Worry-Free™ p

Transcripción

Worry-Free™ p

Ediciones Advanced y Standard de
Worry-Free
™
Business Security
Manual del administrador
Securing Your Journey to the Cloud
pc
Protección
en Internet
ws
Seguridad
de Internet
Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento
y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a
utilizar el software, consulte los archivos Léame, las notas de la versión y la última
versión de la correspondiente información para el usuario, documentación que
encontrará disponible en el sitio Web de Trend Micro en:
http://docs.trendmicro.com/es-es/smb/worry-free-business-security.aspx
Trend Micro, el logotipo en forma de pelota de Trend Micro, TrendProtect,
TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan y ScanMail
son marcas registradas o marcas comerciales de Trend Micro Incorporated. El resto de
nombres de productos o empresas pueden ser marcas comerciales o marcas comerciales
registradas de sus respectivos propietarios.
Copyright© 2014 Trend Micro Incorporated. Reservados todos los derechos.
Nº de documento: WFSM96274/140108
Fecha de publicación: Enero 2014
Protegido por las patentes de Estados Unidos: 5 951 698 y 7 188 369
La documentación para el usuario de Trend Micro Worry-Free Business Security incluye
las principales funciones del software y las instrucciones de instalación específicas del
entorno de producción. Léala antes de instalar o utilizar el software.
También encontrará información pormenorizada sobre cómo utilizar funciones
específicas del software en el archivo de ayuda en línea y en la Base de conocimientos en
línea del sitio Web de Trend Micro.
Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda,
comentario o sugerencia con relación a los documentos de Trend Micro, póngase en
contacto con nosotros a través del correo electrónico [email protected].
Podrá obtener y valorar la documentación en el siguiente sitio Web:
http://www.trendmicro.com/download/documentation/rating.asp
Tabla de contenidos
Prefacio
Prefacio ............................................................................................................... xi
Documentación de Worry-Free Business Security ..................................... xii
Destinatarios ..................................................................................................... xii
Convenciones del documento ....................................................................... xiii
Capítulo 1: Introducción a Worry-Free Business Security
Standard y Advanced
Información general sobre Trend Micro Worry-Free Business Security 1-2
Novedades de esta versión ............................................................................ 1-2
Funciones y ventajas principales .................................................................. 1-4
Red de Protección Inteligente de Trend Micro ................................. 1-4
Servicios de File Reputation ................................................................. 1-5
Servicios de Reputación Web ............................................................... 1-5
Email Reputation (Advanced solo) ...................................................... 1-6
Comentarios inteligentes ....................................................................... 1-7
Filtrado de URL ...................................................................................... 1-8
Ventajas de la protección ............................................................................... 1-8
Descripción de las amenazas ........................................................................ 1-9
Virus y malware ...................................................................................... 1-9
Spyware y grayware .............................................................................. 1-11
Spam ....................................................................................................... 1-12
Intrusiones ............................................................................................. 1-13
Comportamiento malicioso ................................................................ 1-13
Puntos de acceso falsos ....................................................................... 1-13
Incidentes de phishing ......................................................................... 1-13
Ataques de correo masivo ................................................................... 1-14
Amenazas Web ..................................................................................... 1-15
i
Guía del administrador de Worry-Free Business Security 9.0
Capítulo 2: Introducción
Red de Worry-Free Business Security ......................................................... 2-2
Security Server ................................................................................................. 2-2
Servidor de exploración ......................................................................... 2-2
Agentes ............................................................................................................. 2-4
Consola Web ................................................................................................... 2-4
Abrir la consola Web ............................................................................. 2-5
Navegación por la consola Web ........................................................... 2-8
Iconos de la consola Web ................................................................... 2-11
Estado de actividad .............................................................................. 2-12
Capítulo 3: Instalar agentes
Instalación del Security Agent ...................................................................... 3-2
Requisitos de instalación del Security Agent ...................................... 3-2
Consideraciones sobre la instalación del Security Agent .................. 3-2
Funciones disponibles del Security Agent .......................................... 3-3
Instalación del Security Agent y compatibilidad con IPv6 .............. 3-6
Métodos de instalación del Security Agent ................................................. 3-8
Instalar desde la página Web interna ................................................. 3-11
Instalar con Configuración de secuencia de comandos de inicio de
sesión ...................................................................................................... 3-13
Instalar con Client Packager ............................................................... 3-15
Instalar con Instalación remota .......................................................... 3-19
Instalar con Vulnerability Scanner ..................................................... 3-23
Instalar mediante notificación por correo electrónico ................... 3-36
Migrar al Security Agent ...................................................................... 3-37
Realizar tareas posteriores a la instalación en los Security Agents 3-38
Instalación de Messaging Security Agent .................................................. 3-40
Requisitos de instalación del Messaging Security Agent ................ 3-40
Instalar el Messaging Security Agent (Advanced solo) ................... 3-41
Eliminar agentes ........................................................................................... 3-42
Eliminar agentes desde la consola Web ............................................ 3-43
Desinstalar agentes desde la consola Web ........................................ 3-44
Desinstalar el Security Agent desde el cliente .................................. 3-45
ii
Tabla de contenidos
Usar la herramienta de desinstalación de SA ................................... 3-46
Desinstalación del Messaging Security Agent desde el servidor
Microsoft Exchange (Advanced solo) ............................................... 3-48
Capítulo 4: Gestionar grupos
Grupos .............................................................................................................. 4-2
Agregar grupos .............................................................................................. 4-10
Agregar agentes a grupos ............................................................................. 4-11
Mover agentes ............................................................................................... 4-12
Mover Security Agents entre grupos ................................................. 4-13
Mover agentes entre Security Servers usando la consola Web ...... 4-14
Mover un Security Agent entre Security Servers usando Client Mover
.................................................................................................................. 4-15
Replicar configuración ................................................................................. 4-17
Replicar configuraciones de grupo de Security Agents .................. 4-17
Replicar configuraciones del Messaging Security Agent (Advanced
solo) ........................................................................................................ 4-18
Importar y exportar la configuración de grupos de Security Agents .... 4-19
Exportar configuración ....................................................................... 4-22
Importar configuración ....................................................................... 4-22
Capítulo 5: Gestionar la configuración de seguridad básica
para los Security Agents
Resumen de la configuración de seguridad básica para los Security Agents
............................................................................................................................ 5-2
Métodos de exploración ................................................................................ 5-3
Configurar los métodos de exploración .............................................. 5-5
Exploración en tiempo real para los Security Agents ............................... 5-8
Configurar la exploración en tiempo real para los Security Agents
.................................................................................................................... 5-8
Firewall ............................................................................................................. 5-9
Configurar el cortafuegos .................................................................... 5-11
Trabajar con las excepciones del cortafuegos .................................. 5-13
iii
Desactivar el cortafuegos en un grupo de agentes .......................... 5-16
Desactivar el cortafuegos en todos los agentes ............................... 5-16
Reputación Web ........................................................................................... 5-16
Configurar la reputación Web para los Security Agents ................ 5-18
Filtrado de URL ............................................................................................ 5-19
Configuración del filtrado de URL .................................................... 5-19
URL aprobadas/bloqueadas ....................................................................... 5-20
Configurar las URL permitidas/bloqueadas .................................... 5-21
Supervisión del comportamiento ............................................................... 5-21
Configurar la supervisión del comportamiento ............................... 5-22
Programa de confianza ................................................................................ 5-25
Configurar programas de confianza .................................................. 5-25
Control del dispositivo ................................................................................ 5-26
Configurar el control de los dispositivos .......................................... 5-26
Herramientas del usuario ............................................................................. 5-28
Configurar las herramientas de usuario ............................................ 5-28
Derechos del cliente ..................................................................................... 5-29
Configurar los derechos del cliente ................................................... 5-29
Directorio de cuarentena ............................................................................. 5-31
Configurar el directorio de cuarentena ............................................. 5-34
Capítulo 6: Gestionar la configuración de seguridad básica
para los Messaging Security Agents (Advanced solo)
Messaging Security Agents ............................................................................ 6-2
Cómo explora Messaging Security Agent los mensajes de correo
electrónico ............................................................................................... 6-3
Configuración predeterminada de Messaging Security Agent ......... 6-4
Exploración en tiempo real para los Messaging Security Agents ............ 6-5
Configurar la exploración en tiempo real para Messaging Security
Agent ........................................................................................................ 6-6
Antispam .......................................................................................................... 6-6
Email Reputation .................................................................................... 6-7
Exploración del contenido .................................................................... 6-9
iv
Tabla de contenidos
Filtrado de contenido ................................................................................... 6-15
Gestionar las reglas del filtrado de contenidos ................................ 6-16
Tipos de reglas para filtrar contenidos .............................................. 6-20
Agregar reglas de filtrado de contenidos para la coincidencia con
todas las condiciones ........................................................................... 6-21
Agregar reglas de filtrado de contenidos para la coincidencia con
cualquier condición .............................................................................. 6-24
Agregar reglas de supervisión para el filtrado de contenido .......... 6-27
Crear excepciones para las reglas de filtrado de contenidos .......... 6-30
Prevención de pérdida de datos ................................................................. 6-31
Tareas de preparación .......................................................................... 6-32
Gestionar reglas de prevención de pérdida de datos ...................... 6-33
Reglas de prevención de pérdida de datos predeterminadas ......... 6-40
Agregar reglas de prevención de pérdida de datos .......................... 6-41
Bloqueo de archivos adjuntos ..................................................................... 6-47
Configurar el bloqueo de archivos adjuntos .................................... 6-47
Reputación Web ........................................................................................... 6-50
Configurar la reputación Web para los Messaging Security Agents
.................................................................................................................. 6-52
Mobile Security .............................................................................................
Compatibilidad de Mobile Security ...................................................
Configurar el control de acceso a dispositivos ................................
Cancelar un borrado de dispositivo pendiente ................................
Borrar dispositivos manualmente ......................................................
Configurar políticas de seguridad ......................................................
