponibles. Consulte la documentación de Plug-in Manager y los programas de complementos para obtener más información. 13-2 Realizar tareas administrativas Gestionar la licencia del producto En la pantalla Licencia del producto puede renovar, actualizar o ver los detalles de la licencia del producto. La pantalla Licencia del producto muestra los detalles de la licencia. En función de las opciones que haya elegido durante la instalación, tendrá una versión con licencia o una versión de evaluación. En ambos casos, la licencia le otorga derecho a un contrato de mantenimiento. Cuando dicho contrato de mantenimiento caduca, los clientes de la red tendrán protección muy limitada. Utilice la pantalla Licencia del producto para determinar cuándo expirará la licencia y asegurarse de que la renovará antes de que caduque. Nota Es posible que las licencias de los distintos componentes de los productos de Trend Micro varíen según la región. Una vez finalizada la instalación, verá un resumen de los componentes a los que concede derecho su clave de registro/código de activación. Póngase en contacto con su proveedor o distribuidor para comprobar los componentes para los que ha recibido la licencia. Renovación de licencia Puede renovar la versión con licencia completa de WFBS o realizar la actualización a ella mediante el pago de la cuota de renovación de mantenimiento. Para la versión con licencia completa se requiere un código de activación. La licencia de un producto se puede renovar de dos formas: • En la consola Web, acceda a la pantalla Estado de actividad y siga las instrucciones que aparezcan en ella. Estas instrucciones aparecen 60 días antes y 30 días después de que caduque la licencia. • Póngase en contacto con su representante de ventas o distribuidor de Trend Micro para renovar el contrato de licencia. Los distribuidores pueden dejar su información de contacto en un archivo en el Security Server. Compruebe el archivo en: {Carpeta de instalación de Security Server}\PCCSRV\Private \contact_info.ini 13-3 Manual del administrador de Worry-Free Business Security 8.0 Nota {Carpeta de instalación de Security Server} normalmente es C: \Program Files\Trend Micro\Security Server. Un representante de Trend Micro actualizará su información de registro mediante el registro de productos de Trend Micro. Security Server sondea el servidor de registro de productos y recibe la nueva fecha de caducidad directamente del servidor de registro de productos. Al renovar la licencia no tendrá que introducir manualmente el nuevo código de activación. Activar una licencia nueva El tipo de licencia determina el código de activación de Worry-Free Business Security. TABLA 13-1. Código de activación según el tipo de licencia TIPO DE LICENCIA CÓDIGO DE ACTIVACIÓN Versión con licencia completa de WFBS Standard CS-xxxx-xxxxx-xxxxx-xxxxx-xxxxx Versión con licencia completa de WFBS Advanced CM-xxxx-xxxxx-xxxxx-xxxxx-xxxxx Nota Si tiene alguna pregunta sobre el código de activación, consulte el sitio Web de soporte de Trend Micro en la siguiente dirección: http://esupport.trendmicro.com/support/viewxml.do?ContentID=en-116326 Use la pantalla Licencia del producto para cambiar el tipo de licencia escribiendo un nuevo código de activación. 1. Desplácese a Preferencias > Licencia del producto. 2. Haga clic en Escribir un código nuevo. 3. Escriba el nuevo código de activación en el campo correspondiente. 13-4 Realizar tareas administrativas 4. Haga clic en Activar. Participar en el programa Smart Feedback Para obtener información detallada acerca del Feedback Inteligente, consulte Comentarios inteligentes en la página 1-6. Procedimiento 1. Acceda a Preferencias > Smart Protection Network. 2. Haga clic en Activar la función Comentarios inteligentes de Trend Micro. 3. Para enviar información sobre posibles amenazas de seguridad en los archivos de sus equipos cliente, active la casilla de verificación Activar comentarios sobre archivos de programas sospechosos. Nota Los archivos enviados a Feedback Inteligente no contienen datos de los usuarios y se envían sólo para el análisis de amenazas. 4. Para ayudar a Trend Micro a entender su organización, seleccione el tipo Sector. 5. Haga clic en Guardar. Cambiar el idioma de la interfaz del agente De forma predeterminada, el idioma utilizado en la interfaz del agente se corresponderá con la configuración regional definida en el sistema operativo del cliente. Los usuarios pueden cambiar el idioma desde la interfaz del agente. 13-5 Manual del administrador de Worry-Free Business Security 8.0 Guardar y restaurar la configuración del programa Puede guardar una copia de la base de datos del Security Server y los archivos de configuración importantes para recuperar el Security Server. Esta acción puede resultar necesaria si tiene problemas y desea reinstalar el Security Server o si desea recuperar una configuración anterior. Procedimiento 1. Detenga el servicio maestro de Trend Micro Security Server. 2. Copie manualmente los siguientes archivos y carpetas desde la carpeta a una ubicación alternativa: ¡ADVERTENCIA! no utilice ninguna herramienta o aplicación de copia de seguridad para esta tarea. C:\Archivos de programa\Trend Micro\Security Server\PCCSRV • 13-6 ofcscan.ini:contiene la configuración general. Realizar tareas administrativas • ous.ini: Contiene la tabla de orígenes de actualización para la implementación de componentes antivirus. • Carpeta Private: Contiene la configuración de cortafuegos y de origen de actualización. • Carpeta Web\TmOPP: Configuración de la defensa frente a epidemias. • Pccnt\Common\OfcPfw.dat: Contiene la configuración del cortafuegos. • Download\OfcPfw.dat: Contiene la configuración de implementación del cortafuegos. • Carpeta Log: Contiene el registro de sucesos del sistema y de Comprobar conexión. • Carpeta Virus: carpeta en la que WFBS pone en cuarentena los archivos infectados. • Carpeta HTTDB: contiene la base de datos de WFBS. 3. Desinstalar el Security Server. Consulte el apartado Desinstalar Security Server en la página 13-8. 4. Realice una instalación nueva. Consulte el Manual de instalación y actualización de WFBS. 5. Cuando finalice el instalador maestro, detenga el servicio maestro de Trend Micro Security Server en el equipo de destino. 6. Actualice la versión del patrón de virus desde el archivo de copia de seguridad: a. Obtenga la versión actual del patrón de virus del nuevo servidor. \Trend Micro\Security Server\PCCSRV\Private \component.ini. [6101] ComponentName=Virus pattern Version=xxxxxx 0 0 b. Actualice la versión del archivo de patrones de virus en el archivo copiado: \Private\component.ini 13-7 Manual del administrador de Worry-Free Business Security 8.0 Nota Si cambia la ruta de instalación del Security Server, tendrá que actualizar la información de la ruta en los archivos de copia de seguridad ofcscan.ini y \private\ofcserver.ini. 7. Con las copias de seguridad que ha creado, sobrescriba la base de datos de WFBS y los archivos y carpetas relevantes en la carpeta PCCSRV del equipo de destino. 8. Reinicie el servicio maestro de Trend Micro Security Server. Desinstalar Security Server Si desinstala el Security Server también se desinstalará el servidor de exploración. Worry-Free Business Security utiliza un programa de desinstalación para eliminar de forma segura Trend Micro Security Server del equipo. Elimine el agente de todos los clientes antes de eliminar Security Server. La desinstalación de Trend Micro Security Server no desinstala los agentes. Antes de desinstalar Trend Micro Security Server, los administradores deben desinstalar o mover todos los agentes a otro Security Server. Consulte el apartado Eliminar agentes en la página 3-42. Procedimiento 1. En el equipo que ha utilizado para instalar el servidor, haga clic en Inicio > Panel de control > Agregar o quitar programas. 2. Haga clic en Trend Micro Security Server y, a continuación, seleccione Cambiar/Quitar. Aparecerá una pantalla de confirmación. 3. Haga clic en Siguiente. El Desinstalador maestro, el programa de desinstalación del servidor, le solicitará la contraseña de administrador. 13-8 Realizar tareas administrativas 4. Escriba la contraseña de administrador en el cuadro de texto y haga clic en Aceptar. El programa Desinstalador maestro empezará a eliminar los archivos del servidor. Cuando Security Server se ha desinstalado aparece un mensaje de confirmación. 5. Haga clic en Aceptar para cerrar el programa de desinstalación. 13-9 Capítulo 14 Usar las herramientas de gestión En este capítulo se explica cómo utilizar las herramientas administrativas y de cliente y los complementos. 14-1 Manual del administrador de Worry-Free Business Security 8.0 Tipos de herramientas Worry-Free Business Security incluye un conjunto de herramientas que pueden ayudarle a realizar con facilidad varias tareas, incluidas la configuración del servidor y la administración de los clientes. Nota Las herramientas administrativas y de cliente no se puede ejecutar desde la consola Web. Los complementos se pueden descargar desde la consola Web. Si desea conocer instrucciones para utilizar las herramientas, consulte los apartados correspondientes más abajo. Estas herramientas se clasifican en tres categorías: • • 14-2 Herramientas administrativas • Configuración de inicio de sesión (SetupUsr.exe): Automatiza la instalación del agente de seguridad. Consulte el apartado Instalar con Configuración de secuencia de comandos de inicio de sesión en la página 3-13. • Vulnerability Scanner (TMVS.exe): detecta los equipos sin protección de la red. Consulte el apartado Instalar con Vulnerability Scanner en la página 3-23. • Remote Manager Agent: habilita a los distribuidores para administrar WFBS a través de una consola Web centralizada. Consulte el apartado Instalar el Trend Micro Worry-Free Remote Manager Agent en la página 14-3. • Trend Micro Disk Cleaner: elimina los archivos innecesarios de copia de seguridad de WFBS, los archivos de registro y los archivos de patrón sin usar. Consulte el apartado Ahorrar espacio en disco en la página 14-6. • Scan Server Database Mover: desplaza la base de datos del servidor de exploración de forma segura a otra unidad de disco. Consulte el apartado Desplazamiento de la base de datos de Scan Server en la página 14-9. Herramientas de cliente Usar las herramientas de gestión • • Client Packager (ClnPack.exe): crea un archivo autoextraíble que contiene el programa agente de seguridad y sus componentes. Consulte el apartado Instalar con Client Packager en la página 3-15. • Restaurar virus cifrados (VSEncode.exe): abre los archivos infectados que cifró WFBS. Consulte el apartado Restaurar archivos cifrados en la página 14-9. • Herramienta Client Mover (IpXfer.exe): transfiere un agente desde un Security Server a otro. Consulte el apartado Mover agentes en la página 4-12. • Regenerar ClientID de Security Agent (regenid.exe): use la utilidad ReGenID para regenerar el identificador ClientID del Security Agent, en función de si el agente está en un equipo clonado o una máquina virtual. Consulte el apartado Utilizar la herramienta ReGenID en la página 14-14. • Desinstalación del Security Agent (SA_Uninstall.exe): quita automáticamente todos los componentes del agente de seguridad del equipo cliente. Consulte el apartado Usar la herramienta de desinstalación de SA en la página 3-46. Complementos: permiten que los administradores vean información sobre el sistema y la seguridad en directo desde las consolas de los sistemas operativos Windows compatibles. Se trata de la misma información de nivel elevado visible en la pantalla Estado de actividad. Consulte el apartado Gestionar los complementos de SBS y EBS en la página 14-15. Nota Algunas herramientas de versiones anteriores de WFBS no están disponibles en esta versión. Si necesita estas herramientas, póngase en contacto con la asistencia técnica de Trend Micro. Instalar el Trend Micro Worry-Free Remote Manager Agent Worry-Free Remote Manager Agent permite a los distribuidores administrar WFBS con Worry-Free Remote Manager (WFRM). WFRM Agent (versión 3.0) se instala en Security Server 8.0. 