6-54
6-54
6-55
6-57
6-57
6-58
Cuarentena para los Messaging Security Agents ...................................... 6-64
Consultar directorios de cuarentena .................................................. 6-65
Ver resultados de las consultas y realizar acciones .......................... 6-67
Mantener directorios de cuarentena .................................................. 6-69
Configurar directorios de cuarentena ................................................ 6-70
Configuración de notificaciones para los Messaging Security Agents .. 6-71
Definir configuraciones de notificación para los Messaging Security
Agents .................................................................................................... 6-72
Configurar el mantenimiento del spam ..................................................... 6-73
Gestionar End User Quarantine ........................................................ 6-75
v
Depurador y asistencia de Trend Micro .................................................... 6-77
Generar informes del depurador del sistema ................................... 6-77
Supervisor en tiempo real ............................................................................ 6-78
Usar un supervisor en tiempo real ..................................................... 6-79
Agregar una renuncia de responsabilidad a los mensajes de correo
electrónico salientes ...................................................................................... 6-79
Capítulo 7: Gestionar las exploraciones
Acerca de las exploraciones .......................................................................... 7-2
Exploración en tiempo real ........................................................................... 7-2
Exploración manual ....................................................................................... 7-3
Ejecutar exploraciones manuales ......................................................... 7-4
Exploración programada ............................................................................... 7-7
Configurar exploraciones programadas .............................................. 7-7
Explorar destinos y acciones para los Security Agents ........................... 7-11
Explorar destinos y acciones para los Messaging Security Agents ....... 7-19
Capítulo 8: Administrar las actualizaciones
Información general sobre actualizaciones ................................................. 8-2
Componentes que se pueden actualizar ...................................................... 8-4
Archivos Hotfix, parches y Service Packs ........................................ 8-10
Actualizaciones del Security Server ............................................................ 8-11
Configurar la fuente de actualización del Security Server .............. 8-13
Actualizar manualmente el Security Server ...................................... 8-14
Configuración de actualizaciones programadas para el Security
Server ...................................................................................................... 8-15
Recuperación de componentes .......................................................... 8-16
Actualizaciones del Security Agent y el Messaging Security Agent ...... 8-17
Agentes de actualización .............................................................................. 8-18
Configurar agentes de actualización .................................................. 8-21
vi
Tabla de contenidos
Capítulo 9: Gestionar las notificaciones
Notificaciones ................................................................................................. 9-2
Configurar sucesos de notificaciones .......................................................... 9-3
Variables de símbolo .............................................................................. 9-4
Capítulo 10: Utilizar la función Defensa frente a epidemias
Estrategia de la defensa frente a epidemias .............................................. 10-2
Configurar la defensa frente a epidemias .......................................... 10-2
Estado actual de Defensa frente a epidemias .................................. 10-4
Valoración de vulnerabilidades ................................................................... 10-4
Configurar la valoración de vulnerabilidades ................................... 10-5
Ejecutar valoraciones de vulnerabilidades bajo petición ................ 10-6
Damage Cleanup ........................................................................................... 10-7
Ejecutar limpieza bajo petición .......................................................... 10-7
Capítulo 11: Administrar la configuración general
Configuración general .................................................................................. 11-2
Configurar el proxy de Internet .................................................................. 11-3
Definir la configuración del servidor SMTP ............................................ 11-4
Definir la configuración de los equipos de sobremesa/servidores ....... 11-5
Definir la configuración de sistemas ....................................................... 11-11
Capítulo 12: Usar los registros y los informes
Registros ......................................................................................................... 12-2
Utilizar la consulta al registro ............................................................. 12-4
Informes ......................................................................................................... 12-5
Uso de informes puntuales ................................................................. 12-6
Trabajar con informes programados ................................................. 12-7
Interpretar informes ........................................................................... 12-12
Realizar tareas de mantenimiento para informes y registros ............... 12-15
vii
Capítulo 13: Realizar tareas administrativas
Cambiar la contraseña de la consola Web ................................................ 13-2
Trabajar con Plug-in Manager .................................................................... 13-2
Gestionar la licencia del producto ............................................................. 13-3
Participar en el programa Smart Feedback ............................................... 13-5
Cambiar el idioma de la interfaz del agente .............................................. 13-5
Guardar y restaurar la configuración del programa ................................ 13-6
Desinstalar Security Server .......................................................................... 13-8
Capítulo 14: Usar las herramientas de gestión
Tipos de herramientas .................................................................................. 14-2
Instalar el Trend Micro Worry-Free Remote Manager Agent ............... 14-4
Ahorrar espacio en disco ............................................................................. 14-6
Ejecutar Disk Cleaner en el Security Server ..................................... 14-6
Ejecutar Disk Cleaner en el Security Server mediante la interfaz de
línea de comandos ................................................................................ 14-7
Ahorrar espacio de disco en los clientes ........................................... 14-8
Desplazamiento de la base de datos de Scan Server ............................... 14-9
Restaurar archivos cifrados ......................................................................... 14-9
Descifrar y restaurar archivos en el Security Agent ...................... 14-11
Descifrar y restaurar archivos en el Security Server, el directorio de
cuarentena personalizado o el Messaging Security Agent ............ 14-12
Restaurar mensajes con formato de transporte por encapsulación
neutral .................................................................................................. 14-13
Utilizar la herramienta ReGenID ............................................................. 14-14
Gestionar los complementos de SBS y EBS .......................................... 14-15
Instalar manualmente los complementos de SBS y EBS ............. 14-15
Usar los complementos de SBS o EBS ........................................... 14-15
Apéndice A: Iconos del Security Agent
Comprobar el estado del Security Agent .................................................... A-2
viii
Tabla de contenidos
Ver los iconos del Security Agent en la barra de tareas de Windows .... A-4
Acceder a la ventana emergente de la consola .......................................... A-5
Apéndice B: Compatibilidad con IPv6 en Worry-Free
Business Security
Compatibilidad con IPv6 en Worry-Free Business Security ................... B-2
Requisitos del Security Server IPv6 .................................................... B-2
Requisitos del Security Agent ............................................................... B-3
Requisitos del Messaging Security Agent ........................................... B-3
Limitaciones de los servidores que solo utilizan IPv6 ..................... B-4
Limitaciones de los agentes que solo utilizan IPv6 .......................... B-5
Configuración de direcciones IPv6 ............................................................. B-6
Pantallas que muestran direcciones IP ........................................................ B-7
Apéndice C: Obtener ayuda
La Base de conocimientos de Trend Micro ............................................... C-2
Ponerse en contacto con el equipo de asistencia técnica ......................... C-2
Herramienta de diagnóstico de casos ................................................. C-3
Agilizar la llamada al servicio de asistencia ........................................ C-3
Información de contacto .............................................................................. C-4
Enviar archivos sospechosos a Trend Micro ............................................ C-4
Centro de información de seguridad ........................................................... C-4
TrendLabs ....................................................................................................... C-5
Evaluación de la documentación ................................................................. C-5
Apéndice D: Terminología del producto y conceptos
Revisión .......................................................................................................... D-2
IntelliScan ....................................................................................................... D-2
IntelliTrap ....................................................................................................... D-3
Sistema de detección de intrusiones ........................................................... D-4
Palabras clave ................................................................................................. D-5
ix
Parche ............................................................................................................ D-10
Expresiones regulares ................................................................................. D-11
Listas de exclusión de la exploración ....................................................... D-20
Revisión de seguridad ................................................................................. D-27
Service Pack ................................................................................................. D-27
Puerto de troyano ........................................................................................ D-27
Archivos que no se pueden limpiar .......................................................... D-29
Índice
Índice ............................................................................................................. IN-1
x
Prefacio
Prefacio
Le damos la bienvenida al Manual del administrador de Trend Micro™ Worry-Free™
Business Security. Este documento contiene información introductoria, procedimientos
para instalar agentes e instrucciones para la gestión de los agentes y del Security Server.
xi
Documentación de Worry-Free Business
Security
La documentación de Worry-Free Business Security consta de lo siguiente:
TABLA 1. Documentación de Worry-Free Business Security
DOCUMENTACIÓN
DESCRIPCIÓN
Manual de
instalación y
actualización
Documento PDF que contiene los requisitos y procedimientos de
instalación del Security Server y de actualización del servidor y de
los agentes.
Manual del
administrador
Documento PDF que contiene información introductoria,
procedimientos de instalación de clientes e instrucciones para
gestionar los agentes y el Security Server.
Ayuda
Los archivos HTML compilados en formato WebHelp o CHM que
proporcionan información sobre procedimientos, consejos de uso e
información específica de los campos.
Archivo Léame
contiene una lista de los problemas conocidos y los pasos básicos
para la instalación. También puede contener la información más
reciente del producto, no disponible en la documentación impresa o
en la Ayuda.
Base de
conocimientos
Una base de datos en línea con información sobre la resolución de
problemas. Incluye la información más reciente acerca de los
problemas conocidos de los productos. Para acceder a la Base de
conocimientos, vaya al siguiente sitio Web:
http://esupport.trendmicro.com/en-us/business/default.aspx
Descargue la versión más reciente de los documentos en PDF y del archivo Léame en:
Destinatarios
La documentación de Worry-Free Business Security tiene como destinatarios a los
siguientes usuarios:
xii
Prefacio
•
Administradores de seguridad: responsables de la gestión de Worry-Free
Business Security, incluida la gestión y la instalación del agente y del Security
Server. Estos usuarios deberán tener conocimientos avanzados sobre la
administración de redes y servidores.
•
Usuarios finales: usuarios que tienen instalado en sus equipos el Security Agent.
El nivel de conocimientos informáticos de estos individuos abarca desde
principiantes hasta usuarios avanzados.
Convenciones del documento
Para facilitar la localización y la interpretación de la información con facilidad, la
documentación de Worry-Free Business Security utiliza las siguientes convenciones:
TABLA 2. Convenciones del documento
CONVENCIÓN
DESCRIPCIÓN
TODO EN
MAYÚSCULAS
Acrónimos, abreviaciones y nombres de determinados
comandos y teclas del teclado
Negrita
Menús y opciones de menú, botones de comandos,
pestañas, opciones y tareas
Cursiva
Referencias a componentes de otra documentación o nuevas
tecnologías
<Text>
Indica que el texto dentro de los corchetes deberá sustituirse
por datos reales. Por ejemplo, C:\Archivos de programa
\<file_name> puede ser C:\Archivos de programa
\sample.jpg.
Nota
Consejo
Ofrece notas o recomendaciones sobre la configuración
Ofrece información sobre prácticas recomendadas y
recomendaciones de Trend Micro
xiii
CONVENCIÓN
¡ADVERTENCIA!
xiv
DESCRIPCIÓN
Ofrece advertencias sobre actividades que pueden dañar los
equipos de la red
Capítulo 1
Introducción a Worry-Free™
Business Security Standard y
Advanced
En este capítulo se ofrece información general sobre Worry-Free Business Security
(WFBS).
1-1
Información general sobre Trend Micro WorryFree Business Security
Trend Micro Worry-Free Business Security (WFBS) protege a los usuarios y activos de
las pequeñas empresas frente al robo de datos, la sustracción de identidades, los sitios
Web peligrosos y el spam (Advanced solo).
Este documento ofrece información sobre las versiones Standard y Advanced de WFBS.
Las secciones y los capítulos correspondientes solo a la versión Advanced aparecen
marcados como "(Advanced solo)".
Con la tecnología de Trend Micro Smart Protection Network, WFBS es:
•
Más seguro: evita que los virus, el spyware, el spam (Advanced solo) y las
amenazas Web lleguen a los clientes. El filtrado de URL bloquea el acceso a los
sitios Web peligrosos y contribuye a mejorar la productividad del usuario.
•
Más inteligente: la exploración rápida y las continuas actualizaciones evitan
nuevas amenazas, con un impacto mínimo en los clientes.
•
Más fácil: con una instalación sencilla y sin requisitos de administración, WFBS
detecta amenazas de forma más efectiva, para que pueda centrarse en su negocio
sin preocuparse por la seguridad.