14-3 Manual del administrador de Worry-Free Business Security 8.0 Si es socio certificado de Trend Micro, puede instalar el agente de Trend Micro WorryFree Remote Manager (WFRM). Si opta por no instalar WFRM Agent una vez finalizada la instalación de Security Server, puede hacerlo más tarde. Requisitos de la instalación: • GUID de WFRM Agent Para obtener el GUID, abra la consola de WFRM y acceda a Clientes (pestaña) > Todos los clientes (en el árbol) > {cliente} > WFBS/CSM > Detalles del servidor/agente (panel derecho) > Detalles de WFRM Agent • Una conexión a Internet activa • 50 MB de espacio libre en disco Procedimiento 1. Diríjase al servidor de seguridad y desplácese hasta la siguiente carpeta de instalación: PCCSRV\Admin\Utility\RmAgent e inicie la aplicación WFRMAgentforWFBS.exe. Por ejemplo: C:\Archivos de programa\Trend Micro\Security Server\PCCSRV\Admin\Utility\RmAgent\WFRMAgentforWFBS.exe Nota Omita este paso si está realizando la instalación desde la pantalla de instalación del Security Server. 2. En el Asistente de instalación de Worry-Free Remote Manager Agent, lea el acuerdo de licencia. Si acepta los términos del contrato, seleccione Acepto los términos del contrato de licencia y haga clic en Siguiente. 3. Haga clic en Sí para confirmar que usted es un socio con certificación. 4. Seleccione Ya tengo una cuenta de Worry-Free Remote Manager y deseo instalar el agente. Haga clic en Siguiente. 5. Determine su situación. 14-4 Usar las herramientas de gestión Escenario Pasos Cliente nuevo a. Seleccione Asociar a un nuevo cliente. b. Haga clic en Siguiente. Introduzca la información del cliente. Nota Si el cliente ya existe en la consola de WFRM y utiliza la opción anterior para asociar a un nuevo cliente, aparecerán dos clientes con el mismo nombre en el árbol de red de WFRM. Para que esto no ocurra, utilice el siguiente método. Cliente existente a. Seleccione Este producto ya existe en Remote Manager. Nota WFBS ya debe haberse agregado a la consola de WFRM. Consulte la documentación de WFRM para conocer más instrucciones. b. Escriba el GUID. 6. Haga clic en Siguiente. 7. Seleccione la Región y el Protocolo, y escriba la información del proxy, si es necesario. 8. Haga clic en Siguiente. Aparecerá la pantalla Ubicación de la instalación. 9. Para utilizar la ubicación predeterminada, haga clic en Siguiente. 10. Por último, haga clic en Finalizar. Si la instalación se lleva a cabo con éxito y la configuración es correcta, el agente WFRM debería registrarse automáticamente en el servidor de Worry-Free Remote Manager. El agente debe mostrarse con el estado En línea en la consola de WFRM. 14-5 Manual del administrador de Worry-Free Business Security 8.0 Ahorrar espacio en disco Ahorre espacio en disco en el Security Server y en los clientes ejecutando la herramienta Disk Cleaner. Ejecutar Disk Cleaner en el Security Server Antes de empezar Para ahorrar espacio en disco, la herramienta Disk Cleaner (TMDiskCleaner.exe) identifica y elimina los archivos de copia de seguridad, registro y patrones no utilizados de los siguientes directorios: • {Security Agent}\AU_Data\AU_Temp\* • {Security Agent}\Reserve • {Security Server}\PCCSRV\TEMP\* (excepto archivos ocultos) • {Security Server}\PCCSRV\Web\Service\AU_Data\AU_Temp\* • {Security Server}\PCCSRV\wss\*.log • {Security Server}\PCCSRV\wss\AU_Data\AU_Temp\* • {Security Server}\PCCSRV\Backup\* • {Security Server}\PCCSRV\Virus\* (elimina archivos en cuarentena que tengan más de dos semanas de antigüedad, excepto el archivo NOTVIRUS) • {Security Server}\PCCSRV\ssaptpn.xxx (mantiene solo el último patrón) • {Security Server}\PCCSRV\lpt$vpn.xxx (mantiene solo los tres últimos patrones) • {Security Server}\PCCSRV\icrc$oth.xxx (mantiene solo los tres últimos patrones) • {Security Server}\DBBackup\* (mantiene solo las dos últimas subcarpetas) 14-6 Usar las herramientas de gestión • {Messaging Security Agent}\AU_Data\AU_Temp\* • {Messaging Security Agent}\Debug\* • {Messaging Security Agent}\engine\vsapi\latest\pattern\* Procedimiento 1. En Security Server, vaya a este directorio: {Carpeta de instalación del servidor}\PCCSRV\Admin\Utility\ 2. Haga doble clic en TMDiskCleaner.exe. Aparece el Disk Cleaner de Trend Micro Worry-Free Business Security. Nota Los archivos no se pueden restaurar. 3. Haga clic en Eliminar archivos para explorar y eliminar los archivos de patrón, registro y copia de seguridad no utilizados. Ejecutar Disk Cleaner en el Security Server mediante la interfaz de línea de comandos Procedimiento 1. En el Security Server, abra una ventana de símbolo del sistema. 2. En el símbolo del sistema, ejecute el siguiente comando: TMDiskCleaner.exe [/hide] [/log] [/allowundo] • /hide: ejecuta la herramienta como un proceso en segundo plano. • /log: guarda un registro de la operación en DiskClean.log que se encuentra en la carpeta actual. 14-7 Manual del administrador de Worry-Free Business Security 8.0 Nota /log está disponible solo cuando se usa /hide. • /allowundo: mueve los archivos a la Papelera de reciclaje y no los elimina de forma permanente. 3. Para ejecutar la herramienta Disk Cleaner de forma frecuente, configure una nueva tarea usando las tareas programadas de Windows. Consulte la documentación de Windows para obtener más información. Ahorrar espacio de disco en los clientes Procedimiento • • 14-8 En los equipos de sobremesa o en los servidores con Security Agents: • Limpie los archivos en cuarentena. • Limpie los archivos de registro. • Ejecute la utilidad de Liberador de espacio en disco de Windows En los servidores Microsoft Exchange con Messaging Security Agents: • Limpie los archivos en cuarentena. • Limpie los archivos de registro. • Ejecute la utilidad de Liberador de espacio en disco de Windows • Limpie los registros de archivo. • Limpie los archivos de copia de seguridad. • Compruebe el tamaño de los registros de transacciones o de la base de datos de Microsoft Exchange. Usar las herramientas de gestión Desplazamiento de la base de datos de Scan Server Si la unidad de disco en la que está instalado Scan Server no tiene suficiente espacio, utilice la herramienta Scan Server Database Mover Tool para mover la base de datos de Scan Server de forma segura a otra unidad de disco. Asegúrese de que el equipo con Security Server disponga de más de una unidad de disco y de que la nueva unidad de disco tenga 3 GB de espacio disponible como mínimo. No se aceptarán las unidades asignadas. No mueva la base de datos manualmente ni utilice otras herramientas. Procedimiento 1. En el equipo con Security Server, vaya a <carpeta de instalación de Security Server>\PCCSRV\Admin\Utility. 2. Inicie ScanServerDBMover.exe. 3. Haga clic en Cambiar. 4. Haga clic en Examinar y, a continuación, vaya al directorio de destino en la otra unidad de disco. 5. Haga clic en Aceptar y, a continuación, en Completar cuando se haya movido la base de datos. Restaurar archivos cifrados Para evitar que se abra un archivo infectado, Worry-Free Business Security lo cifra en las siguientes circunstancias: • Antes de ponerlo en cuarentena • Al realizar una copia de seguridad de él anterior a su limpieza 14-9 Manual del administrador de Worry-Free Business Security 8.0 WFBS proporciona una herramienta que descifra y después restaura el archivo en caso de que necesite recuperar información de él. WFBS puede descifrar y restaurar los siguientes archivos: TABLA 14-1. Archivos que WFBS puede descifrar y restaurar ARCHIVO Archivos en cuarentena en el cliente DESCRIPCIÓN Estos archivos se encuentran en los siguientes directorios: • <Carpeta de instalación del Security Agent> \SUSPECT\Backup o <Carpeta de instalación del Security Agent> \quarantine, según lo que esté disponible. • <Carpeta de instalación del Messaging Security Agent>\storage\quarantine Estos archivos se cargan en el directorio de cuarentena designado, que suele ser un directorio en el Security Server. Archivos en cuarentena del directorio de cuarentena designado De forma predeterminada, este directorio se encuentra en el equipo del Security Server (<Carpeta de instalación del Security Server>\PCCSRV\Virus). Para cambiar el directorio, acceda a Preferencias > Configuración general > pestaña Sistema y acceda a la sección Mantenimiento de la cuarentena. Copias de seguridad de los archivos cifrados Estas son las copias de seguridad de los archivos infectados que los agentes han podido limpiar. Estos archivos se encuentran en las siguientes carpetas: • <Carpeta de instalación del Security Agent> \Backup • <Carpeta de instalación del Messaging Security Agent>\storage\backup Para restaurar estos archivos, es necesario que los usuarios los muevan al directorio de cuarentena en el cliente. 14-10 Usar las herramientas de gestión ¡ADVERTENCIA! Si se restaura un archivo infectado, el virus o malware podría propagarse a otros archivos y clientes. Antes de restaurar el archivo, aísle el cliente infectado y mueva los archivos importantes de este cliente a una ubicación de copia de seguridad. Descifrar y restaurar archivos en el Security Agent Procedimiento 1. Abra el símbolo del sistema y vaya a la <Carpeta de instalación del Security Agent>. 2. Ejecute el archivo VSEncode.exe escribiendo lo siguiente: VSEncode.exe /u Este parámetro hace que se abra una pantalla en la que aparece una lista de los archivos que se encuentran en <Carpeta de instalación del Security Agent>\SUSPECT\Backup. 3. Seleccione un archivo para restaurar y haga clic en Restaurar. La herramienta sólo puede restaurar los archivos de uno en uno. 4. En la pantalla que se abre, especifique la carpeta en la que desea restaurar el archivo. 5. Haga clic en Aceptar. El archivo se restaurará en la carpeta especificada. Nota Es posible que en cuanto el archivo se restaure, el agente lo explore de nuevo y lo trate como si estuviera infectado. Para evitar que esto ocurra, agréguelo a la Lista de Exclusiones de la exploración. Consulte el apartado Explorar destinos y acciones para los Security Agents en la página 7-11. 6. Haga clic en Cerrar cuando haya terminado de restaurar los archivos. 14-11 Manual del administrador de Worry-Free Business Security 8.0 Descifrar y restaurar archivos en el Security Server, el directorio de cuarentena personalizado o el Messaging Security Agent Procedimiento 1. Si el archivo está en el equipo del Security Server, abra el símbolo del sistema y acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin \Utility\VSEncrypt. Si el archivo está en un cliente del Messaging Security Agent o en un directorio de cuarentena personalizado, acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility y copie la carpeta VSEncrypt en el cliente o en el directorio de cuarentena personalizado. 2. Cree un archivo de texto y escriba a continuación la ruta completa de los archivos que desee cifrar o descifrar. Por ejemplo, para restaurar los archivos de C:\Mis documentos\Informes, escriba C:\Mis documentos\Informes\*.* en el archivo de texto. Los archivos en cuarenta del equipo del Security Server se encuentran en <Carpeta de instalación del servidor>\PCCSRV\Virus. 3. Guarde el archivo de texto con una extensión INI o TXT. Por ejemplo, guárdelo con el nombre ParaCifrar.ini en la unidad C: . 4. Abra el símbolo del sistema y vaya al directorio en el que se encuentra la carpeta VSEncrypt. 5. Ejecute el archivo VSEncode.exe escribiendo lo siguiente: VSEncode.exe /d /i <location of the INI or TXT file> Donde: <location of the INI or TXT file> es la ruta del archivo INI o TXT que ha creado (por ejemplo, C:\ForEncryption.ini). 6. 14-12 Utilice los otros parámetros para emitir varios comandos. Usar las herramientas de gestión TABLA 14-2. Restaurar parámetros PARÁMETRO DESCRIPCIÓN Ninguno (sin parámetros) Cifrar archivos /d Descifrar archivos /debug Cree un registro de depuración y guárdelo en el equipo. En el cliente, el registro de depuración VSEncrypt.log se crea en la <Carpeta de instalación del agente>. /o Sobrescribe un archivo cifrado o descifrado si ya existe. /f <filename> cifra o descifra un solo archivo. /nr No restaura el nombre del archivo original /v Muestra información acerca de la herramienta /u Inicia la interfaz de usuario de la herramienta /r <Destination folder> La carpeta en la que se restaurará un archivo /s <Original file name> El nombre del archivo cifrado original Por ejemplo, escriba VSEncode [/d] [/debug] para descifrar los archivos de la carpeta Suspect y crear un registro de depuración. Cuando se descifra o cifra un archivo, WFBS crea el archivo descifrado o cifrado en la misma carpeta. Antes de descifrar o cifrar un archivo, asegúrese de que no está bloqueado. Restaurar mensajes con formato de transporte por encapsulación neutral El formato de transporte por encapsulación neutral (TNEF) es un formato para la encapsulación de mensajes que utiliza Microsoft Exchange/Outlook. Normalmente este formato se envía como archivo adjunto de correo con el nombre Winmail.dat y 14-13 Manual del administrador de Worry-Free Business Security 8.0 Outlook Express lo oculta de forma automática. Consulte http:// support.microsoft.com/kb/241538/es-es. Si el Messaging Security Agent archiva este tipo de mensaje y la extensión del archivo se cambia a .EML, Outlook Express mostrará únicamente el cuerpo del mensaje. Utilizar la herramienta ReGenID La instalación de cada Security Agent necesita un GUID (identificador exclusivo global) para que el Security Server pueda identificar a los agentes de forma individual. Los GUID duplicados se suelen producir en máquinas virtuales o clientes clonados. Si dos o más agentes indican el mismo GUID, ejecute la herramienta ReGenID para generar un GUID único para cada cliente. Procedimiento 1. En Security Server, vaya a este directorio: <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility. 2. Copie WFBS_80_WIN_All_ReGenID.exe en una carpeta temporal en el cliente donde esté instalado el Security Agent. Ejemplo: C:\temp 3. Haga doble clic en WFBS_80_WIN_All_ReGenID.exe. La herramienta detiene el Security Agent y elimina el GUID del cliente. 4. Reinicie el Security Agent. El Security Agent genera un nuevo GUID de cliente. 14-14 Usar las herramientas de gestión Gestionar los complementos de SBS y EBS Worry-Free Business Security Advanced ofrece complementos que permiten que los administradores vean información sobre el estado del sistema y la seguridad en directo desde las consolas de los siguientes sistemas operativos: • Windows Small Business Server (SBS) 2008 • Windows Essential Business Server (EBS) 2008 • Windows SBS 2011 Standard/Essentials • Windows Server 2012 Essentials Instalar manualmente los complementos de SBS y EBS Tanto el complemento de SBS como el de EBS se instalan automáticamente al instalar Security Server en un equipo con Windows SBS 2008, EBS 2008, SBS 2011 Standard/ Essentials o Server 2012 Essentials. Para utilizar el complemento en otro equipo con estos sistemas operativos, deberá instalarlo manualmente. Procedimiento 1. En la consola Web, haga clic en Preferencias > Herramientas de administración y, a continuación, haga clic en la pestaña Complementos. 2. Haga clic en el enlace Descargar correspondiente para obtener el archivo de instalación. 3. Copie e inicie el archivo de instalación en el equipo de destino. Usar los complementos de SBS o EBS Procedimiento 1. Abra la consola de SBS o EBS. 14-15 Manual del administrador de Worry-Free Business Security 8.0 2. 14-16 En la pestaña Seguridad, haga clic en Trend Micro Worry-Free Business Security para ver la información sobre el estado. Apéndice A Iconos del Security Agent En este apéndice se describen los distintos iconos del Security Agent que se muestran en los clientes. A-1 Manual del administrador de Worry-Free Business Security 8.0 Comprobar el estado del Security Agent En la siguiente imagen se muestra la consola del Security Agent con todos los elementos actualizados y funcionando correctamente: En la siguiente tabla se muestran los iconos de la interfaz de usuario principal de la consola del Security Agent y su significado: A-2 Iconos del Security Agent TABLA A-1. Iconos de la interfaz de usuario principal de la consola del Security Agent ICONO ESTADO EXPLICACIÓN Y ACCIÓN Protección activada: Está protegido y su programa está actualizado El software está actualizado y se ejecuta correctamente. No es necesario realizar ninguna acción. Reiniciar el equipo: Reinicie el equipo para terminar de solucionar las amenazas de seguridad Security Agent ha encontrado amenazas que no puede solucionar inmediatamente. Protección en riesgo: Póngase en contacto con el administrador La exploración en tiempo real está desactivada o la protección está en riesgo por otro motivo. Reinicie el equipo para terminar de solucionar estas amenazas. Active la Exploración en tiempo real y, si esto no resuelve el problema, póngase en contacto con el servicio de asistencia. Actualizar ahora: hace (número) días que no recibe una actualización. El patrón de virus tiene más de 3 días. Actualice el Security Agent de forma inmediata. A-3 Manual del administrador de Worry-Free Business Security 8.0 ICONO ESTADO EXPLICACIÓN Y ACCIÓN Smart Scan no está disponible: Compruebe su conexión a Internet Security Agent no ha tenido acceso al servidor de exploración durante más de 15 minutos. Asegúrese de que dispone de conexión a la red con el fin de poder explorar con los patrones más recientes. Reiniciar el equipo: Reinicie el equipo para finalizar de instalar una actualización Reinicie el equipo para completar una actualización. Actualizando programa: Su programa de seguridad se está actualizando Actualización en curso. No se desconecte de la red hasta que haya finalizado. Ver los iconos del Security Agent en la barra de tareas de Windows Los siguientes iconos del Security Agent se mostrarán en la barra de tareas de Windows del cliente: ICONO SIGNIFICADO El estado es normal. (En movimiento) Se está ejecutando una Exploración manual o una Exploración programada. El agente está usando la exploración convencional o smart scan. El agente está realizando una actualización. A-4 Iconos del Security Agent ICONO SIGNIFICADO Es necesario realizar una acción: • La exploración en tiempo real está desactivada. • Es necesario reiniciar para limpiar por completo el malware. • Es necesario reiniciar debido a la actualización de un motor. • La actualización es necesaria. Nota Abra la consola principal del agente para ver qué acción debe realizarse. Acceder a la ventana emergente de la consola La ventana emergente de la consola del Security Agent se abrirá al pasar el puntero del ratón sobre el pequeño icono situado en la parte inferior derecha de dicha consola. A-5 Manual del administrador de Worry-Free Business Security 8.0 En la siguiente tabla se muestran los iconos de la ventana emergente de la consola y su significado: A-6 Iconos del Security Agent TABLA A-2. Iconos de la ventana emergente de la consola CARACTERÍSTICA Conexión ICONO SIGNIFICADO Conectado a Security Server No conectado a Security Server, aunque se está ejecutando la exploración en tiempo real. Es posible que el archivo de patrones no esté actualizado. Haga clic con el botón derecho en la barra de tareas de Windows y elija Actualizar ahora. Ubicación En la oficina Fuera de la oficina Exploración en tiempo real Activado Desactivado A-7 Manual del administrador de Worry-Free Business Security 8.0 CARACTERÍSTICA Smart Scan ICONO SIGNIFICADO Conectado al Servidor de exploración Conectado a Trend Micro Smart Protection Network No es posible conectar con el servidor de exploración ni con Smart Protection Network; la protección se reduce, ya que los agentes no pueden enviar consultas de exploración. Nota Compruebe que TMiCRCScanService del Smart Scan Service se esté ejecutando y que los Security Agents estén conectados al Security Server. La Smart Scan está desactivada. Usar la exploración convencional A-8 • Firewall • Reputación Web • Filtrado de URL • Supervisión del comportamiento • Filtrado de contenido de IM • Control del dispositivo Activado Desactivado Apéndice B Compatibilidad con IPv6 en WorryFree Business Security Es necesario que los usuarios que vayan a implementar Worry-Free Business Security en un entorno que sea compatible con el direccionamiento IPv6 lean este apéndice. Este apéndice contiene información acerca de la amplitud de compatibilidad de IPv6 en Worry-Free Business Security. Trend Micro asume que el lector está familiarizado con los conceptos de IPv6 y las tareas que implica la configuración de una red compatible con el direccionamiento IPv6. B-1 Manual del administrador de Worry-Free Business Security 8.0 Compatibilidad con IPv6 en Worry-Free Business Security IPv6 se puede usar con Worry-Free Business Security a partir de la versión 8.0. Las versiones anteriores de Worry-Free Business Security no son compatibles con las direcciones IPv6. La compatibilidad con IPv6 se habilita de forma automática tras la instalación o la actualización del Security Server, los Security Agents y los Messaging Security Agents que cumplen los requisitos de IPv6. Requisitos del Security Server IPv6 Los requisitos de IPv6 para el Security Server son los siguientes: B-2 • El servidor debe estar instalado en Windows Server 2008/2012, SBS 2008/2011, 7, 8 o en Vista. No se puede instalar en Windows XP ni Server/SBS 2003, ya que estos sistemas operativos solo son parcialmente compatibles con las direcciones IPv6. • El servidor debe utilizar un servidor Web IIS. El servidor Web de Apache no es compatible con las direcciones IPv6. • Si el servidor va a administrar agentes IPv4 e IPv6, este debe tener direcciones tanto IPv4 como IPv6 e identificarse mediante su nombre de host. Si un servidor se identifica por su dirección IPv4, los agentes que solo usan IPv6 no se podrán conectar con el servidor. Lo mismo ocurre si los clientes IPv4 se conectan a un servidor identificado mediante su dirección IPv6. • Si el servidor va a administrar solo agentes IPv6, el requisito mínimo es una dirección IPv6. El servidor se puede identificar mediante su nombre de host o su dirección IPv6. Cuando el servidor se identifica por su nombre de host, es preferible utilizar el nombre de dominio completo (FQDN). Esto se debe que, en un entorno en el que solo se utilice IPv6, un servidor WINS no puede convertir un nombre de host en la dirección IPv6 correspondiente. • Compruebe que la dirección IPv6 o IPv4 del equipo host se puede recuperar utilizando, por ejemplo, los comandos ping o nslookup. • Si instala el Security Server en un equipo que solo utilice IPv6, configure un servidor proxy de doble pila que pueda convertir las direcciones IPv4 e IPv6 (como Compatibilidad con IPv6 en Worry-Free Business Security DeleGate). Coloque el servidor proxy entre el Security Server e Internet de forma que el servidor se conecte correctamente a los servicios alojados de Trend Micro, como el servidor ActiveUpdate, el sitio Web de registro en línea y la Smart Protection Network. Requisitos del Security Agent El Security Agent debe estar instalado en: • Windows Vista (todas las ediciones) • Windows Server 2008 (todas las ediciones) • Windows 7 (todas las ediciones) • Windows SBS 2011 • Windows 8 (todas las ediciones) • Windows Server 2012 (todas las ediciones) No se puede instalar en Windows Server/SBS 2003 y Windows XP, ya que estos sistemas operativos solo son parcialmente compatibles con las direcciones IPv6. Es preferible que el Security Agent tenga direcciones tanto IPv4 como IPv6, ya que algunas de las entidades a las que se conecta solo son compatibles con las direcciones IPv4. Requisitos del Messaging Security Agent Messaging Security Agent (Advanced solo) debe estar instalado en un servidor de doble pila o servidor Microsoft Exchange que solo use IPv6. Es preferible que el Messaging Security Agent tenga direcciones tanto IPv4 como IPv6, ya que algunas de las entidades a las que se conecta solo son compatibles con las direcciones IPv4. B-3 Manual del administrador de Worry-Free Business Security 8.0 Limitaciones de los servidores que solo utilizan IPv6 En la siguiente tabla se muestran las limitaciones de un Security Server con direcciones IPv6 únicamente. TABLA B-1. Limitaciones de los servidores que solo utilizan IPv6 EVENTO Gestión de agentes Actualizaciones y administración centralizada LIMITACIÓN Un