Novedades de esta versión
Worry-Free Business Security ofrece las siguientes mejoras y nuevas características:
•
Compatibilidad con Microsoft Exchange: WFBS ya es compatible con
Microsoft Exchange Server 2010 SP3 y Microsoft Exchange Server 2013.
•
Compatibilidad de Windows: WFBS ya es compatible con Microsoft Windows
8.1 y Windows Server 2012 R2.
•
Seguridad de los dispositivos móviles: WFBS Advanced ya es compatible con el
control de acceso y la protección de datos de dispositivos móviles. La seguridad de
dispositivos móviles incluye las siguientes funciones:
•
1-2
Control de acceso a dispositivos
Introducción a Worry-Free Business Security Standard y Advanced
•
•
Permitir acceso al servidor de Exchange en función del usuario, el
sistema operativo o el cliente de correo electrónico
•
Especificar el acceso otorgado a componentes de buzón de correo
determinados
Administración de dispositivos
•
Realizar un borrado en dispositivos robados o extraviados
•
Aplicar la configuración de seguridad a usuarios específicos, incluido:
•
Requisitos de seguridad de la contraseña
•
Bloqueo automático de dispositivo después de permanecer inactivo
•
Cifrado
•
Purga de datos de inicio de sesión incorrecta
•
Mejora en el código de activación: Compatibilidad con el código de activación
de postpago.
•
Mejoras en la detección:
•
•
•
Exploración de memoria mejorada para exploración en tiempo real
•
Modo de amenazas conocidas y potenciales para supervisión de
comportamiento
•
Prevención de explotación del explorador
•
Detección de descarga de programas recién encontrados
Mejoras en el rendimiento:
•
Hora de instalación y desinstalación de Security Agent
•
Exploración retardada para la exploración en tiempo real
Mayor facilidad de uso
•
Listas globales y de grupo de permitidos y bloqueados para Reputación Web y
Filtrado de URL
1-3
•
Lista de excepciones de IP para Reputación Web y Filtrado de URL en
Configuración general
•
Eliminación de ActiveX del árbol de clientes y de la página de instalación
remota
•
Defensa frente a epidemias personalizada
•
Compatibilidad de la barra de herramientas antispam de Trend Micro con
Outlook 2013 y Windows Live Mail 2012
•
Agente de actualización para actualizar Trend Micro ActiveUpdate
exclusivamente
•
Detener actualización del servidor
•
Conservación de los patrones al actualizar servidores y agentes
•
Registros de virus de origen de la infección y enlace de ayuda
Funciones y ventajas principales
Worry-Free Business Security proporciona las funciones y ventajas siguientes:
Red de Protección Inteligente de™ Trend Micro™
Trend Micro™ Smart Protection Network™ es una infraestructura de seguridad de
contenidos de clientes por Internet de próxima generación diseñada para proteger a los
clientes de los riesgos de seguridad y las amenazas Web. Cuenta con soluciones tanto
locales como alojadas por Trend Micro para proteger a los usuarios, independientemente
de si se encuentran en la red, en casa o en movimiento. Smart Protection Network
utiliza clientes ligeros para acceder a la correlación única de correo electrónico en la red
y a las tecnologías File Reputation y de reputación Web, así como a las bases de datos de
amenazas. La protección de los clientes se actualiza automáticamente y se refuerza a
medida que van accediendo a la red más productos, servicios y usuarios, creando un
servicio de protección de supervisión de entorno en tiempo real.
Para obtener más información sobre Smart Protection Network, visite el sitio:
1-4
http://es.trendmicro.com/es/technology/smart-protection-network/
Servicios de File Reputation
Los Servicios de File Reputation comprueban la reputación de cada archivo en una
extensa base de datos en la nube. Dado que la información acerca del malware se
almacena en Internet, al instante está disponible para todos los usuarios. Las redes de
contenido de alto rendimiento y los servidores en caché local aseguran una demora
mínima durante el proceso de comprobación. La arquitectura Internet-cliente ofrece una
protección más inmediata, y elimina la carga de la instalación de archivos de patrones,
reduciendo además el impacto general del cliente.
Los Security Agents se deben encontrar en el modo smart scan para utilizar los Servicios
de File Reputation. Estos agentes se denominan agentes de smart scan en este
documento. Los agentes que no se encuentran en el modo de Smart Scan no utilizan los
Servicios de File Reputation y se denominan agentes de exploración convencional.
Los administradores de Worry-Free Business Security pueden configurar todos los
agentes (o varios de ellos) en este modo.
Servicios de Reputación Web
Con una de las bases de datos de dominios y reputaciones más grandes del mundo, la
tecnología de reputación Web de Trend Micro realiza un seguimiento de la credibilidad
de los dominios Web mediante la asignación de un resultado de reputación basado en
factores como la antigüedad del sitio Web, los cambios en la ubicación histórica y las
indicaciones de actividades sospechosas descubiertas mediante el análisis de
comportamientos malintencionados. A continuación el sistema de reputación Web
seguirá con la exploración de los sitios y el bloqueo del acceso de los usuarios a los sitios
infectados. Las funciones de la reputación Web garantizan que las páginas a las que
accede el usuario son seguras y no contienen amenazas Web, como malware, spyware y
fraudes de phishing que tienen como objetivo engañar al usuario para que proporcione
información personal. Para aumentar la precisión y reducir los falsos positivos, la
tecnología de reputación Web de Trend Micro asigna puntuaciones de reputación a
páginas específicas dentro de los sitios en lugar de clasificar o bloquear sitios completos,
ya que a veces son sólo partes de estos los que están afectados y las reputaciones pueden
cambiar de forma dinámica con el tiempo.
1-5
Los agentes sujetos a políticas de reputación Web utilizan los Servicios de reputación
Web. Los administradores de Worry-Free Business Security pueden someter a estas
políticas a todos los agentes o solo a algunos de ellos.
Email Reputation (Advanced solo)
La tecnología de reputación de correo electrónico de Trend Micro valida las direcciones
IP y las comprueba en una base de datos de reputación que contiene emisores de spam
conocidos, mediante un servicio dinámico que puede valorar la reputación del emisor de
correo electrónico en tiempo real. Las clasificaciones se redefinen mediante análisis
continuos del "comportamiento" de las direcciones IP, del ámbito de actividad y del
historial anterior. Los mensajes de correo maliciosos se bloquean en Internet según la
dirección IP del remitente, y así se evita que amenazas como las redes zombi o los
programas robot lleguen a la red o al equipo del usuario.
La tecnología Email Reputation identifica si un correo es spam en función de la
reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera parte del
trabajo que es responsabilidad del Security Server. Cuando Email Reputation está
activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP
entrante para discernir si la dirección IP original está limpia o si, por el contrario, está
incluida en alguna lista negra como un vector de spam conocido.
Email Reputation consta de dos niveles de servicio:
•
Estándar: El servicio Estándar utiliza una base de datos que rastrea la reputación
de unos dos billones de direcciones IP. Las direcciones IP que constantemente
están asociadas a la entrega de mensajes de spam se agregan a la base de datos y
casi siempre permanecen en ella.
•
Avanzado: El nivel de servicio Avanzado es un servicio DNS basado en consultas
igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos
de reputaciones estándar junto con la base de datos de reputaciones en tiempo real
dinámica que bloquea los mensajes procedentes de orígenes sospechosos o
conocidos de spam.
Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP
bloqueada o sospechosa, Email Reputation Services (ERS) la detiene antes de que
alcance la infraestructura de mensajería del destinatario. Si ERS bloquea los mensajes de
1-6
correo electrónico de una dirección IP que el destinatario piensa que es segura, agregue
dicha dirección IP a la lista de direcciones IP permitidas.
Comentarios inteligentes
Trend Micro Smart Feedback proporciona una comunicación continua entre los
productos Trend Micro y los centros de investigación de amenazas y sus tecnologías,
que ofrecen asistencia 24 horas al día, los 7 días de la semana. Cada nueva amenaza
identificada mediante cada una de las verificaciones rutinarias de la reputación del cliente
actualiza automáticamente todas las bases de datos de amenazas de Trend Micro, lo que
bloquea cualquier encuentro posterior del cliente con dicha amenaza.
Mediante el procesamiento continuo de la inteligencia de la amenaza, recopilada a través
de su extensa red global de clientes y socios, Trend Micro ofrece protección automática
en tiempo real frente a las amenazas más recientes y proporciona la seguridad "mejor
juntos", esto es como un tipo de vigilancia vecinal automatizado que involucra a la
comunidad en la protección de los demás. La privacidad de la información personal o
empresarial de un cliente está siempre protegida ya que la información recopilada sobre
las amenazas está basada en la reputación de la fuente de comunicación, no en el
contenido de la comunicación específica.
Ejemplos de la información enviada a Trend Micro son:
•
Sumas de comprobación de archivos
•
Sitios Web a los que se ha accedido
•
Información de archivos, incluido el tamaño y las rutas
•
Nombres de archivos ejecutables
En cualquier momento puede poner fin a su participación en el programa desde la
consola Web. Para obtener más información, consulte Participar en el programa Smart
Feedback en la página 13-5.
Consejo
para proteger los equipos no necesita participar en la función Comentarios inteligentes. En
cualquier momento puede optar por no participar, ya que es opcional. Trend Micro le
recomienda que participe en la función Comentarios inteligentes para que podamos ofrecer
una mejor protección general a todos los clientes de Trend Micro.
1-7
Para obtener más información sobre Smart Protection Network, visite el sitio:
http://es.trendmicro.com/es/technology/smart-protection-network/
Filtrado de URL
El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no
productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un
entorno de Internet más seguro. Puede elegir un nivel de protección de filtrado de URL
o personalizar los tipos de sitios Web que desea filtrar.
Ventajas de la protección
En la siguiente tabla se describe el modo en que los distintos componentes de WorryFree Business Security protegen los equipos informáticos frente a amenazas.
TABLA 1-1. Ventajas de la protección
AMENAZA
Virus/Malware. virus, troyanos, gusanos,
puertas traseras y rootkits
Spyware/Grayware. spyware, programas
de marcación, herramientas de piratería,
aplicaciones de robo de contraseñas,
adware, programas de broma y
registradores de teclas
Amenazas de seguridad transmitidas a
través de mensajes de correo electrónico
PROTECCIÓN
Exploraciones basadas en archivos
(Exploración en tiempo real, Exploración
manual y Exploración programada).
POP3 Mail Scan en el Security Agent
IMAP Mail Scan en el Messaging Security
Agent
Antispam, Filtrado de contenido,
Prevención de pérdida de datos,
Bloqueo de archivos adjuntos y
Reputación Web en el Messaging
Security Agent
Gusanos/virus de red e intrusiones
1-8
Cortafuegos en el agente de seguridad
AMENAZA
PROTECCIÓN
Sitios Web/sitios de phishing posiblemente
dañinos
Reputación Web y filtrado de URL en el
Security Agent
Amenazas de seguridad que se propagan
a través de USB y de otros dispositivos
externos.