servidor que solo utilice IPv6 no puede: • Implementar agentes en clientes que solo usen IPv4. • Administrar agentes que solo utilicen IPv4. Un servidor que solo utilice IPv6 no puede actualizarse desde fuentes de actualización que solo utilicen IPv4, como: • Servidor ActiveUpdate de Trend Micro • Una fuente de actualización personalizada que solo utilice IPv4. Registro, activación y renovación del producto Un servidor que solo utilice IPv6 no se puede conectar al servidor de registro en línea de Trend Micro para registrar el producto, y obtener y activar o renovar la licencia. Conexión proxy Un servidor que solo utilice IPv6 no se puede conectar a través de un servidor proxy que solo utilice IPv4. Soluciones de complemento Un servidor que solo utilice IPv6 contará con Plug-in Manager, pero no podrá implementar ninguna de las soluciones de complemento en: • Los agentes o los hosts que solo utilicen IPv4 (debido a la ausencia de una conexión directa) • Los agentes o los hosts que solo utilicen IPv6, ya que ninguna de las soluciones de complemento es compatible con IPv6. La mayoría de estas limitaciones se pueden subsanar estableciendo un servidor proxy con doble pila que pueda realizar conversiones entre las direcciones IPv4 e IPv6 (como DeleGate). Coloque el servidor proxy entre el Security Server y las entidades a las que se conecta o para las que ejerce de servidor. B-4 Compatibilidad con IPv6 en Worry-Free Business Security Limitaciones de los agentes que solo utilizan IPv6 En la siguiente tabla se enumeran las limitaciones cuando los agentes (tanto los Security Agents como los Messaging Security Agents) solo tienen una dirección IPv6. TABLA B-2. Limitaciones de los agentes que solo utilizan IPv6 EVENTO LIMITACIÓN Security Server principal Un Security Server que solo utilice IPv4 no puede administrar agentes que solo utilicen IPv6. Actualizaciones Un agente que solo utilice IPv6 no puede actualizarse desde fuentes de actualización que solo utilicen IPv4, como: • Servidor ActiveUpdate de Trend Micro • Un Security Server que solo utilice IPv4 • Un agente de actualización que solo utilice IPv4 • Una fuente de actualización personalizada que solo utilice IPv4. Consultas sobre exploraciones y Comentarios inteligentes Un Security Agent que solo use IPv6 no puede enviar consultas a Trend Micro Smart Protection Network y no puede usar Comentarios inteligentes. Soluciones de complemento Los agentes que solo utilicen IPv6 no pueden instalar soluciones de complemento, ya que ninguna de ellas es compatible con IPv6. Conexión proxy Un agente que solo utilice IPv6 no se puede conectar a través de un servidor proxy que solo utilice IPv4. La mayoría de estas limitaciones se pueden subsanar estableciendo un servidor proxy con doble pila que pueda realizar conversiones entre las direcciones IPv4 e IPv6 (como DeleGate). Coloque el servidor proxy entre los agentes y las entidades a las que se conectan. B-5 Manual del administrador de Worry-Free Business Security 8.0 Configuración de direcciones IPv6 La consola Web permite configurar una dirección IPv6 o un intervalo de direcciones IPv6. A continuación se recogen algunas directrices de configuración. • Worry-Free Business Security acepta presentaciones de direcciones IPv6 estándares. Por ejemplo: 2001:0db7:85a3:0000:0000:8a2e:0370:7334 2001:db7:85a3:0:0:8a2e:370:7334 2001:db7:85a3::8a2e:370:7334 ::ffff:192.0.2.128 • Worry-Free Business Security también admite direcciones IPv6 locales vinculadas, como: fe80::210:5aff:feaa:20a2 ¡ADVERTENCIA! Tenga cuidado al especificar una dirección IPv6 local vinculada ya que, aunque Worry-Free Business Security puede admitir la dirección, puede que no funcione como se espera en ciertas circunstancias. Por ejemplo, los agentes no pueden realizar actualizaciones desde una fuente de actualización si esta se encuentra en otro segmento de red y se identifica por medio de su dirección IPv6 local vinculada. B-6 • Cuando la dirección IPv6 forme parte de la URL, escriba la dirección entre corchetes. • Normalmente, en el caso de los intervalos de direcciones IPv6, se necesitan un prefijo y una longitud de prefijo. En el caso de las configuraciones que requieren que el servidor solicite direcciones IP, se aplican restricciones en la longitud de prefijo para evitar problemas de rendimiento que podrían surgir cuando el servidor realiza consultas en una cantidad significativa de direcciones IP. • Algunas configuraciones que utilizan intervalos de direcciones o direcciones IPv6 se implementarán en los agentes, pero estos harán caso omiso de ellas. Por Compatibilidad con IPv6 en Worry-Free Business Security ejemplo, si ha configurado la lista del Agente de actualización y ha incluido un agente de actualización identificado por su dirección IPv6, los agentes que solo usen IPv4 harán caso omiso de este agente de actualización y conectarán con los agentes de actualización de doble pila o los IPv4, en caso de que los haya. Pantallas que muestran direcciones IP En este tema se recogen las ubicaciones de la consola Web en las que se muestran las direcciones IP. • Árbol Grupos de seguridad Siempre que aparezca el árbol Grupos de seguridad, aparecerán las direcciones IPv6 de los agentes que solo utilicen IPv6 en la columna Dirección IP. En el caso de los agentes de doble pila, las direcciones IPv6 se mostrarán siempre que las hayan utilizado para registrarse en el servidor. Nota La dirección IP que usan los agentes de doble pila cuando se registran en el servidor se puede controlar mediante la sección Dirección IP preferida, en Preferencias > Configuración general > pestaña Equipo de sobremesa/servidor. Cuando se exporta la configuración de un agente a un archivo, las direcciones IPv6 también aparecen en el archivo exportado. • Registros Las direcciones IPv6 de los agentes de doble pila y que solo utilizan IPv6 aparecen en los registros. B-7 Apéndice C Obtener ayuda En este apéndice se explica cómo obtener ayuda, buscar más información y ponerse en contacto con Trend Micro. C-1 Manual del administrador de Worry-Free Business Security 8.0 La Base de conocimientos de Trend Micro La base de conocimientos de Trend Micro, ubicada en el sitio Web de Trend Micro, cuenta con las respuestas más actualizadas a las preguntas sobre nuestros productos. También puede utilizar la Base de conocimientos para enviar una pregunta si no encuentra la respuesta en la documentación del producto. Puede acceder a la Base de conocimientos desde: http://esupport.trendmicro.com/en-us/business/default.aspx Trend Micro actualiza el contenido de la Base de conocimientos continuamente y agrega nuevas soluciones cada día. Si a pesar de todo no consigue encontrar una respuesta a su problema, puede describirlo en un mensaje de correo electrónico y enviarlo directamente a los ingenieros de Trend Micro para que investiguen el problema y le comuniquen la respuesta tan pronto como sea posible. Ponerse en contacto con el equipo de asistencia técnica Antes de ponerse en contacto con la asistencia técnica de Trend Micro, se recomienda ejecutar en primer lugar la Herramienta de diagnóstico de casos (consulte Herramienta de diagnóstico de casos en la página C-3). Trend Micro ofrece a todos los usuarios registrados asistencia técnica, descargas de patrones y actualizaciones de los programas durante un año, periodo tras el cual se debe adquirir una renovación del servicio. Puede ponerse en contacto con nosotros si necesita ayuda o tiene cualquier duda. No dude en enviarnos también sus comentarios. • Asistencia técnica: http://esupport.trendmicro.com/en-us/business/pages/technical-support.aspx • Envío de un caso de asistencia a través de Internet: http://esupport.trendmicro.com/srf/srfmain.aspx • C-2 Si prefiere comunicarse con un mensaje de correo electrónico, envíe una consulta a la siguiente dirección: Obtener ayuda [email protected] • En los Estados Unidos también puede llamar al siguiente número gratuito: (877) TRENDAV o 877-873-6328 • Documentación de productos de Trend Micro: http://docs.trendmicro.com/es-es/smb.aspx Herramienta de diagnóstico de casos Trend Micro Case Diagnostic Tool (CDT) recopila la información de depuración necesaria de un producto de cliente siempre que se originan problemas. Activa y desactiva automáticamente el estado de depuración del producto y recopila los archivos necesarios de acuerdo con las categorías de problemas. Trend Micro utiliza esta información para solucionar problemas relacionados con el producto. Ejecute la herramienta en todas las plataformas compatibles con Worry-Free Business Security. Para obtener esta herramienta y la documentación relacionada, visite http:// www.trendmicro.com/download/emea/product.asp?productid=25&lng=es. Agilizar la llamada al servicio de asistencia Cuando se ponga en contacto con Trend Micro, compruebe que dispone de los detalles siguientes para agilizar la resolución del problema: • Versiones de Microsoft Windows y Service Pack • Tipo de red • Marca y modelo del equipo informático, junto con el hardware adicional conectado al mismo • Memoria y espacio disponible en disco del equipo • Descripción detallada del entorno de instalación • Texto exacto de cualquier mensaje de error C-3 Manual del administrador de Worry-Free Business Security 8.0 • Pasos para reproducir el problema Información de contacto IEn Estados Unidos, puede ponerse en contacto con los representantes de Trend Micro por teléfono, fax o correo electrónico: Trend Micro, Inc. 10101 North De Anza Blvd., Cupertino, CA 95014 Línea gratuita: +1 (800) 228-5651 (departamento comercial) Voz: +1 (408) 257-1500 (principal) Fax: +1 (408) 257-2003 Dirección Web: www.trendmicro.com Correo electrónico: [email protected] Enviar archivos sospechosos a Trend Micro Si cree que tiene un archivo que está infectado pero el motor de exploración no lo detecta o no puede limpiarlo, Trend Micro le invita a que nos envíe el archivo sospechoso. También puede enviar a Trend Micro la URL de cualquier sitio Web del que sospeche que es un sitio de phishing o de los llamados "de vector de enfermedades" (la fuente intencionada de las amenazas Web como el spyware y los virus). • Envíe un mensaje de correo electrónico a [email protected] y especifique "Phish o Vector de la enfermedad" en el asunto. • Uso de Anti-Threat Toolkit de Trend Micro: http://esupport.trendmicro.com/solution/en-us/1059565.aspx Centro de información de seguridad En el sitio Web de Trend Micro puede encontrar abundante información de seguridad: C-4 Obtener ayuda • Lista de virus y código móvil malicioso actualmente en circulación • Bulos sobre virus informáticos • Advertencias sobre amenazas de Internet • Informe de virus semanal • Enciclopedia de amenazas, con una extensa lista de los nombres y los síntomas de los virus y el código móvil malicioso conocidos http://about-threats.trendmicro.com/threatencyclopedia.aspx • Glosario de términos TrendLabs TrendLabsSM es el centro mundial de investigación antivirus y de asistencia técnica de Trend Micro. Con presencia en tres continentes, TrendLabs cuenta con una plantilla de más de 250 investigadores e ingenieros que trabajan continuamente para ofrecer servicio técnico a todos los clientes de Trend Micro. Siempre puede contar con nuestro servicio de posventa: • Actualizaciones de patrones de virus informáticos comunes y códigos maliciosos • Ayuda de emergencia ante epidemias de virus • Posibilidad de contacto por correo electrónico con los ingenieros de antivirus • Base de conocimientos, la base de datos en línea de Trend Micro sobre cuestiones de asistencia técnica TrendLabs ha obtenido la certificación de calidad ISO 9002. C-5 Manual del administrador de Worry-Free Business Security 8.0 Evaluación de la documentación Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda, comentario o sugerencia con relación a este documento u otros de Trend Micro, vaya al sitio Web siguiente: http://www.trendmicro.com/download/documentation/rating.asp C-6 Apéndice D Terminología del producto y conceptos Los elementos incluidos en este apéndice proporcionan más información acerca de las tecnologías y los productos de Trend Micro. D-1 Manual del administrador