Control de dispositivos en el Security
Agent
Comportamiento malicioso
Supervisión del comportamiento en el
agente de seguridad
Puntos de acceso falsos
Asesor de Wi-Fi en el Security Agent
Descripción de las amenazas
Las organizaciones sin personal de seguridad dedicado y con políticas de seguridad
flexibles están cada vez más expuestas a amenazas, incluso si cuentan con una
infraestructura básica de seguridad. Una vez descubiertas, estas amenazas se pueden
haber expandido ya a numerosos recursos informáticos, lo que requeriría un tiempo y un
esfuerzo considerables para su eliminación. Los costes imprevistos relacionados con la
eliminación de amenazas también pueden ser muy altos.
La inteligencia de seguridad de red de Trend Micro y los servidores en Internet que
forman parte de Trend Micro Smart Protection Network permiten identificar y
responder a las amenazas de próxima generación.
Virus y malware
Existen decenas de miles de virus/malware, una cifra que va en aumento cada día.
Aunque eran más comunes en DOS o Windows, los virus informáticos actuales pueden
dañar seriamente los sistemas mediante el aprovechamiento de las vulnerabilidades de las
redes corporativas, sistemas de correo electrónico y sitios Web.
•
Programas de broma: Programa similar a los virus que suele manipular el aspecto
de los elementos de la pantalla de un equipo.
1-9
•
Virus/malware probables: archivos sospechosos que tienen algunas
características de virus/malware. Para obtener información más detallada, consulte
la enciclopedia de amenazas de Trend Micro:
http://about-threats.trendmicro.com/threatencyclopedia.aspx
•
Rootkit: un programa (o conjunto de programas) que instala y ejecuta código en
un sistema sin el consentimiento o conocimiento del usuario. Utiliza técnicas de
ocultación para mantener una presencia continúa e indetectable en el equipo. Los
rootkits no infectan los equipos, sino que buscan proporcionar un entorno
indetectable para que el código maligno se ejecute. Se instalan en los sistemas a
través de la ingeniería social, al ejecutarse el malware o simplemente al navegar por
un sitio Web malicioso. Una vez que se instalan, el atacante puede llevar a cabo
prácticamente cualquier función en el sistema, entre ellas el acceso remoto, la
interceptación, así como la ocultación de procesos, archivos, claves de registro y
canales de comunicación.
•
Troyano: este tipo de amenaza suele utilizar puertos para acceder a los equipos o
programas ejecutables. Los troyanos no se replican sino que residen en los sistemas
para realizar acciones maliciosas como abrir puertos para que accedan hackers. Las
soluciones antivirus tradicionales pueden detectar y eliminar virus pero no
troyanos, en especial los que ya se están ejecutando en el sistema.
•
Virus: programa que se replica. Para ello, el virus tiene que adjuntarse a otros
archivos de programa y ejecutarse siempre que se ejecute el programa host,
incluyendo:
1-10
•
Código malicioso de ActiveX: código que reside en páginas Web que
ejecutan controles ActiveX™.
•
Virus de sector de arranque: virus que infecta el sector de arranque de una
partición o un disco.
•
Infector de archivos COM y EXE: Programa ejecutable con una
extensión .com o .exe.
•
Código malicioso de Java: código vírico independiente del sistema
operativo escrito o incrustado en Java™.
•
Virus de macro: virus codificado como una macro de aplicación que suele
incluirse en un documento.
•
Packer: programa ejecutable comprimido y/o cifrado de Windows o
Linux™, a menudo un troyano. Los archivos ejecutables comprimidos hacen
que los packers sean más difíciles de detectar para los productos antivirus.
•
Virus de prueba: Un archivo de texto inerte que actúa como un virus real y
que se puede detectar con un software de exploración antivirus. Utilice los
virus de prueba, como la secuencia de comandos de prueba EICAR, para
comprobar que la instalación antivirus funciona correctamente.
•
Virus VBScript, JavaScript o HTML: virus que reside en páginas Web y que
se descarga a través de un explorador.
•
Gusano: programa completo o conjunto de programas que propaga copias
funcionales de sí mismo o de sus segmentos a otros sistemas informáticos,
generalmente por correo electrónico.
•
Otros: Virus/Malware no clasificado en ninguno de los otros tipos de virus/
malware.
Spyware y grayware
Además de los virus/malware, los Puntos finales están expuestos a otras posibles
amenazas. Spyware/grayware es el término con el que se hace referencia a las
aplicaciones o los archivos no clasificados como virus o troyanos, pero que, igualmente,
pueden afectar negativamente al rendimiento de los puntos finales de la red y generar
importantes riesgos legales, de seguridad y confidencialidad para la organización. Es
frecuente que el spyware/grayware lleve a cabo una serie de acciones no deseadas y de
carácter amenazante como, por ejemplo, molestar a los usuarios con ventanas
emergentes, registrar las pulsaciones de teclas de los usuarios o exponer las
vulnerabilidades de punto final a posibles ataques.
Si detecta alguna aplicación o archivo que Worry-Free Business Security no pueda
detectar como grayware pero que sea sospechoso de serlo, envíelo a Trend Micro para
su análisis:
http://esupport.trendmicro.com/solution/en-us/1059565.aspx
1-11
TIPO
DESCRIPCIÓN
Spyware
recopila datos, como nombres de usuarios y contraseñas de cuentas,
y los envía a otras personas.
Adware
muestra publicidad y recopila datos, como las preferencias de
navegación por Internet de un usuario, para enviar anuncios al usuario
mediante el explorador Web.
Marcador
telefónico
modifica la configuración de Internet del punto final para forzar al
punto final a que marque números de teléfono preconfigurados a
través de un módem. Suelen ser números de servicios de pago por
llamada o números internacionales que pueden ocasionar gastos
importantes a la organización.
Programa de
broma
provoca comportamientos anómalos en el punto final, como el cierre y
la apertura de la bandeja de la unidad de CD-ROM o la visualización
de numerosos cuadros de mensaje.
Herramienta de
hackers
ayuda a los hackers a introducirse en los equipos.
Herramienta de
acceso remoto
ayuda a los hackers a acceder y controlar de forma remota otros
equipos.
Aplicación de
robo de
contraseñas
permite a los hackers descifrar nombres de usuario y contraseñas de
cuentas.
Otros
otros tipos de programas potencialmente dañinos.
Spam
El spam consta de mensajes de correo electrónico no solicitados (correo electrónico
basura), a menudo de tipo comercial, que se envían indiscriminadamente a varias listas
de correo, usuarios individuales o grupos de noticias. Hay dos tipos de spam: mensajes
de correo comercial no solicitados y mensajes de correo masivo no solicitados.
1-12
Intrusiones
Una intrusión es la entrada en una red o puntos finales a la fuerza o sin permiso.
También significa eludir la seguridad de una red o punto final.
Comportamiento malicioso
Se entiende por comportamiento malicioso los cambios no autorizados que realiza un
software en el sistema operativo, en las entradas del registro, en otro software o en los
archivos y carpetas.
Puntos de acceso falsos
Un punto de acceso falso, también conocido como Evil Twin (gemelo malvado), es un
punto de acceso Wi-Fi con fines delictivos que parece legítimo en el edificio, pero que
en realidad ha sido diseñado por un hacker para escuchar a hurtadillas las
comunicaciones inalámbricas.
Incidentes de phishing
El phish, o phishing, es una forma de fraude en auge que intenta engañar a los usuarios
de Internet para que revelen información privada copiando un sitio Web legítimo.
En una situación típica, un usuario desprevenido recibe un mensaje urgente y alarmante
(con un aspecto real) que le informa de que hay un problema con su cuenta que se debe
resolver de inmediato o, de lo contrario, la cuenta se cerrará. El correo electrónico
incluirá una URL a un sitio web que tiene la misma apariencia que el verdadero.
Simplemente es copiar un correo electrónico legítimo y un sitio Web legítimo pero
cambiar lo denominado backend, que recibe los datos recopilados.
El mensaje de correo le indica al usuario que inicie una sesión en el sitio y que confirme
algunos datos de la cuenta. Un hacker recibe los datos que proporciona el usuario, como
el nombre de inicio de sesión, la contraseña, el número de tarjeta de crédito o el número
de la seguridad social.
Este tipo de fraude es rápido, barato y muy fácil de realizar. También es potencialmente
muy lucrativo para los delincuentes que lo practican. El phish es difícil de detectar,
1-13
incluso para usuarios informáticos avanzados, y también es complicado de perseguir por
parte de las autoridades competentes. Y, lo que es peor, es prácticamente imposible de
juzgar legalmente.
Notifique a Trend Micro cualquier sitio Web que crea que es un sitio de phishing.
Consulte Enviar archivos sospechosos a Trend Micro en la página C-4 para obtener más
información.
Los agentes Messaging Security Agent utilizan la función antispam para detectar los
incidentes de phishing. La acción que recomienda Trend Micro para los incidentes de
phishing es eliminar todo el mensaje donde se ha detectado el incidente.
Ataques de correo masivo
Los virus/malware de correo electrónico tienen la habilidad de propagarse a través de
mensajes de correo electrónico mediante la automatización de los clientes de correo
electrónico del equipo infectado o propagando los virus/malware. El correo masivo
supone una infección que se propaga rápidamente en un entorno Microsoft Exchange.
Trend Micro diseñó el motor de exploración para detectar los comportamientos que
suelen tener los ataques de correo masivo. Estos comportamientos se graban en el
patrón de virus, el cual se actualiza con los servidores ActiveUpdate de Trend Micro.
El Messaging Security Agent (Advanced solo) se puede activar para realizar una acción
especial contra estos ataques de correo masivo cada vez que se detecta un
comportamiento de este tipo. La acción definida para el comportamiento de correo
masivo tiene preferencia sobre el resto de las acciones. La acción predeterminada contra
los ataques de correo masivo es eliminar todo el mensaje.
Por ejemplo: puede configurar Messaging Security Agent para poner en cuarentena los
mensajes cuando se detecta una infección de un gusano o un troyano. También puede
activar el comportamiento de correo masivo y configurar el agente para que elimine
todos los mensajes en los que se detecte un comportamiento de correo masivo. El
agente recibe un mensaje que contiene un gusano, por ejemplo, una variante de
MyDoom. Este gusano utiliza su propio motor SMTP para enviarse a las direcciones de
correo electrónico que recopila del equipo infectado. Cuando el agente detecta el gusano
MyDoom y reconoce su comportamiento de correo masivo, eliminará el mensaje de
correo electrónico que contiene el gusano, al contrario que la acción de cuarentena para
los gusanos que no muestran un comportamiento de correo masivo.
1-14
Amenazas Web
Las amenazas web abarcan una amplia gama de amenazas que se originan en Internet.