de Worry-Free Business Security 8.0 Revisión Un archivo hotfix es una solución para un problema específico que los usuarios han comunicado. Los archivos Hotfix son específicos para un problema y, por lo tanto, no se publican para todos los clientes. Los archivos Hotfix de Windows incluyen programas de instalación, mientras que los archivos Hotfix que no son de Windows no suelen facilitarlos (generalmente es necesario detener los demonios de programas, copiar el archivo para sobrescribir el archivo correspondiente de la instalación y reiniciar los demonios). De forma predeterminada, los Security Agents pueden instalar archivos Hotfix. Si no desea que los Security Agents instalen archivos Hotfix, cambie la configuración de seguridad en la consola Web; para ello, acceda a Configuración de seguridad > {grupo} > Configurar > Derechos del cliente. En Derechos de actualización, seleccione Desactivar la actualización del Security Agent y la instalación de archivos Hotfix. IntelliScan IntelliScan es un método para identificar los archivos que se exploran. Cuando se trata de archivos ejecutables (como, por ejemplo, .exe), el tipo de archivo verdadero se determina en función del contenido del archivo. Cuando se trata de archivos no ejecutables (por ejemplo, .txt), el tipo de archivo verdadero se determina en función del encabezado del archivo. Utilizar IntelliScan ofrece las siguientes ventajas: D-2 • Optimización del rendimiento: IntelliScan no interfiere en las aplicaciones del cliente porque utiliza unos recursos del sistema mínimos. • Periodo de exploración más corto: IntelliScan utiliza la identificación de tipo de archivo verdadero, lo que permite explorar únicamente los archivos vulnerables a infecciones. Por lo tanto, el tiempo de exploración es considerablemente inferior al que se invierte para explorar todos los archivos. Terminología del producto y conceptos IntelliTrap IntelliTrap es una tecnología heurística que Trend Micro utiliza para detectar amenazas que utilizan la compresión en tiempo real en combinación con otras características del malware, como los packers. Entre los packers se incluyen virus/malware, gusanos, troyanos, puertas traseras y programas robot. Los autores de virus suelen intentar evitar el filtrado de virus/malware mediante distintos esquemas de compresión de archivos. IntelliTrap es una tecnología de motor de exploración basada en reglas de reconocimiento de patrones que actúa en tiempo real para detectar y eliminar virus/ malware conocidos de archivos comprimidos hasta seis capas con los 16 tipos de compresión más populares. Nota IntelliTrap utiliza el mismo motor de exploración que la exploración antivirus. Por este motivo, la gestión de los archivos y las reglas de exploración de IntelliTrap serán las mismas que defina el administrador para la exploración antivirus. Los agentes graban las detecciones de programas robot y malware en el registro de IntelliTrap. Es posible exportar el contenido del registro de IntelliTrap para utilizarlo en informes. IntelliTrap utiliza los siguientes componentes cuando busca programas robot y otros programas maliciosos: • Motor de exploración antivirus • Patrón de IntelliTrap • Patrón de excepciones de IntelliTrap Tipo de archivo verdadero Cuando se configura para explorar el "tipo de archivo verdadero", el motor de exploración examina el encabezado del archivo, en lugar del nombre de archivo, para comprobar cuál es el tipo de archivo real. Por ejemplo, si el motor de exploración está configurado para explorar todos los archivos ejecutables y detecta un archivo denominado “family.gif”. no presupone que se trata de un archivo gráfico. En su lugar, el motor de exploración abre el encabezado del archivo y examina el tipo de datos registrado internamente para determinar si se trata realmente de un archivo gráfico o si es un ejecutable al que se le ha cambiado el nombre para evitar ser detectado. D-3 Manual del administrador de Worry-Free Business Security 8.0 La exploración de tipos de archivo verdadero funciona junto con IntelliScan para explorar solo los tipos de archivo potencialmente peligrosos. Estas tecnologías pueden reducir hasta dos tercios el número de archivos que examina el motor; esta reducción también crea algún riesgo de que un archivo dañino pueda entrar en la red. Por ejemplo, los archivos .gif suponen un gran volumen del total del tráfico en Internet pero es improbable que alberguen virus/malware, inicien código ejecutable o aprovechen cualquier vulnerabilidad conocida o teórica. Pero, ¿significa eso que son seguros? No del todo. Es posible que un hacker malintencionado asigne un nombre de archivo “seguro” a un archivo dañino para que eluda el motor de exploración y pase a la red. Este archivo podría causar daños si alguien le cambiara el nombre y lo ejecutara. Consejo para obtener el mayor nivel de seguridad, Trend Micro recomienda explorar todos los archivos. Sistema de detección de intrusiones El cortafuegos también incluye un sistema de detección de intrusiones (IDS). Cuando está activado, el sistema IDS ayuda a identificar patrones de los paquetes de red que pueden ser síntoma de un ataque al cliente. El cortafuegos evita que se produzcan las siguientes intrusiones conocidas: D-4 • Fragmento demasiado grande: Se trata de ataque de denegación de servicio en que un hacker envía un paquete TCP/UDP de gran tamaño a un equipo de destino. Como consecuencia, se produce un desbordamiento del búfer del equipo que puede colapsar o reiniciar el sistema. • Ping de la muerte: un ataque de denegación de servicio en el que un hacker envía un paquete ICMP/ICMPv6 de gran tamaño a un equipo de destino. Como consecuencia, se produce un desbordamiento del búfer del equipo que puede colapsar o reiniciar el sistema. • ARP en conflicto: un tipo de ataque en el que un hacker envía una solicitud ARP (Protocolo de resolución de direcciones) con la misma dirección IP de origen y de destino a un equipo. El equipo de destino se envía a sí mismo ininterrumpidamente Terminología del producto y conceptos una respuesta ARP (la dirección MAC), lo que provoca el colapso o bloqueo del equipo. • Desbordamiento SYN: Un ataque de denegación de servicio en el que un programa envía numerosos paquetes TCP de sincronización (SYN) a un equipo, lo que provoca que el equipo envíe continuadamente respuestas de confirmación de sincronización (SYN/ACK). Esto puede agotar la memoria del equipo y llegar a bloquearlo. • Solapamiento de fragmentos: Similar a un ataque Teardrop, este ataque de denegación de servicio envía fragmentos TCP solapados a un equipo. Sobrescribe la información de encabezado del primer fragmento TCP y puede atravesar un cortafuegos. El cortafuegos permitirá entonces que los fragmentos posteriores, con contenido malicioso, entren en el equipo de destino. • Teardrop: Similar a un ataque de solapamiento de fragmentos, este ataque de denegación de servicio utiliza fragmentos IP. Un valor de compensación confuso en el segundo fragmento de IP, o en otro posterior, puede provocar que el sistema operativo del equipo de recepción se bloquee al intentar volver a unir los fragmentos. • Ataque de fragmentos pequeños: Un tipo de ataque en el que un tamaño reducido de un fragmento TCP obliga a introducir la información de encabezamiento del primer paquete TCP en el siguiente fragmento. Esto puede hacer que los enrutadores que filtran el tráfico ignoren los siguientes fragmentos, los cuales pueden contener información maliciosa. • IGMP fragmentado: un ataque de denegación de servicio en el que se envían paquetes IGMP fragmentados a un equipo de destino que no los puede procesar correctamente. Esto puede ocasionar el colapso y una ralentización del equipo. • Ataque LAND: un tipo de ataque que envía paquetes IP de sincronización (SYN) con la misma dirección de origen y destino a un equipo y que provoca que este se envíe a sí mismo la respuesta de confirmación de sincronización (SYN/ACK). Esto puede ocasionar el colapso y una ralentización del equipo. Palabras clave En WFBS, pueden usarse las siguientes palabras clave para filtrar mensajes: D-5 Manual del administrador de Worry-Free Business Security 8.0 • Palabras (pistolas, bombas, etc.) • Números (1, 2, 3, etc.) • Caracteres especiales (&,#,+, etc.) • Frases cortas (pez azul, teléfono rojo, casa grande, etc.) • Palabras o frases conectadas mediante operadores lógicos (manzanas .AND. naranjas) • Palabras o frases que usan expresiones regulares (.REG. a.*e devuelve “apetece”, “amanece” y “ante”, pero no “antes”, “añadir” ni “antónimo”) WFBS puede importar una lista existente de palabras clave a partir de un archivo de texto (.txt). Las palabras clave importadas aparecen en la lista de palabras clave. Operadores en palabras clave Los operadores son comandos que sirven para combinar varias palabras clave. Pueden ampliar o restringir los resultados de un criterio. Los operadores deben ir incluidos entre puntos (.). Por ejemplo: apples .AND. oranges and apples .NOT. oranges Nota el operador tiene un punto inmediatamente antes y después. Hay un espacio entre el punto final y la palabra clave. TABLA D-1. Uso de los operadores OPERADOR Cualquier palabra clave D-6 FUNCIONAMIENTO El Messaging Security Agent busca contenido que coincida con la palabra EJEMPLO Escriba la palabra y añádala a la lista de palabras clave Terminología del producto y conceptos OPERADOR OR FUNCIONAMIENTO El Messaging Security Agent busca cualquiera de las palabras clave separadas por OR. Por ejemplo, manzana OR naranja. El agente busca manzana o naranja. Si el contenido contiene una de las dos frutas, hay una coincidencia. AND El Messaging Security Agent busca todas las palabras clave separadas por AND. Por ejemplo, manzana AND naranja. El agente busca tanto manzana como naranja. Si el contenido no contiene ambas frutas, no habrá ninguna coincidencia. NOT El Messaging Security Agent excluye de la búsqueda las palabras clave seguidas de NOT. Por ejemplo, .NOT. zumo. El agente busca contenido que no incluya la palabra zumo. Si el mensaje contiene "refresco de naranja", habrá coincidencia, pero si contiene "zumo de naranja", no la habrá. EJEMPLO Escriba ".OR." entre todas las palabras que desea incluir. Por ejemplo: "manzana .OR. naranja" Escriba ".AND." entre todas las palabras que desea incluir. Por ejemplo: "manzana .AND. naranja" Escriba ".NOT." antes de la palabra que desea excluir. Por ejemplo: “.NOT. zumo” D-7 Manual del administrador de Worry-Free Business Security 8.0 OPERADOR WILD FUNCIONAMIENTO Este símbolo sustituye a una parte que falta de la palabra. Todas las palabras que se escriban con la parte restante del comodín se consideran coincidencias. Nota El Messaging Security Agent no admite el uso del carácter "?" en el comodín ".WILD.". REG Para especificar una expresión regular, añada el operador .REG. antes de ese patrón (por ejemplo, .REG. a.*e). Consulte el apartado Expresiones regulares en la página D-11. EJEMPLO Escriba ".WILD." antes de las partes de la palabra que desea incluir. Por ejemplo, si desea buscar todas las palabras que contengan "mes", escriba ".WILD.valu". Las palabras mesa, mesías y meseta serían coincidencias. Escriba ".REG." antes del patrón de palabra que desea detectar. Por ejemplo, “.REG. a.