Las amenazas Web utilizan métodos sofisticados, con una combinación de diversos
archivos y técnicas en lugar de un solo archivo o enfoque. Por ejemplo, los creadores de
amenazas Web cambian constantemente la versión o variante utilizada. Debido a que la
amenaza se encuentra en una ubicación fija de un sitio Web en vez del punto final
infectado, el creador de la amenaza web modifica constantemente su código para evitar
la detección.
En los últimos años, los individuos llamados hackers, programadores de virus o
creadores de spam y spyware se conocen actualmente como delincuentes cibernéticos.
Las amenazas Web ayudan a estos individuos a perseguir uno de los dos objetivos
siguientes. El primer objetivo es robar información para venderla posteriormente. El
resultado es una fuga de información confidencial en forma de pérdida de identidad. El
punto final infectado también puede convertirse en una fuente de ataques de phishing u
otras actividades de recopilación de información. Entre otros impactos, esta amenaza
tiene el potencial de debilitar la confianza en el comercio Web, lo que daña la confianza
necesaria para las transacciones de Internet. El segundo objetivo es secuestrar la
potencia de la CPU de un usuario para utilizarla como medio para llevar a cabo
actividades lucrativas. Dichas actividades incluyen el envío de spam, la extorsión en
forma de actividades de pago por clic y los ataques de denegación de servicio
distribuidos.
1-15
Capítulo 2
Introducción
En este capítulo se explica cómo comenzar a usar Worry-Free Business Security.
2-1
Red de Worry-Free Business Security
Worry-Free Business Security consta de lo siguiente:
•
Security Server en la página 2-2
•
Agentes en la página 2-4
•
Consola Web en la página 2-4
Security Server
Security Server es un componente principal de Worry-Free Business Security. El Security
Server aloja la consola Web, que es la consola de administración centralizada basada en
Web de Worry-Free Business Security. El Security Server instala los agentes en los
clientes de la red y, en combinación con los agentes, establece una relación de agenteservidor. Security Server permite consultar información de seguridad, ver los agentes,
configurar la seguridad del sistema y descargar componentes desde una ubicación
centralizada. Security Server también contiene la base de datos donde se almacenan los
registros de las amenazas de Internet detectadas que han comunicado los agentes.
Security Server lleva a cabo las siguientes funciones importantes:
•
Instala, supervisa y gestiona los agentes.
•
Descarga los componentes que requieren los agentes. De forma predeterminada, el
Security Server descarga componentes del servidor ActiveUpdate de Trend Micro y
después los distribuye a los agentes.
Servidor de exploración
El Security Server incluye un servicio llamado "servidor de exploración", que se instala
automáticamente durante la instalación del Security Server. En consecuencia, no es
necesario instalarlo por separado. El servidor de exploración se ejecuta con el nombre
de proceso iCRCService.exe y aparece como Trend Micro Smart Scan Service en
Microsoft Management Console.
2-2
Introducción
Cuando los Security Agents utilizan un método de exploración llamado smart scan, el
servidor de exploración ayuda a estos agentes a realizar exploraciones con mayor
eficiencia. Descripción del proceso smart scan:
•
El Security Agent explora el cliente para detectar amenazas de seguridad usando el
Smart Scan Agent Pattern, una versión reducida del Patrón de virus tradicional.
El Smart Scan Agent Pattern cuenta con la mayoría de las firmas de amenazas
disponibles en el Patrón de virus.
•
Si el Security Agent no puede determinar el riesgo del archivo durante la
exploración, puede verificar el riesgo enviando una consulta de exploración al
servidor de exploración. El servidor de exploración verifica el riesgo usando un
Smart Scan Pattern, que dispone de las firmas de amenazas que no están
disponibles en el Smart Scan Agent Pattern.
•
El Security Agent almacena en caché el resultado de la consulta de exploración
proporcionado por el servidor de exploración para mejorar el rendimiento de la
exploración.
Al alojar algunas de las definiciones de amenazas, el servidor de exploración reduce el
consumo de ancho de banda de los Security Agents a la hora de descargar componentes.
En lugar de descargar el Patrón de virus, los Security Agents descargan el Smart Scan
Agent Pattern, cuyo tamaño es significativamente menor.
Cuando los Security Agents no pueden conectar con el servidor de exploración, envían
consultas de exploración a Trend Micro Smart Protection Network, que tiene la misma
función que el servidor de exploración.
No es posible desinstalar el servidor de exploración de forma independiente del Security
Server. Si no desea usar el servidor de exploración:
1.
En el equipo del Security Server, abra Microsoft Management Console y desactive
la opción Trend Micro Smart Scan Service.
2.
En la consola Web, cambie los Security Agents al método de exploración
convencional; para ello, acceda a Preferencias > Configuración general >
pestaña Equipo de sobremesa o servidor y seleccione la opción Desactivar
Smart Scan Service.
2-3
Agentes
Los agentes protegen a los clientes frente a las amenazas de seguridad. Entre los clientes,
se incluyen los equipos de sobremesa, los servidores y servidores Microsoft Exchange.
Los agentes de WFBS son:
TABLA 2-1. Agentes de WFBS
AGENTE
DESCRIPCIÓN
Security Agent
Protege los equipos de sobremesa y los servidores frente a
amenazas de seguridad e intrusiones.
Messaging Security
Agent (sólo
Advanced)
Protege los servidores Microsoft Exchange frente a las amenazas
de seguridad del correo electrónico.
Cada agente informa al Security Server desde el que se instaló. Para proporcionar al
Security Server la información más reciente sobre el cliente, el agente envía información
de estado sobre los sucesos en tiempo real. Algunos sucesos de los que informan los
agentes son la detección de amenazas, el inicio, el cierre, el comienzo de una exploración
o la finalización de una actualización.
Consola Web
La consola Web es el punto central para supervisar los clientes a través de la red
empresarial. Incluye un conjunto de valores y parámetros de configuración
predeterminados que pueden configurarse en función de los requisitos y especificaciones
de seguridad de la empresa. La consola Web utiliza las tecnologías de Internet estándar,
como Java, CGI, HTML y HTTP.
Use la consola Web para:
2-4
•
Implementar agentes en clientes
•
Organizar agentes en grupos lógicos para realizar una configuración y
administración simultáneas
•
Definir configuraciones de exploración antivirus y antispyware e iniciar la
exploración manual en uno o varios grupos.
Introducción
•
Recibir notificaciones y ver informes de registro sobre actividades relacionadas con
amenazas
•
Recibir notificaciones y enviar alertas de epidemias a través de mensajes de correo
electrónico, la captura SNMP o el registro de sucesos de Windows cuando se
detectan virus en los clientes.
•
Controlar las epidemias mediante la configuración y activación de la defensa frente
a epidemias
Abrir la consola Web
Antes de empezar
Abra la consola Web desde cualquier cliente de la red que disponga de los siguientes
recursos:
•
Internet Explorer 6.0 SP2 o posterior
•
Color de alta calidad con una resolución de 1.024x768 o superior
Procedimiento
1.
Seleccione una de las opciones siguientes para abrir la consola Web:
•
En el equipo que aloja el Security Server, acceda al escritorio y haga clic en el
acceso directo de Worry-Free Business Security.
•
En el equipo en el que se aloja el Security Server, haga clic en el menú Inicio
de Windows > Trend Micro Worry-Free Business Security > WorryFree Business Security.
•
En cualquier cliente de la red, abra un explorador Web y escriba lo siguiente
en la barra de direcciones:
https://{Security_Server_Name or IP Address}:{port
number}/SMB
Por ejemplo:
https://my-test-server:4343/SMB
2-5
https://192.168.0.10:4343/SMB
http://my-test-server:8059/SMB
http://192.168.0.10:8059/SMB
Consejo
Si NO utiliza SSL, escriba http en lugar de https. El puerto predeterminado
para conexiones HTTP es 8059 y para conexiones HTTPS es 4343.
Si el entorno no puede resolver los nombres de servidor por el valor DNS, use
el nombre del servidor en lugar de la dirección IP.
El explorador abrirá la pantalla de inicio de sesión de Worry-Free Business
Security.
2.
Escriba la contraseña y haga clic en Iniciar sesión.
El explorador mostrará la pantalla de Estado de actividad.
Qué hacer a continuación
Compruebe lo siguiente si no puede acceder a la consola Web.
ELEMENTO QUE
SE DEBE
DETALLES
COMPROBAR
Contraseña
2-6
Si ha olvidado la contraseña, puede utilizar la herramienta de
restablecimiento de la contraseña de la consola para restablecer la
contraseña. Acceda a la herramienta en el equipo de Security Server
bajo la carpeta Trend Micro Worry-Free Business Security en el
menú Inicio de Windows.
Introducción
ELEMENTO QUE
SE DEBE
DETALLES
COMPROBAR
Caché del
explorador
Si ha realizado una actualización desde una versión anterior de
WFBS, es posible que los archivos almacenados en caché en el
explorador Web y el servidor proxy impidan que la consola Web se
cargue correctamente. Libere la memoria caché del explorador y de
los servidores proxy ubicados entre Trend Micro Security Server y el
cliente que utiliza para acceder a la consola Web.
Certificado SSL
Compruebe que el servidor Web funciona correctamente. Si utiliza
SSL, compruebe que el certificado SSL sigue siendo válido. Consulte
la documentación del servidor Web para obtener información
detallada.
2-7
ELEMENTO QUE
DETALLES
SE DEBE
COMPROBAR
Configuración
del directorio
virtual
Puede surgir un problema con la configuración del directorio virtual si
ejecuta la consola Web en un servidor IIS; en tal caso aparece el
mensaje siguiente:
The page cannot be displayed
HTTP Error 403.1 - Forbidden: Execute access is denied.
Internet Information Services (IIS)
Este mensaje puede aparecer cuando se utiliza una de las siguientes
direcciones para acceder a la consola:
http://{nombre del servidor}/SMB/
http://{nombre del servidor}/SMB/default.htm
No obstante, la consola se puede abrir sin problemas si se utiliza la
siguiente dirección:
http://{nombre del servidor}/SMB/console/html/cgi/
cgichkmasterpwd.exe
Para resolver este problema, compruebe los derechos de ejecución
del directorio virtual SMB.
Para activar las secuencias de comandos:
1.
Abra el administrador de Internet Information Services (IIS).
2.
En el directorio virtual SMB, seleccione Propiedades.
3.
Seleccione la pestaña Directorio virtual y cambie los derechos de
ejecución a Scripts en lugar de none. Modifique también los
derechos de ejecución del directorio virtual de instalación del
cliente.
Navegación por la consola Web
Secciones principales de la consola Web
La consola contiene las siguientes secciones principales:
2-8
Introducción
SECCIÓN
A. Menú principal
DESCRIPCIÓN
En la parte superior de la consola Web se encuentra el menú
principal.
En la esquina superior derecha aparece un cuadro desplegable
que contiene accesos directos a las tareas que realizan con
frecuencia los administradores.
El enlace Fin de sesión también se proporciona para permitirle
cerrar la sesión actual.
B.
Área de configuración
C.