*e” devolvería: “apetece”, “amanece” y “ante”, pero no “antes”, “añadir” ni “antónimo”. Uso eficaz de las palabras clave Messaging Security Agent ofrece unas funciones sencillas aunque potentes para crear filtros muy específicos. Tenga en cuenta los siguientes puntos al crear las reglas de filtrado de contenidos: D-8 • De forma predeterminada Messaging Security Agent busca coincidencias exactas con las palabras clave. Utilice expresiones regulares para buscar coincidencias parciales con las palabras clave. Consulte el apartado Expresiones regulares en la página D-11. • El Messaging Security Agent analiza varias palabras clave en una línea, varias palabras clave con cada palabra en una línea distinta y varias palabras clave separadas por comas, puntos, guiones y otros signos de puntuación de forma diferente. Para obtener más información acerca del uso de las palabras claves en varias líneas, consulte la siguiente tabla. Terminología del producto y conceptos • También se puede configurar Messaging Security Agent para que busque sinónimos de las palabras clave. TABLA D-2. Cómo utilizar palabras clave SITUACIÓN EJEMPLO Dos palabras en la misma línea pistolas bombas COINCIDENCIA/NO COINCIDENCIA Coincide: “Haga clic aquí para comprar pistolas bombas y otras armas”. No coincide: “Haga clic aquí para comprar pistolas y bombas”. Dos palabras separadas por una coma pistolas, bombas Coincide: “Haga clic aquí para comprar pistolas, bombas y otras armas.” No coincide: “Haga clic aquí para comprar pistolas usadas, bombas nuevas y otras armas”. D-9 Manual del administrador de Worry-Free Business Security 8.0 SITUACIÓN Varias palabras en varias líneas EJEMPLO pistolas bombas armas y munición COINCIDENCIA/NO COINCIDENCIA Cuando se selecciona Cualquier palabra clave especificada Coincide: “Se venden pistolas” También coincide: “Compre pistolas, bombas y otras armas” Cuando se selecciona Todas las palabras clave especificadas Coincide: “Compre pistolas bombas armas y munición” No coincide: “Compre pistolas bombas armas balas” Tampoco coincide: “Compre pistolas, bombas, armas y munición” Varias palabras clave en la misma línea pistolas bombas armas munición Coincide: “Compre pistolas bombas armas munición” No coincide: “Compre munición para sus pistolas y armas y bombas nuevas” Parche Un parche es un grupo de archivos hotfix y revisiones de seguridad que solucionan numerosos problemas del programa. Trend Micro publica parches periódicamente. Los parches de Windows incluyen un programa de instalación, mientras que los parches que no son de Windows suelen disponer de una secuencia de comandos de instalación. D-10 Terminología del producto y conceptos Expresiones regulares Las expresiones regulares se utilizan para realizar la coincidencia de cadenas. Consulte las tablas siguientes para conocer algunos ejemplos habituales de las expresiones regulares. Para especificar una expresión regular, añada un operador “.REG.” antes del patrón. Hay una serie de sitios Web y tutoriales en línea donde puede consultar más información. Uno de ellos es el sitio PerlDoc, que puede encontrar en: http://www.perl.com/doc/manual/html/pod/perlre.html ¡ADVERTENCIA! Las expresiones regulares son una poderosa herramienta de coincidencia de cadenas. Por este motivo, Trend Micro recomienda que los administradores que eligen utilizar las expresiones regulares estén familiarizados con la sintaxis de expresiones regulares. Una expresión regular escrita incorrectamente puede tener nefastos resultados en su funcionamiento. Trend Micro aconseja comenzar con expresiones regulares sencillas que no utilicen una sintaxis compleja. Cuando introduzca nuevas reglas, use la acción de archivado y observe cómo el Messaging Security Agent gestiona los mensajes con su regla. Cuando esté seguro de que la regla no tiene consecuencias inesperadas podrá cambiar la acción. Ejemplos de expresiones regulares Consulte las tablas siguientes para conocer algunos ejemplos habituales de las expresiones regulares. Para especificar una expresión regular, añada un operador “.REG.” antes del patrón. TABLA D-3. Contar y agrupar ELEMENTO . SIGNIFICADO El carácter de punto representa cualquier carácter excepto el carácter de nueva línea. EJEMPLO do. coincide con dolor, domingo, don, dos, doce, etc. d.r coincide con domador, decorador, etc. D-11 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO SIGNIFICADO EJEMPLO * El carácter de asterisco significa cero o más instancias del elemento anterior. do* coincide con d, do, doo, dooo, doooo, etc. + El signo más significa una o más instancias del elemento anterior. do+ coincide con do, doo, dooo, doooo, etc. pero no con d. ? El signo de interrogación significa cero o una instancia del elemento anterior. do?s coincide con ds o dos, pero no con doos, dooos, etc. () Los paréntesis hacen que el contenido que se encuentre entre ellos se considere como una única entidad. d(os)+ coincide con dos o doos o dooooos, etc. El signo + se aplica a la subcadena entre paréntesis, por lo que el regex busca por una d seguida de uno o más grupos de "os". [] Los corchetes indican un conjunto o rango de caracteres. d[aeiou]+ coincide con da, de, di, do, du, daa, dae, dai, etc. El signo + se aplica al conjunto situado entre los corchetes, por lo que regex busca una d seguida de uno o varios de los caracteres del conjunto [aeiou]. d[A-Z] coincide con dA, dB, dC, etc. hasta dZ. El conjunto situado entre los corchetes representa el rango de todas las letras mayúsculas de la A a la Z. [^] D-12 El carácter de acento circunflejo entre corchetes niega lógicamente el conjunto o rango especificado, por lo que el regex coincidirá con cualquier carácter que no esté incluido en el conjunto o rango. d[^aeiou] coincide con db, dc o dd, d9, d# (es decir, d seguido de cualquier carácter excepto una vocal). Terminología del producto y conceptos ELEMENTO {} SIGNIFICADO EJEMPLO Las llaves definen un número específico de ocurrencias del elemento anterior. Un solo valor dentro de las llaves significa que solo se dará una coincidencia cuando se produzca ese número de ocurrencias. Un par de números separados por una coma significa un conjunto de recuentos válidos del carácter anterior. Un solo dígito seguido de una coma significa que no hay límite superior. da{3} coincide con daaa (d seguida por 3 y solo 3 ocurrencias de “a”). da{2,4} coincide con daa, daaa, daaaa y daaaa (pero no con daaaaa) (d seguida por 2, 3 ó 4 ocurrencias de “a”). da{4,} coincide con daaaa, daaaaa, daaaaaa, etc. (d seguida por 4 o más ocurrencias de “a”). TABLA D-4. Clases de caracteres (resumen) ELEMENTO SIGNIFICADO EJEMPLO \d Cualquier carácter de dígito; funcionalmente equivalente a [0-9] o [[:digit:]] \d coincide con 1, 12, 123, etc., pero no con 1b7 (uno o varios caracteres de dígito). \D Cualquier carácter que no sea de dígito; funcionalmente equivalente a [^0-9] o [^[:digit:]] \D coincide con a, ab, ab&, pero no con 1 (uno o varios caracteres cualquiera excepto 0, 1, 2, 3, 4, 5, 6, 7, 8 o 9). \w Cualquier carácter de “"palabra”, es decir, cualquier carácter alfanumérico; funcionalmente equivalente a [_A-Za-z0-9] o [_[:alnum:]] \w coincide con a, ab, a1, pero no con !& (una o varias letras en mayúsculas o minúsculas o dígitos, pero no caracteres de puntuación o especiales). \W Cualquier carácter que no sea alfanumérico; funcionalmente equivalente a [^_A-Za-z0-9] o [^_[:alnum:]] \W coincide con *, &, pero no con as o a1 (uno o varios caracteres cualquiera excepto letras es mayúsculas o minúsculas y dígitos). D-13 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO SIGNIFICADO EJEMPLO \s Cualquier carácter de espacio en blanco; espacio, nueva línea, tabulación, espacio de no separación, etc.; funcionalmente equivalente a [[:space]] verdura\s coincide con “verdura” seguido de cualquier carácter de espacio en blanco. Por este motivo, la frase "Me gusta la verdura en la sopa" activaría el regex, pero no "Me gustan las verduras en la sopa". \S Cualquier carácter que no sea espacio en blanco; carácter distinto a espacio, nueva línea, tabulación, espacio de no separación, etc.; funcionalmente equivalente a [^[:space]] verdura\S coincide con “verdura” seguido de cualquier carácter que no sea un espacio en blanco. Por este motivo, la frase "Me gusta la verdura en la sopa" activaría el regex, pero no "Me gustan las verduras en la sopa". TABLA D-5. Clases de caracteres ELEMENTO D-14 SIGNIFICADO EJEMPLO [:alpha:] Cualquier carácter alfabético .REG. [[:alpha:]] coincide con abc, def, xxx, pero no con 123 o @#$. [:digit:] Cualquier carácter de dígito; funcionalmente equivalente a \d .REG. [[:digit:]] coincide con 1, 12, 123, etc. [:alnum:] Cualquier carácter de “palabra”, es decir, cualquier carácter alfanumérico; funcionalmente equivalente a \w .REG. [[:alnum:]] coincide con abc, 123, pero no con ~!@. [:space:] Cualquier carácter de espacio en blanco; espacio, nueva línea, tabulación, espacio de no separación, etc.; funcionalmente equivalente a \s .REG. (verdura)[[:space:]] coincide con “verdura” seguido de cualquier carácter de espacio en blanco. Por este motivo, la frase "Me gusta la verdura en la sopa" activaría el regex, pero no "Me gustan las verduras en la sopa". Terminología del producto y conceptos ELEMENTO SIGNIFICADO EJEMPLO [:graph:] Cualquier carácter excepto caracteres de espacio y control y similares .REG. [[:graph:]] coincide con 123, abc, xxx, ><", pero no con caracteres de espacio o control. [:print:] Cualquier carácter (similar a [:graph:]) pero incluye el carácter de espacio .REG. [[:print:]] coincide con 123, abc, xxx, ><" y caracteres de espacio. [:cntrl:] Cualquier carácter de control (por ej. CTRL + C, CTRL + X) .REG. [[:cntrl:]] coincide con 0x03, 0x08, pero no con abc, 123, !@#. [:blank:] Caracteres de espacio y tabulación .REG. [[:blank:]] coincide con caracteres de espacio y tabulación, pero no con 123, abc, !@# [:punct:] Caracteres de puntuación .REG. [[:punct:]] coincide con ; : ? ! ~ @ # $ % & * ‘ “ , etc., pero no con 123, abc [:lower:] Cualquier carácter alfabético en minúscula (Nota: la opción ‘Activar coincidencia con diferenciación de mayúsculas y minúsculas’ debe estar activada o, de lo contrario, funcionará como [:alnum:]) .REG. [[:lower:]] coincide con abc, Def, sTress, Do, etc., pero no con ABC, DEF, STRESS, DO, 123, !@#. [:upper:] Cualquier carácter alfabético en mayúscula (Nota: la opción ‘Activar coincidencia con diferenciación de mayúsculas y minúsculas’ debe estar activada o, de lo contrario, funcionará como [:alnum:]) .REG. [[:upper:]] coincide con ABC, DEF, STRESS, DO, etc., pero no con abc, Def, Stress, Do, 123, !@#. [:xdigit:] Dígitos permitidos en un número hexadecimal (0-9a-fA-F) .REG. [[:xdigit:]] coincide con 0a, 7E, 0f, etc. D-15 Manual del administrador de Worry-Free Business Security 8.0 TABLA D-6. Delimitadores de patrones ELEMENTO SIGNIFICADO EJEMPLO ^ Indica el comienzo de una cadena. ^(a pesar de que) coincide con cualquier bloque de texto que comenzara con “a pesar de que”, por lo que la frase “a pesar de que me gustan las verduras en la sopa” activaría el regex, pero no “me gustan las verduras en la sopa a pesar de que”. $ Indica el final de una cadena. (a pesar de que)$ coincide con cualquier bloque de texto que finalizara con “a pesar de que”, por lo que la frase “a pesar de que me gustan las verduras en la sopa” no activaría el regex, pero “me gustan las verduras en la sopa a pesar de que” sí lo haría. TABLA D-7. Secuencias de escape y cadenas literales ELEMENTO \ \t D-16 SIGNIFICADO Para coincidir con algunos caracteres que tienen un significado especial en una expresión regular (por ejemplo, “+”). Indica un carácter de tabulación. EJEMPLO (1) .REG. C\\C\+\+ coincide con ‘C\C++’. (2) .REG. \* coincide con *. (3) .REG. \? coincide con ?. (fuerza)\t coincide con cualquier bloque de texto que contenga la subcadena “fuerza” inmediatamente seguida de un carácter de tabulación (ASCII 0x09). Terminología del producto y conceptos ELEMENTO \n SIGNIFICADO Indica el carácter de nueva línea. Nota El carácter de nueva línea se representa de distinta manera según la plataforma. En Windows, una nueva línea es un par de caracteres, un retorno de carro seguido de un avance de línea. En Unix y Linux, una nueva línea es solo un avance de línea, mientras que en Macintosh una nueva línea es solo un retorno de carro. \r Indica un carácter de retorno de carro. EJEMPLO (fuerza)\n\n coincide con cualquier bloque de texto que contenga la subcadena fuerza inmediatamente seguida de los dos caracteres de nueva línea (ASCII 0x0A). (fuerza)\r coincide con cualquier bloque de texto que contenga la subcadena “fuerza” inmediatamente seguida de un carácter de retorno de carro (ASCII 0x0D). D-17 Manual del administrador de Worry-Free Business Security 8.0 ELEMENTO \b SIGNIFICADO Indica un carácter de retroceso. O Determina los límites. EJEMPLO (fuerza)\b coincide con cualquier bloque de texto que contenga la subcadena “fuerza” inmediatamente seguida de un carácter de retroceso (ASCII 0x08). Los límites de palabra (\b) se definen como un espacio entre dos caracteres, con \w en un lado y \W en el otro (independientemente del orden), contando los caracteres imaginarios desde el principio y el final de la cadena como coincidentes con una \W. (Dentro de las clases de caracteres una \b representa un retroceso en lugar de un límite de palabra.) Por ejemplo, la siguiente expresión regular puede coincidir con el número de la seguridad social: .REG. \b\d{3}-\d{2}-\d{4}\b \xhh Indica un carácter ASCII con un código hexadecimal determinado (donde hh representa cualquier valor hexadecimal de dos dígitos). \x7E(\w){6} coincide con cualquier bloque de texto que contenga una palabra de exactamente seis caracteres alfanuméricos precedidos por un carácter ~ (tilde). Por lo tanto, las palabras "~ab12cd", "~Pa3499" coincidirían, pero no "~oops". Generador de expresiones regulares Al decidir cómo configurar las reglas para la prevención de pérdida de datos, tenga en cuenta que el generador de expresiones regulares sólo puede crear expresiones sencillas en función de las siguientes reglas y limitaciones: • D-18 Las variables sólo pueden ser caracteres alfanuméricos. Terminología del producto y conceptos • Todos los demás caracteres como, por ejemplo, [-], [/], entre otros, solo pueden ser constantes. • Los rangos de variables sólo pueden ser de A-Z y 0-9; no se pueden limitar los rangos a, por ejemplo, A-D. • Las expresiones regulares generadas por esta herramienta distinguen entre mayúsculas y minúsculas. • Las expresiones regulares generadas por esta herramienta solo pueden realizar coincidencias positivas, no negativas ("si no coincide"). • Las expresiones basadas en el ejemplo solo pueden obtener coincidencias con el número exacto de caracteres y espacios del ejemplo; la herramienta no puede generar patrones que coincidan con "una o varias" instancias de un determinado carácter o cadena. Sintaxis en expresiones complejas Una expresión de palabra clave está formada por testigos, que es la unidad más pequeña usada para hacer coincidir la expresión con el contenido. Un testigo puede ser un operador, un símbolo lógico o el operando, es decir, el argumento o el valor sobre el que actúa el operador. Los operadores son: .AND., .OR., .NOT., .NEAR., .OCCUR., .WILD., “.(.” and “ .).” El operando y el operador deben estar separados por un espacio. Un operando también puede contener varios testigos. Consulte el apartado Palabras clave en la página D-5. Expresiones regulares en el trabajo En el siguiente ejemplo se describe cómo funciona el filtro de contenido Seguridad Social, uno de los filtros predeterminados: [Format] .REG. \b\d{3}-\d{2}-\d{4}\b La expresión anterior utiliza \b, un carácter de retroceso, seguido de \d, cualquier dígito y, a continuación, {x}, que indica el número de dígitos y, por último, -, que indica un guion. Esta expresión coincide con el número de seguridad social. En la tabla siguiente se describen las cadenas que coinciden con la expresión regular del ejemplo: D-19 Manual del administrador de Worry-Free Business Security 8.0 TABLA D-8. Números que coinciden con la expresión regular Seguridad Social .REG. \b\d{3}-\d{2}-\d{4}\b 333-22-4444 Coincidencia 333224444 No coincide 333 22 4444 No coincide 3333-22-4444 No coincide 333-22-44444 No coincide Si la expresión se modifica de la siguiente forma, [Format] .REG. \b\d{3}\x20\d{2}\x20\d{4}\b la nueva expresión coincidirá con la siguiente secuencia: 333 22 4444 Listas de exclusión de la exploración Lista de exclusión de la exploración para los Security Agents Esta lista de exclusión contiene todos los productos Trend Micro que se excluyen de la exploración de forma predeterminada. TABLA D-9. Lista de exclusión del Security Agent NOMBRE DEL PRODUCTO InterScan eManager 3.5x UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\InterScan eManager\CurrentVersion ProgramDirectory= ScanMail eManager (ScanMail for Microsoft Exchange eManager) 3.11, 5.1, 5.11, 5.12 D-20 HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange eManager\CurrentVersion ProgramDirectory= Terminología del producto y conceptos NOMBRE DEL PRODUCTO ScanMail for Lotus Notes (SMLN) eManager NT UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Lotus Notes\CurrentVersion AppDir= DataDir= IniDir= InterScan Web Security Suite (IWSS) HKEY_LOCAL_MACHINE\Software\TrendMicro\Interscan Web Security Suite Directorio del programa= C:\Archivos de programa \Trend Micro\IWSS InterScan WebProtect HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\InterScan WebProtect\CurrentVersion ProgramDirectory= InterScan FTP VirusWall HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan FTP VirusWall\CurrentVersion ProgramDirectory= InterScan Web VirusWall HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan Web VirusWall\CurrentVersion ProgramDirectory= InterScan E-Mail VirusWall HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan EMail VirusWall\CurrentVersion ProgramDirectory={Unidad de instalación}:\INTERS~1 Complemento InterScan NSAPI HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan NSAPI Plug-In\CurrentVersion ProgramDirectory= InterScan E-Mail VirusWall HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan EMail VirusWall \CurrentVersion ProgramDirectory= D-21 Manual del administrador de Worry-Free Business Security 8.0 NOMBRE DEL PRODUCTO IM Security (IMS) UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\IM Security \CurrentVersion HomeDir= VSQuarantineDir= VSBackupDir= FBArchiveDir= FTCFArchiveDir= D-22 Terminología del producto y conceptos NOMBRE DEL PRODUCTO ScanMail for Microsoft Exchange (SMEX) UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion TempDir= DebugDir= HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption\Advance QuarantineFolder= HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ScanOption \Advance QuarantineFolder= D-23 Manual del administrador de Worry-Free Business Security 8.0 NOMBRE DEL PRODUCTO ScanMail for Microsoft Exchange (SMEX) UBICACIÓN DE LA RUTA DE INSTALACIÓN HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\ManualScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\QuarantineManager QMDir= Consiga la ruta del archivo exclusion.txt desde HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion\HomeDir Vaya a la ruta de HomeDir (por ejemplo, C:\Archivos de programa\Trend Micro\Messaging Security Agent\) Abra exclusion.txt C:\Archivos de programa\Trend Micro\Messaging Security Agent\Temp\ C:\Archivos de programa\Trend Micro\Messaging Security Agent\storage\quarantine\ C:\Archivos de programa\Trend Micro\Messaging Security Agent\storage\backup\ C:\Archivos de programa\Trend Micro\Messaging Security Agent\storage\archive\ C:\Archivos de programa\Trend Micro\Messaging Security Agent\SharedResPool Listas de exclusión de exploración para el Messaging Security Agent (Advanced solo) De forma predeterminada, cuando el Messaging Security Agent se instala en un servidor Microsoft Exchange (2000 o posterior), no explorará las bases de datos de Microsoft D-24 Terminología del producto y conceptos Exchange, los archivos de registro de Exchange, las carpetas del servidor virtual ni la unidad M:\. La lista de exclusión se guarda en: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp \CurrentVersion\Misc. ExcludeExchangeStoreFiles=C:\Program Files\Exchsrvr\mdbdata\ priv1.stm|C:\Program Files\Exchsrvr\mdbdata\ priv1.edb|C:\Program Files\Exchsrvr\mdbdata\ pub1.stm|C:\Archivos de programa\Exchsrvr\mdbdata\pub1.edb ExcludeExchangeStoreFolders=C:\Archivos de programa\Exchsrvr \mdbdata\ |C:\Archivos de programa\Exchsrvr\Mailroot\vsi 1\Queue\ |C:\Archivos de programa\Exchsrvr\Mailroot\vsi 1\PickUp\ |C:\Archivos de programa\Exchsrvr\Mailroot\vsi 1\BadMail\ Agregue manualmente a la lista de exclusión de la exploración las demás carpetas recomendadas por Microsoft Exchange. Consulte http://support.microsoft.com/kb/ 245822/. Exclusiones de SBS 2003 Para SBS 2003, agregue manualmente lo siguiente: Exclusiones de Microsoft Exchange Base de datos de servidores Microsoft Exchange C:\Archivos de programa\Exchsrvr\MDBDATA Archivos MTA de Microsoft Exchange C:\Archivos de programa\Exchsrvr\Mtadata Archivos de registro de seguimiento de mensajes de Microsoft Exchange C:\Archivos de programa\Exchsrvr \server_name.log Microsoft Exchange SMTP Mailroot C:\Archivos de programa\Exchsrvr\Mailroot D-25 Manual del administrador de Worry-Free Business Security 8.0 Archivos de trabajo de Microsoft Exchange C:\Archivos de programa\Exchsrvr\MDBDATA Servicio de replicación de sitios C:\Archivos de programa\Exchsrvr\srsdata C:\Archivos de programa\Exchsrvr\conndata Exclusiones de IIS Archivos de sistema IIS C:\WINDOWS\system32\inetsrv Carpeta de compresión IIS C:\WINDOWS\IIS Temporary Compressed Files Exclusiones de controladores de dominio Archivos de base de datos de Active Directory C:\WINDOWS\NTDS SYSVOL C:\WINDOWS\SYSVOL Archivos de base de datos de NTFRS C:\WINDOWS\ntfrs Exclusiones de servicios de Windows SharePoint Carpeta temporal de SharePoint C:\windows\temp\FrontPageTempDir Exclusiones de la carpeta de escritorio del cliente Almacén de Windows Update C:\WINDOWS\SoftwareDistribution\DataStore Exclusiones adicionales Base de datos de almacenamiento extraíble (utilizada por SBS Backup) D-26 C:\Windows\system32\NtmsData Terminología del producto y conceptos Conector POP3 SBS de correo erróneo C:\Archivos de programa\Microsoft Windows Small Business Server\Networking \POP3\Failed Mail Conector POP3 SBS de correo entrante C:\Archivos de programa\Microsoft Windows Small Business Server\Networking \POP3\Incoming Mail Almacén de Windows Update C:\WINDOWS\SoftwareDistribution\DataStore Almacén de bases de datos DHCP C:\WINDOWS\system32\dhcp Almacén de bases de datos WINS C:\WINDOWS\system32\wins Revisión de seguridad Una revisión de seguridad se centra en problemas de seguridad que se puedan implementar en todos los clientes. Los parches de seguridad de Windows incluyen un programa de instalación, mientras que los parches que no son de Windows suelen disponer de una secuencia de comandos de instalación. Service Pack Un Service Pack es un conjunto de archivos hotfix, revisiones y mejoras funcionales suficientes para considerarse una actualización del producto. Tanto los Service Pack de Windows como los de otros fabricantes incluyen un programa y una secuencia de comandos de instalación. Puerto de troyano Los programas de caballos de Troya suelen utilizar puertos de troyanos para conectarse a un equipo. Durante una epidemia, el Security Agent bloquea los siguientes números de puerto que es posible que usen los programas troyanos. D-27 Manual del administrador de Worry-Free Business Security 8.0 TABLA D-10. Puertos de troyanos NÚMERO DE PUERTO D-28 PROGRAMA DE TROYA CABALLO DE NÚMERO DE PUERTO PROGRAMA DE TROYA CABALLO DE 23432 Asylum 31338 Net Spy 31337 Back Orifice 31339 Net Spy 18006 Back Orifice 2000 139 Nuker 12349 Bionet 44444 Prosiak 6667 Bionet 8012 Ptakks 80 Codered 7597 Qaz 21 DarkFTP 4000 RA 3150 Deep Throat 666 Ripper 2140 Deep Throat 1026 RSM 10048 Delf 64666 RSM 23 EliteWrap 22222 Rux 6969 GateCrash 11000 Senna Spy 7626 Gdoor 113 Shiver 10100 Gift 1001 Silencer 21544 Girl Friend 3131 SubSari 7777 GodMsg 1243 Sub Seven 6267 GW Girl 6711 Sub Seven 25 Jesrto 6776 Sub Seven 25685 Moon Pie 27374 Sub Seven 68 Mspy 6400 Thing 1120 Net Bus 12345 Valvo line Terminología del producto y conceptos NÚMERO DE PUERTO 7300 PROGRAMA DE TROYA CABALLO DE Net Spy NÚMERO DE PUERTO 1234 PROGRAMA DE TROYA CABALLO DE Valvo line Archivos que no se pueden limpiar En este tema se habla sobre archivos que los Security Agents y los Messaging Security Agents no pueden limpiar. Archivos que el Security Agent no puede limpiar El Security Agent no puede limpiar los archivos siguientes: TABLA D-11. Archivos que no se pueden limpiar ARCHIVO QUE NO SE PUEDE LIMPIAR Archivos infectados con troyanos EXPLICACIÓN Y SOLUCIÓN Los troyanos son programas que ejecutan acciones imprevistas o no autorizadas, por lo general malintencionadas como, por ejemplo, mostrar mensajes, eliminar archivos o formatear discos. Los troyanos no infectan los archivos, por