Menú lateral (no
disponible en todas
las pantallas)
Se sitúa debajo de los elementos de menú principales. Utilice
esta área para seleccionar opciones según el elemento de
menú que haya elegido.
Al elegir un grupo de Security Agent en la pantalla
Configuración de seguridad y hacer clic en Definir la
configuración, aparece una barra lateral de menús. Utilice la
barra lateral para definir la configuración de seguridad y las
exploraciones de los equipos de sobremesa y los servidores
que pertenecen al grupo.
Cuando se selecciona un Messaging Security Agent en la
pantalla Configuración de seguridad (Advanced solo), puede
utilizar la barra lateral para definir la configuración de seguridad
y las exploraciones de los servidores Microsoft Exchange.
Opciones del menú de la consola Web
Puede utilizar las siguientes opciones de menú de la consola Web:
2-9
OPCIONES DE
DESCRIPCIÓN
MENÚ
Estado de
actividad
•
Puede ver los avisos de alertas amarillas o rojas que emite
Trend Micro.
•
Puede ver las últimas alertas para los clientes de su red.
•
Puede ver las últimas amenazas para los servidores Microsoft
Exchange (Advanced solo).
•
Implemente actualizaciones en clientes que estén en riesgo
Configuración
de seguridad
•
Personalice la configuración de seguridad de los agentes.
•
Replique la configuración entre los grupos.
Defensa frente a
epidemias
Configure e implemente Defensa frente a epidemias, Valoración de
vulnerabilidades y Damage Cleanup.
Exploraciones
•
Explora los clientes en busca de amenazas.
•
Programe una exploración de los clientes.
•
En el servidor ActiveUpdate de Trend Micro (o una fuente de
actualización personalizada), busque los componentes
actualizados más recientes, como las actualizaciones de
patrones de virus, el motor de exploración, los componentes de
limpieza y el programa del agente.
•
Configure una fuente de actualización.
•
Especifique qué agentes de seguridad van a ser agentes de
actualización
Actualizaciones
Informes
2-10
Ofrece una función central en la estrategia de Worry-Free Business
Security. Use Estado de actividad para visualizar alertas y
notificaciones sobre epidemias y riesgos importantes de seguridad.
Genere informes para realizar un seguimiento de las amenazas y
otros sucesos relacionados con la seguridad.
Introducción
OPCIONES DE
DESCRIPCIÓN
MENÚ
Preferencias
Ayuda
•
Configure notificaciones sobre sucesos anómalos relacionados
con las amenazas o el sistema.
•
Defina una configuración general para simplificar el
mantenimiento.
•
Use las herramientas de gestión como ayuda para la
administración de la red y los clientes.
•
Consulte la información sobre la licencia del producto, defina una
contraseña de administrador y cree un entorno comercial seguro
para el intercambio de información digital con la participación en
el programa Comentarios inteligentes.
•
Buscar temas y contenido específicos
•
Ver el Manual del administrador
•
Obtener acceso a la información más reciente de la Base de
conocimientos (KB)
•
Consulte información sobre seguridad, ventas, asistencia y
versión.
Iconos de la consola Web
En la tabla siguiente se describen los iconos que aparecen en la consola Web y se explica
su función.
TABLA 2-2. Iconos de la consola Web
ICONO
DESCRIPCIÓN
Icono de Ayuda. Abre la ayuda en línea.
Icono Actualizar. Actualiza la vista de la pantalla actual.
Icono Ampliar/Contraer sección. Muestra u oculta las secciones. Solo
se puede ampliar una sección a la vez.
2-11
ICONO
DESCRIPCIÓN
Icono Información. Muestra información relacionada con un elemento
concreto.
Icono Personalizar notificaciones. Muestra varias opciones de
notificación.
Estado de actividad
Use la pantalla Estado de actividad para ver el estado de la red WFBS. Para actualizar
manualmente la información de la pantalla, haga clic en Actualizar.
Descripción de los iconos
Los iconos le indican si se debe realizar una acción. Expanda una sección para ver más
información. También puede hacer clic en los elementos de la tabla para ver detalles más
2-12
Introducción
específicos. Para obtener más información sobre equipos clientes concretos, haga clic en
los enlaces numerados que aparecen en las tablas.
TABLA 2-3. Iconos del Estado de actividad
ICONO
DESCRIPCIÓN
normal
Solo unos pocos clientes necesitan que se les aplique una versión de
revisión. La actividad de virus, spyware y otros tipos de malware de
los equipos y la red representa un riesgo insignificante.
Advertencia
Realice una acción para evitar que aumente el riesgo para la red.
Generalmente, un icono de advertencia significa que hay un número
de equipos vulnerables que están comunicando demasiados
incidentes de virus o malware. Cuando Trend Micro emite una alerta
amarilla, la advertencia se muestra para Defensa frente a epidemias.
Acción necesaria
Un icono de advertencia significa que el administrador debe realizar
acciones para solucionar un problema de seguridad.
Security Server genera la información que aparece en Estado de actividad según los
datos que ha recopilado de los clientes.
Estado de la amenaza
Esta sección contiene la siguiente información:
TABLA 2-4. Secciones sobre el estado de las amenazas e información que se muestra
SECCIÓN
Defensa frente a
epidemias
INFORMACIÓN QUE SE MUESTRA
Una posible epidemia de virus en su red.
2-13
SECCIÓN
Antivirus
Antispyware
A partir del incidente número 5, el icono de estado cambia para
mostrar la advertencia. Si debe emprender acciones:
•
El agente de seguridad no ha realizado correctamente la acción
especificada. Haga clic en el enlace de número para ver
información detallada sobre los equipos en los que el Security
Agent no ha podido realizar la acción.
•
La exploración en tiempo real está desactivada en los agentes
de seguridad. Haga clic en Activar ahora para volver a iniciar la
exploración en tiempo real.
•
La exploración en tiempo real está desactivada en Messaging
Security Agent.
Muestra los últimos resultados de la exploración de spyware y las
entradas del registro de spyware. La columna Número de
incidentes de la tabla Incidentes de amenazas de spyware muestra
los resultados de la última exploración antispyware.
Para obtener más información sobre un cliente concreto, haga clic en
el enlace numerado de la columna Incidentes detectados de la
tabla Incidentes de amenazas de spyware. Desde ahí, puede buscar
información sobre las amenazas de spyware concretas que afectan a
sus clientes.
2-14
Antispam
Haga clic en el enlace Alto, Medio o Bajo para ir a la pantalla de
configuración del servidor Microsoft Exchange seleccionado donde
puede definir el umbral de la pantalla Antispam. Haga clic en
Desactivado para ir a la pantalla correspondiente. Esta información
se actualiza cada hora.
Reputación Web
Sitios Web potencialmente peligrosos determinados por Trend Micro.
A partir del incidente número 200, el icono de estado cambia para
mostrar la advertencia.
Filtrado de URL
Sitios Web restringidos determinados por el administrador. A partir
del incidente número 300, el icono de estado cambia para mostrar la
advertencia.
Supervisión del
comportamiento
Infracciones de las políticas de supervisión del comportamiento.
Virus de red
Detección determinada por la configuración del cortafuegos.
Introducción
SECCIÓN
Control del
dispositivo
Restringe el acceso a dispositivos USB y unidades de red.
Estado del sistema
Esta sección muestra información sobre los componentes actualizados y el espacio libre
en disco en los clientes con agentes instalados.
TABLA 2-5. Secciones sobre el estado del sistema e información que se muestra
SECCIÓN
Actualizaciones
de los
componentes
El estado de las actualizaciones de componentes del Security Server
o de la implementación de componentes actualizados en los agentes.
Smart Scan
Los Security Agents no se pueden conectar con el servidor de
exploración.
Nota
El servidor de exploración es un servicio alojado en el Security
Server.
Sucesos
inusuales del
sistema
Información sobre el espacio en disco de los clientes que funcionan
como servidores (que ejecutan un sistema operativo de servidor).
Puede personalizar los parámetros que activan la aparición de un icono Advertencia o
Acción necesaria en la consola Web desde la pantalla Preferencias > Notificaciones.
Estado de la licencia
Esta sección muestra información sobre el estado de la licencia del producto y, más
concretamente, información sobre la caducidad.
Intervalos de actualización de Estado de actividad
Si desea comprender con qué frecuencia se actualiza la información de Estado de
actividad, consulte la siguiente tabla.
2-15
TABLA 2-6. Intervalos de actualización de Estado de actividad
INTERVALO DE
EVENTO
ACTUALIZACIÓN
(MINUTOS)
EL AGENTE ENVÍA REGISTROS AL
SERVIDOR TRANSCURRIDOS... (MINUTOS)
Defensa frente a
epidemias
3
N/D
Antivirus
1
Security Agent: Inmediato
Messaging Security Agent: 5
2-16
Antispyware
3
1
Antispam
3
60
Reputación Web
3
Inmediato
Filtrado de URL
3
Inmediato
Supervisión del
comportamiento
3
2
Virus de red
3
2
Control del dispositivo
3
2
Smart Scan
60
N/D
Licencia
10
N/D
Actualizaciones de los
componentes
3
N/D
Sucesos inusuales del
sistema
10
Cuando se ha iniciado el servicio
TmListen
Capítulo 3
Instalar agentes
En este capítulo se detallan los pasos necesarios para instalar los Security Agents y los
Messaging Security Agents (Advanced solo). También se facilita información sobre
cómo eliminar dichos agentes.
3-1
Instalación del Security Agent
Realice una instalación completamente nueva del Security Agent en los clientes
Windows (equipos de sobremesa y servidores). Use el método de instalación que mejor
se ajuste a sus necesidades.
Cierre las aplicaciones que se estén ejecutando en los clientes antes de instalar el Security
Agent. Si realiza la instalación mientras hay otras aplicaciones en ejecución, el proceso
tardará más en completarse.
Nota
Para obtener información sobre cómo actualizar los Security Agents a esta versión,
consulte el Manual de instalación y actualización.
Requisitos de instalación del Security Agent
Visite el siguiente sitio Web para obtener una lista completa de los requisitos de la
instalación y los productos de terceros compatibles:
Consideraciones sobre la instalación del Security Agent
Antes de proceder a instalar los Security Agents, tenga en cuenta lo siguiente:
•
Características del agente: algunas funciones de los Security Agents no están
disponibles en determinadas plataformas Windows. Para obtener más información,
consulte Funciones disponibles del Security Agent en la página 3-3.
•
Plataformas x64: existe una versión reducida del Security Agent para plataformas
x64. No obstante, actualmente no es compatible con las plataformas IA-64.
•
Compatibilidad con IPv6: el Security Agent puede instalarse en clientes de doble
pila o que solo utilicen IPv6. Sin embargo:
•
3-2
Algunos sistemas operativos de Windows en los que puede instalarse el agente
no son compatibles con el direccionamiento IPv6.
Instalar agentes
•
En algunos métodos de instalación, existen requisitos especiales para instalar
correctamente el agente.
Para obtener más información, consulte Instalación del Security Agent y compatibilidad
con IPv6 en la página 3-6.
•
•
Listas de excepciones: asegúrese de que las listas de excepciones para las
funciones siguientes se han configurado correctamente:
•
Supervisión de comportamiento: agregue aplicaciones informáticas críticas
a la lista Programas permitidos para evitar que el Security Agent bloquee
dichas aplicaciones. Para obtener más información, consulte Configurar la
supervisión del comportamiento en la página 5-22.
•
Reputación Web: agregue sitios Web que considere seguros a la Lista de
URL permitidas para evitar que el Security Agent bloquee el acceso a los sitios
Web. Para obtener más información, consulte Configurar la reputación Web para
los Security Agents en la página 5-18.
Directorio de instalación del agente: Durante la instalación del Security Server,
el programa de instalación solicita que se especifique el directorio de instalación del
agente, que es $ProgramFiles\Trend Micro\Security Agent de manera
predeterminada. Si desea instalar los Security Agents en un directorio diferente,
especifique el nuevo directorio en Preferencias > Configuración general >
Sistema > sección Ruta de instalación de Security Agent.
Funciones disponibles del Security Agent
Las funciones del Security Agent que están disponibles en un cliente dependen del
sistema operativo de este. Tenga en cuenta las funciones no compatibles cuando instale
un agente en un sistema operativo concreto.
3-3
TABLA 3-1. Funciones del Security Agent
SISTEMA OPERATIVO WINDOWS
CARACTERÍ
STICA
XP
7
8/8.1
SERVER SERVER
/SBS
/SBS
2003
2008
SBS
2011
SERVER
2012/
R2
Exploració
n manual,
exploració
n en
tiempo
real y
exploració
n
programad
a
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Firewall
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Reputació
n Web
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Filtrado de
URL
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Supervisió
n del
comporta
miento
Sí (32
bits)
Sí
(32/64
bits)
Sí
Sí
Sí (32
bits)
Sí
Sí
Sí
Control del
dispositivo
Sí (32
bits)
Sí
Sí
Sí
Sí
Sí
Sí
No (64
bits)
No (64
bits)
Damage
Cleanup
Services
3-4
VISTA
Sí
No (64
bits)
No (64
bits sin
SP1)
Sí
(32/64
bits)
Sí
Sí
No (64
bits)
No (64
bits sin
SP1)
Sí
Sí (32
bits)
Sí
Sí
Sí
Instalar agentes
CARACTERÍ
STICA
XP
VISTA
7
8/8.1
SERVER SERVER
/SBS
/SBS
2003
2008
SBS
2011
SERVER
2012/
R2
POP3 mail
scan
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Actualizaci
ones
manuales
y
programad
as
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Agente de
actualizaci
ón
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Plug-in
Manager
del agente
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Comentari
os
inteligente
s
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
3-5
CARACTERÍ
STICA
Barra de
herramient
as
antispam
de Trend
Micro
XP
Sí (32
bits)
VISTA
Sí
7
Sí
8/8.1
Sí
SERVER SERVER
/SBS
/SBS
2003
2008
SBS
2011
SERVER
2012/
R2
No
No
No
No
No (64
bits)
Clientes de correo electrónico
compatibles:
•
Microsoft Outlook 2003, 2007,
2010, 2013
•
Outlook Express 6.0 con
Service Pack 2 o posterior
•
Windows Mail 6.0
•
Windows Live Mail 2011, 2012
HouseCall
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Herramien
ta de
diagnóstic
o de casos
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Asesor de
Wi-Fi
Sí
Sí
Sí
Sí
No
No
No
No
Instalación del Security Agent y compatibilidad con IPv6
En este tema se indican algunas consideraciones que se deben tener en cuenta al instalar
el Security Agent en clientes de doble pila o que solo utilicen IPv6.
Sistema operativo
El Security Agent solo se puede instalar en los siguientes sistemas operativos que sean
compatibles con el direccionamiento IPv6:
3-6
Instalar agentes
•
Windows Vista (todas las ediciones)
•
Windows Server 2008 (todas las ediciones)
•
Windows 7 (todas las ediciones)
•
Windows SBS 2011
•
•
Visite el siguiente sitio Web para obtener una lista completa de los requisitos del sistema:
Métodos de instalación admitidos
Se pueden utilizar todos los métodos de instalación disponibles para instalar el Security
Agent en los clientes de doble pila o que solo utilicen IPv6. En algunos métodos de
instalación, existen requisitos especiales para instalar correctamente el Security Agent.
TABLA 3-2. Métodos de instalación y compatibilidad con IPv6
MÉTODO DE INSTALACIÓN
Página Web interna e
instalación mediante
notificación por correo
electrónico
REQUISITOS/CONSIDERACIONES
Si está realizando la instalación en un cliente que solo utilice
IPv6, el Security Server ha de ser de doble pila o debe utilizar
únicamente IPv6; además, su nombre de host o dirección
IPv6 deben formar parte de la URL.
Para los clientes de doble pila, la dirección IPv6 que se
muestra en la pantalla de estado de la instalación depende de
la opción que se haya seleccionado en la sección Dirección
IP preferida de Preferencias > Configuración general >
Equipo de sobremesa/servidor.
Vulnerability Scanner e
instalación remota
Un Security Server que solo utilice IPv6 no puede instalar el
Security Agent en clientes que utilicen únicamente IPv4. De
forma similar, un Security Server que solo utilice IPv4 no
puede instalar el agente en clientes que utilicen únicamente
IPv6.
3-7
Direcciones IP del Security Agent
Un Security Server instalado en un entorno que sea compatible con el direccionamiento
IPv6 puede administrar los siguientes Security Agents:
•
Un Security Server instalado en un cliente que solo use IPv6 puede gestionar
Security Agents que solo usen IPv6.
•
Un Security Server instalado en un cliente de doble pila y que tenga asignadas
direcciones IPv4 e IPv6 puede administrar Security Agents de doble pila y que solo
utilicen IPv6 o IPv4.
Después de instalar o actualizar los Security Agents, estos se registran en el Security
Server mediante una dirección IP.
•
Los Security Agents que solo utilizan IPv6 se registran mediante su dirección IPv6.
•
Los Security Agents que solo utilizan IPv4 se registran mediante su dirección IPv4.
•
Los Security Agents de doble pila se registran mediante una dirección IPv4 o IPv6.
Puede elegir la dirección IP que esos agentes usarán mediante la sección Dirección
IP preferida de Preferencias > Configuración general > pestaña Equipo de
sobremesa/servidor.
Métodos de instalación del Security Agent
En esta sección se ofrece un resumen de los diferentes métodos que existen para realizar
una instalación nueva del Security Agent. Todos los métodos de instalación requieren
derechos de administrador local en los clientes de destino.
Si está instalando Security Agents y desea activar la compatibilidad con IPv6, lea las
directrices que aparecen en Instalación del Security Agent y compatibilidad con IPv6 en la página
3-6.
3-8
Instalar agentes
TABLA 3-3. Métodos de instalación
CONSIDERACIONES SOBRE LA IMPLEMENTACIÓN
MÉTODO DE
INSTALACIÓN Y
IMPLEME
ADMINISTR
COMPATIBILIDAD CON
NTACIÓN
ACIÓN
SISTEMAS OPERATIVOS
DE LA
CENTRALIZ
WAN
ADA
página Web
interna
REQUIER
PRECIS
E LA
A
IMPLEME
INTERVEN
RECUR
NTACIÓN
BANDA
CIÓN DEL
SOS DE
EN MASA
CONSUMIDO
USUARIO
TI
ANCHO DE
Sí
Sí
Sí
No
No
Reducido,
si se
programa
Sí
Sí
Sí
No
No
Alto (si las
instalacione
s se inician
simultánea
mente)
No
Sí
No
Sí
Sí
Reducido,
si se
programa
Compatible con
todos los sistemas
operativos
Notificación por
correo electrónico
Compatible con
todos los sistemas
operativos
Instalación remota
Compatible con
todos los sistemas
operativos, salvo
en:
•
Windows Vista
Home Basic y
Home Premium
Editions
•
Windows XP
Home Edition
•
Windows 7
Home Basic/
Home Premium
3-9
CONSIDERACIONES SOBRE LA IMPLEMENTACIÓN
MÉTODO DE
INSTALACIÓN Y
IMPLEME
ADMINISTR
COMPATIBILIDAD CON
NTACIÓN
ACIÓN
SISTEMAS OPERATIVOS
DE LA
CENTRALIZ
WAN
ADA
Configuración de
inicio de sesión
REQUIER
PRECIS
E LA
A
IMPLEME
INTERVEN
RECUR
NTACIÓN
BANDA
CIÓN DEL
SOS DE
EN MASA
CONSUMIDO
USUARIO
TI
No
Sí
No
Sí
Sí
Alto (si las
instalacione
s se inician
simultánea
mente)
Sí
No
Sí
Sí
No
Reducido,
si se
programa
No
Sí
No
Sí
Sí
Reducido,
si se
programa
Compatible con
todos los sistemas
operativos
Client Packager
Compatible con
todos los sistemas
operativos
Trend Micro
Vulnerability
Scanner (TMVS)
ANCHO DE
Compatible con
todos los sistemas
operativos, salvo
en:
•
Windows Vista
Home Basic y
Home Premium
Editions
•
Windows XP
Home Edition
•
Windows 7
Home Basic/
Home Premium
En implementaciones de sitio único y en organizaciones donde las políticas de TI se
aplican de forma estricta, los administradores de TI pueden optar por implementar
usando las opciones Instalación remota o Configuración de inicio de sesión.
3-10
Instalar agentes
En organizaciones donde las políticas de TI se aplican de forma menos estricta, Trend
Micro recomienda instalar los Security Agents utilizando la página Web interna. Sin
embargo, este método requiere que los usuarios finales que van a instalar el Security
Agent dispongan de derechos de administrador.
La instalación remota es eficaz en redes con Active Directory. Por lo tanto, si su red
no hace uso de Active Directory, utilice la página Web interna.
Instalar desde la página Web interna
Antes de empezar
Para realizar la instalación desde la página Web interna, se requiere lo siguiente:
ELEMENTO QUE
REQUISITO
SE DEBE
COMPROBAR
Security Server
Cliente de
destino
Security Server debe estar instalado en:
•
Windows XP, Vista, 7, 8, Server 2003/2008/2012 o SBS 2011
•
con Internet Information Server (IIS) 6.0, 7.0, 7.5, 8.0 o Apache
2.0.6x
•
El cliente de destino debe contar con Internet Explorer 6.0 o una
versión posterior.
•
Los usuarios deben usar una cuenta de administrador para
iniciar sesión en el cliente.
Nota
Si el cliente de destino ejecuta Windows 7, active la
cuenta de administrador integrada en primer lugar.
Windows 7 desactiva la cuenta de administrador integrada
de manera predeterminada. Para obtener más
información, consulte el sitio de asistencia de Microsoft
(http://technet.microsoft.com/es-es/library/
dd744293%28WS.10%29.aspx).