lo que no es necesario limpiarlos. Solución: el Security Agent utiliza el motor de limpieza de virus y la plantilla de limpieza de virus para eliminar los troyanos. Archivos infectados con gusanos Un gusano informático es un programa (o conjunto de programas) completo capaz de propagar a otros equipos informáticos copias funcionales de sí mismo o de sus segmentos. La propagación suele efectuarse a través de conexiones de red o archivos adjuntos de correo electrónico. Los gusanos no se pueden limpiar porque el archivo en sí es un programa completo. Solución: Trend Micro recomienda eliminar los gusanos. Archivos protegidos contra escritura Solución: elimine la protección contra escritura para que el Security Agent pueda limpiar el archivo. D-29 Manual del administrador de Worry-Free Business Security 8.0 ARCHIVO QUE NO SE PUEDE LIMPIAR EXPLICACIÓN Y SOLUCIÓN Archivos protegidos mediante contraseña Incluye los archivos comprimidos o archivos de Microsoft Office protegidos mediante contraseña. Copia de seguridad de los archivos WFBS INI Los archivos con la extensión RB0~RB9 son copias de seguridad de los archivos infectados. El Security Agent crea una copia de seguridad del archivo infectado por si el virus/malware hubiera dañado el archivo original durante el proceso de limpieza. Solución: elimine la protección mediante contraseña para que el agente pueda limpiar los archivos. Solución: si el Security Agent consigue limpiar el archivo infectado correctamente, no es necesario conservar la copia de seguridad. Si el sistema funciona con normalidad, puede borrar tranquilamente el archivo. D-30 Terminología del producto y conceptos ARCHIVO QUE NO SE EXPLICACIÓN Y SOLUCIÓN PUEDE LIMPIAR Archivos infectados de la Papelera de reciclaje Si el sistema está en funcionamiento, es posible que el Security Agent no pueda eliminar los archivos infectados de la Papelera de reciclaje. Solución para Windows XP o Windows Server 2003 con un sistema de archivos NTFS: 1. Inicie sesión en el equipo con derechos de administrador. 2. Cierre todas las aplicaciones en ejecución para evitar que bloqueen el archivo, lo que podría impedir que Windows eliminara los archivos infectados. 3. En el símbolo del sistema, escriba lo siguiente para eliminar los archivos: cd \ cd recycled del *.* /S El último comando elimina todos los archivos de la Papelera de reciclaje. 4. Compruebe si se han eliminado los archivos. Solución para otros sistemas operativos distintos (o plataformas sin NTFS): 1. Reinicie el equipo en modo MS-DOS. 2. En el símbolo del sistema, escriba lo siguiente para eliminar los archivos: cd \ cd recycled del *.* /S El último comando elimina todos los archivos de la Papelera de reciclaje. D-31 Manual del administrador de Worry-Free Business Security 8.0 ARCHIVO QUE NO SE PUEDE LIMPIAR Archivos infectados de la carpeta temporal de Windows o de Internet Explorer D-32 EXPLICACIÓN Y SOLUCIÓN Es posible que el Security Agent no pueda limpiar los archivos infectados en la carpeta temporal de Windows o de Internet Explorer porque el equipo esté utilizando estos archivos. Los archivos que intenta limpiar pueden ser archivos temporales necesarios para el funcionamiento de Windows. Terminología del producto y conceptos ARCHIVO QUE NO SE EXPLICACIÓN Y SOLUCIÓN PUEDE LIMPIAR Solución para Windows XP o Windows Server 2003 con un sistema de archivos NTFS: 1. Inicie sesión en el equipo con derechos de administrador. 2. Cierre todas las aplicaciones en ejecución para evitar que bloqueen el archivo, lo que podría impedir que Windows eliminara los archivos infectados. 3. En caso de que el archivo infectado se encuentre en la carpeta temporal de Windows: a. Abra la línea de comandos y vaya a la carpeta temporal de Windows (ubicada de forma predeterminada en C: \Windows\Temp en el caso de equipos con Windows XP o Windows Server 2003). b. Escriba lo siguiente para eliminar los archivos: cd temp attrib -h del *.* /S El último comando elimina todos los archivos de la carpeta temporal de Windows. 4. En caso de que el archivo infectado se encuentre en la carpeta temporal de Internet Explorer: a. Abra el símbolo del sistema y vaya a la carpeta temporal de Internet Explorer (ubicada de forma predeterminada en C:\Documents and Settings\<su nombre de usuario>\Configuración local\Archivos temporales de Internet en el caso de los equipos con Windows XP o Server 2003). b. Escriba lo siguiente para eliminar los archivos: cd tempor~1 attrib -h del *.* /S El último comando elimina todos los archivos de la carpeta temporal de Internet Explorer. c. Compruebe si se han eliminado los archivos. D-33 Manual del administrador de Worry-Free Business Security 8.0 ARCHIVO QUE NO SE EXPLICACIÓN Y SOLUCIÓN PUEDE LIMPIAR Solución para otros sistemas operativos distintos (o plataformas sin NTFS): 1. Reinicie el equipo en modo MS-DOS. 2. En caso de que el archivo infectado se encuentre en la carpeta temporal de Windows: a. En la línea de comandos, desplácese a la carpeta temporal de Windows. La carpeta temporal predeterminada de Windows XP o Windows Server 2003 es C:\Windows\Temp. b. En el símbolo del sistema, escriba lo siguiente para eliminar los archivos: cd temp attrib -h del *.* /S El último comando elimina todos los archivos de la carpeta temporal de Windows. c. 3. Reinicie el equipo en modo normal. En caso de que el archivo infectado se encuentre en la carpeta temporal de Internet Explorer: a. En la línea de comandos, desplácese a la carpeta temporal de Internet Explorer. La carpeta temporal predeterminada de Internet Explorer en los sistemas Windows XP o Server 2003 es C:\\Documents and Settings\<su nombre de usuario>\Configuración local\Archivos temporales de Internet. b. Escriba los siguientes comandos: cd tempor~1 attrib –h del *.* /S El último comando elimina todos los archivos de la carpeta temporal de Internet Explorer. c. D-34 Reinicie el equipo en modo normal. Terminología del producto y conceptos ARCHIVO QUE NO SE PUEDE LIMPIAR EXPLICACIÓN Y SOLUCIÓN Archivos comprimidos con un formato de compresión no admitido Solución: descomprima los archivos. Archivos bloqueados o archivos actualmente en ejecución Solución: desbloquee los archivos o espere hasta que se hayan ejecutado. Archivos dañados Solución: borre los archivos. Archivos que Messaging Security Agent no puede limpiar (Advanced solo) Cuando el Messaging Security Agent no puede limpiar correctamente un archivo, lo clasifica como archivo que no se puede limpiar y ejecuta la acción configurada por el usuario para este tipo de archivos. La acción predeterminada es Eliminar todo el mensaje. Messaging Security Agent registra todos los eventos de virus y las acciones asociadas en el archivo de registro. Algunos motivos habituales por los que Messaging Security Agent no puede realizar la acción Limpiar son: • El archivo contiene un troyano, gusano u otro código malicioso. Para impedir que un archivo ejecutable se ejecute, Messaging Security Agent debe eliminarlo por completo. • Messaging Security Agent no admite todos los formatos de compresión. El motor de exploración solo limpia los archivos comprimidos con pkzip y solo cuando la infección se encuentra en la primera capa de compresión. • Un problema inesperado evita que Messaging Security Agent pueda limpiar, por ejemplo: • El directorio temporal que actúa como almacén de los archivos que deben limpiarse está lleno. D-35 Manual del administrador de Worry-Free Business Security 8.0 D-36 • El archivo está bloqueado o se está ejecutando actualmente. • El archivo está dañado. • El archivo está protegido mediante contraseña. Índice A acciones de exploración spyware/grayware, 7-16 ActiveAction, 7-17 actualización del servidor actualización manual, 8-13 actualización programada, 8-14 Duplicación de componentes, 8-11 Agente de actualización, 3-5 archivos cifrados, 14-9 Archivos Hotfix, 8-9 archivos sospechosos, C-4 ARP en conflicto, D-4 Ataque con fragmentos pequeños, D-5 Ataque LAND, D-5 AutoPcc.exe, 3-9, 3-10, 3-13, 3-14 B Base de conocimientos, C-2 C Centro de información de seguridad, C-4 Client Packager, 3-10, 3-15, 3-17 configuración, 3-16 implementación, 3-18 Código malicioso ActiveX, 1-10 Código malicioso Java, 1-10 Compatibilidad con IPv6, B-2 limitaciones, B-4, B-5 visualización de direcciones IPv6, B-7 componentes, 8-4 configuración de DHCP, 3-27 Configuración de inicio de sesión, 3-9, 3-10, 3-13, 3-14 Consola Web, 2-4, 2-5 acerca de, 2-4 requisitos, 2-5 Controlador de la supervisión de comportamiento, 8-8 Controlador del cortafuegos habitual, 8-8 Cortafuegos ventajas, 5-11 D Damage Cleanup Services, 3-4 Desbordamiento SYN, D-5 desinstalación uso del programa de desinstalación, 3-45 Detección de rootkits, 8-8 directorio de cuarentena, 5-31, 14-10 documentación, xiv Duplicación de componentes, 8-11 E Enciclopedia de virus, 1-9 Evaluación de la documentación, C-6 exploración convencional, 5-4, 5-5 Exploración de spyware/grayware acciones, 7-16 F file reputation, 1-4 Fragmento demasiado grande, D-4 funciones nuevas, 1-2 G Gusanos, 1-11 H Herramienta de diagnóstico de casos, C-3 IN-1 Manual del administrador de Worry-Free Business Security 8.0 I IDS, D-4 IGMP fragmentado, D-5 Infector de archivos COM, 1-10 Infector de archivos EXE, 1-10 instalación del cliente Client Packager, 3-15 Configuración de inicio de sesión, 3-13 desde la consola Web, 3-19 mediante Vulnerability Scanner, 3-23 instalación remota, 3-9 M método de exploración, 3-16 Métodos de instalación del Security Agent, 3-8 motor de Damage Cleanup, 8-7 Motor de exploración antispyware, 8-7 Motor de exploración antivirus, 8-5 P packer, 1-11 página Web de instalación, 3-8, 3-9 Patrón de aplicación de políticas, 8-9 Patrón de configuración de la supervisión de comportamiento, 8-8 Patrón de detección de la supervisión de comportamiento, 8-8 Patrón de excepciones de IntelliTrap, 8-7 Patrón de firmas digitales, 8-9 Patrón de IntelliTrap, 8-7 Patrón del cortafuegos habitual, 1-10 Patrón de spyware, 8-7 patrón de virus, 8-15 Patrón de virus, 8-6 patrones incrementales, 8-11 Ping de la muerte, D-4 IN-2 Plantilla de limpieza de virus, 8-7 Plug-in Manager, 3-5 ponerse en contacto, C-2–C-6 Base de conocimientos, C-2 enviar archivos sospechosos, C-4 Evaluación de la documentación, C-6 servicio de asistencia técnica, C-2 Trend Micro, C-2–C-5 probable virus/malware, 1-9 Programa de broma, 1-9 Programa de caballo de Troya, 1-10, 8-7 programas, 8-4 protección de los dispositivos externos, 8-8 protección inteligente, 1-4 Servicios de File Reputation, 1-4 Servicios de Reputación Web, 1-4 Smart Protection Network, 1-4 R reputación Web, 1-4, 3-4 Revisiones, 8-9 Revisiones de seguridad, 8-9 riesgos de seguridad, 1-11, 1-12 spyware/grayware, 1-11, 1-12 S Secuencia de comandos de prueba EICAR, 1-11 Servicio básico de la supervisión de comportamiento, 8-8 servicio de asistencia técnica, C-2 Sistema de detección de intrusiones, D-4 Smart Protection Network, 1-4 smart scan, 5-4, 5-5 Solapamiento de fragmentos, D-5 spyware/grayware, 1-11, 1-12 adware, 1-12 Índice aplicaciones de robo de contraseñas, 1-12 herramienta de acceso remoto, 1-12 herramientas de piratería, 1-12 programas de broma, 1-12 programas de marcación, 1-12 spyware, 1-11 T tareas previas a la instalación, 3-11, 3-20, 3-24 Teardrop, D-5 tipos de exploración, 3-4 TrendLabs, C-5 Trend Micro Base de conocimientos, C-2 Centro de información de seguridad, Virus de prueba, 1-11 virus de red, 1-10, 5-11 Virus de sector de arranque, 1-10 Virus HTML, 1-11 Virus JavaScript, 1-11 Virus VBScript, 1-11 Vulnerability Scanner, 3-10, 3-23 configuración de DHCP, 3-27 configuración del comando ping, 3-35 recuperación de la descripción del equipo, 3-33 W WFBS componentes, 8-4 documentación, xiv C-4 información de contacto, C-4 TrendLabs, C-5 V virus/malware, 1-9–1-11 Código malicioso ActiveX, 1-10 Código malicioso Java, 1-10 Gusanos, 1-11 infector de archivos COM y EXE, 1-10 packer, 1-11 probable virus/malware, 1-9 Programa de broma, 1-9 Programa de caballo de Troya, 1-10 tipos, 1-9–1-11 Virus de macro, 1-10 Virus de prueba, 1-11 Virus de sector de arranque, 1-10 Virus de VBScript, JavaScript o HTML, 1-11 Virus de macro, 1-10 IN-3