3-11
ELEMENTO QUE
REQUISITO
SE DEBE
COMPROBAR
Cliente de
destino en el
que se ejecuta
Windows XP,
Vista, Server
2008, 7, 8, SBS
2011 o Server
2012
Los usuarios deben llevar a cabo los siguientes pasos:
1.
Inicie Internet Explorer y añada la URL del Security Server (por
ejemplo, https://<Nombre del Security Server>:4343/SMB/
console/html/client) a la lista de sitios de confianza. En
Windows XP, acceda a Herramientas > Opciones de Internet
> pestaña Seguridad para acceder a la lista; a continuación,
seleccione el icono Sitios de confianza y haga clic en Sitios.
2.
Modifique la configuración de seguridad de Internet Explorer
para activar Pedir intervención del usuario automática para
controles ActiveX. En Windows XP, vaya a la pestaña
Herramientas > Opciones de Internet > Seguridad y, a
continuación, haga clic en Nivel personalizado.
Cliente de
destino que
ejecuta
Windows Vista
Los usuarios deben activar el Modo protegido. Para activar este
modo en Internet Explorer, haga clic en Herramientas > Opciones
de Internet > pestaña Seguridad.
IPv6
Si cuenta con un entorno mixto formado por clientes de doble pila y
clientes que solo usan IPv4 o IPv6, el Security Server debe tener
direcciones IPv4 e IPv6, de forma que todos los clientes puedan
conectarse a la página Web interna en el Security Server.
Envíe las siguientes instrucciones a los usuarios para que instalen el Security Agent desde
la página Web interna. Para enviar una notificación de instalación a través de correo
electrónico, consulte Instalar mediante notificación por correo electrónico en la página 3-36.
Procedimiento
1.
Inicie sesión en el cliente con una cuenta de administrador.
2.
Abra una ventana de Internet Explorer y escriba una de las siguientes opciones:
•
Security Server con SSL:
https://<Nombre del Security Server o dirección IP>:
4343/SMB/console/html/client
3-12
Instalar agentes
•
Security Server sin SSL:
http://<Nombre del Security Server o dirección IP>:
8059/SMB/console/html/client
3.
Haga clic en Instalar ahora para empezar a instalar el agente de seguridad.
Comienza la instalación. Cuando el sistema lo solicite, permita la instalación de
controles ActiveX. El icono del Security Agent aparece en la barra de herramientas
de Windows después de la instalación.
Nota
Para ver la lista de iconos que se muestran en la barra de tareas de Windows, consulte
Comprobar el estado del Security Agent en la página A-2.
Si los usuarios indican que no pueden realizar la instalación desde la página Web interna,
pruebe los siguientes métodos.
•
Verifique que existe comunicación entre el cliente y el servidor mediante los
comandos ping y telnet.
•
Compruebe si el protocolo TCP/IP está activado y configurado correctamente en
el cliente.
•
Si utiliza un servidor proxy para la comunicación entre el cliente y el servidor,
compruebe que la configuración del proxy se haya realizado correctamente.
•
En el explorador Web, elimine los complementos de Trend Micro y el historial de
exploración.
Instalar con Configuración de secuencia de comandos de
inicio de sesión
Conectar La herramienta Configuración de inicio de sesión automatiza la instalación del
Security Agent en clientes sin protección cuando estos inician una sesión en la red.
Configuración de inicio de sesión añade el programa AutoPcc.exe a la secuencia de
comandos de inicio de sesión del servidor.
3-13
AutoPcc.exe instala el Security Agent en equipos sin protección y actualiza los
componentes y archivos del programa. Los clientes deben formar parte del dominio para
poder utilizar AutoPcc a través de la secuencia de comandos de inicio de sesión.
Si ya tiene una secuencia de comandos de inicio de sesión, Configuración de inicio de
sesión añade un comando que ejecuta AutoPcc.exe. De lo contrario, se creará un
archivo de lotes denominado ofcscan.bat que contiene el comando necesario para
ejecutar AutoPcc.exe.
Configuración de secuencia de comandos de inicio de sesión añade el texto siguiente al
final de la secuencia de comandos:
\\<Server_name>\ofcscan\autopcc
Donde:
•
<Server_name> es el nombre del equipo o la dirección IP del equipo del Security
Server.
•
"ofcscan" es el nombre de la carpeta compartida en el Security Server.
•
"autopcc" es el enlace al archivo ejecutable de autopcc que instala el Security
Agent.
Ubicación de la secuencia de comandos de inicio de sesión en todas las versiones de
Windows Server (a través de un directorio compartido de inicio de sesión en red):
\\Windows server\system drive\windir\sysvol\domain\scripts
\ofcscan.bat
Procedimiento
1.
En el equipo que utilizó para ejecutar la instalación del servidor, abra <Carpeta
de instalación del Security Server>\PCCSRV\Admin.
2.
Haga doble clic en SetupUsr.exe.
Se cargará la utilidad Configuración de inicio de sesión. La consola muestra un
árbol en el que aparecen todos los dominios de la red.
3.
3-14
Busque el servidor cuya secuencia de comandos de inicio de sesión desee
modificar, márquelo y haga clic en Seleccionar. Asegúrese de que el servidor es un
Instalar agentes
controlador de dominio principal y que dispone de derechos de administrador para
acceder al servidor.
Configuración de secuencia de comandos de inicio de sesión le solicitará un
nombre de usuario y una contraseña.
4.
Escriba el nombre de usuario y la contraseña. Haga clic en Aceptar para continuar.
Aparecerá la ventana Selección de usuario. La lista Usuarios muestra los perfiles
de los usuarios que inician la sesión en el servidor. La lista Usuarios
seleccionados muestra los perfiles de usuario cuya secuencia de comandos de
inicio de sesión desea modificar.
5.
Para modificar la secuencia de comandos de inicio de sesión de un perfil de
usuario, seleccione dicho perfil en la lista de usuarios y, a continuación, haga clic en
Agregar.
6.
Para modificar la secuencia de comandos de inicio de sesión de todos los usuarios,
haga clic en Agregar todos.
7.
Para excluir un perfil de usuario seleccionado con anterioridad, seleccione el
nombre correspondiente en la lista Usuarios seleccionados y haga clic en
Eliminar.
8.
Para restablecer las selecciones, haga clic en Eliminar todos.
9.
Haga clic en Aplicar cuando todos los perfiles de usuario de destino se encuentren
en la lista Usuarios seleccionados.
Aparecerá un mensaje en el que se indica que ha modificado correctamente las
secuencias de comando de inicio de sesión del servidor.
10. Haga clic en Aceptar.
Configuración de inicio de sesión vuelve a la pantalla inicial.
11. Para cerrar la utilidad Configuración de inicio de sesión, haga clic en Salir.
Instalar con Client Packager
Client Packager crea un paquete de instalación que se puede enviar a los usuarios a
través de soportes convencionales, como puede ser un CD-ROM. Los usuarios ejecutan
3-15
el paquete en el cliente para instalar o actualizar el Security Agent y actualizar los
componentes.
Client Packager es especialmente útil en estos casos:
•
Cuando se implementa el Security Agent o los componentes en clientes situados en
oficinas remotas con ancho de banda reducido.
•
Si el entorno donde trabaja está sujeto a restricciones de conexión a Internet, como
en el caso de una LAN cerrada o cuando no existe conexión alguna a Internet.
Los Security Agents que se instalan mediante Client Packager envían informes al
servidor en el que se creó el paquete.
Procedimiento
1.
En el equipo del Security Server, acceda a <Carpeta de instalación del
servidor>\PCCSRV\Admin\Utility\ClientPackager.
2.
Haga doble clic en ClnPack.exe.
Se abrirá la consola de Client Packager.
3.
Seleccione el sistema operativo para el que desea crear el paquete. Implemente el
paquete solo en clientes en los que se ejecute este tipo de sistema operativo. Cree
otro paquete para implementarlo en un sistema operativo de otro tipo.
4.
Seleccione el método de exploración para el paquete.
Para obtener información detallada acerca de los métodos de exploración, consulte
Métodos de exploración en la página 5-3.
Los componentes incluidos en el paquete dependen del método de exploración
seleccionado. En smart scan, se incluyen todos los componentes, excepto el patrón
de virus. En las exploraciones convencionales, se incluyen todos los componentes,
excepto Smart Scan Agent Pattern.
5.
3-16
Seleccione el tipo de paquete que desee crear.
Instalar agentes
TABLA 3-4. Tipos de paquete del cliente
TIPO DE PAQUETE
Configuración
DESCRIPCIÓN
Seleccione Configuración para crear el paquete como un
archivo MSI adecuado para el formato de paquetes de
Microsoft Installer. El paquete instala el programa del
Security Agent con los componentes que se encuentren
disponibles en el Security Server en ese momento.
Si el cliente de destino tiene instalada una versión previa
del Security Agent y desea actualizarla, cree el archivo MSI
a partir del Security Server que gestiona el agente. De lo
contrario, el agente no se actualizará.
Actualización
Seleccione Actualizar para crear un paquete que
contenga los componentes disponibles en el Security
Server en ese momento. El paquete se creará como un
archivo ejecutable. Use este paquete si surgen problemas
al actualizar los componentes en el cliente en el que está
instalado el Security Agent.
6.
Haga clic en Modo silencioso para crear un paquete que se instala en el cliente en
segundo plano. El procedimiento pasa desapercibido para el usuario del cliente y
no se muestra la ventana de estado de la instalación. Active esta opción si desea
implementar el paquete de forma remota en el cliente.
7.
Haga clic en Desactivar exploración previa (solo para instalación nueva) si no
desea explorar el cliente en busca de amenazas antes de instalar el Security Agent.
Haga esto si tiene la seguridad de que el cliente está libre de amenazas.
En caso de que esta opción esté activada, el programa de instalación busca virus y
malware en las zonas más vulnerables del equipo, entre las que se incluyen las
siguientes:
8.
•
El área y el directorio de arranque (para virus de arranque)
•
Carpeta Windows
•
La carpeta Archivos de programa
Junto a Archivo de origen, compruebe que la ubicación del archivo
ofcscan.ini es correcta. Para modificar la ruta, haga clic en (
) y busque el
3-17
archivo ofcscan.ini. De forma predeterminada, este archivo está en <Carpeta
de instalación del servidor>\PCCSRV.
9.
En Archivo de salida, haga clic en ( ), especifique la ubicación donde desee crear
el paquete y escriba el nombre de archivo del paquete (por ejemplo,
ClientSetup.exe).
10. Haga clic en Crear.
Cuando Client Packager cree el paquete, aparecerá el mensaje «Paquete creado
correctamente». Localice el paquete en el directorio que haya especificado en el
paso anterior.
Implemente el paquete en los clientes.
Requisitos del cliente:
•
1 GB de espacio libre en disco si el método de exploración del paquete es la
exploración convencional y 500 MB si se trata de smart scan.
•
Windows Installer 3.0 (para ejecutar un paquete MSI)
Directrices para la implementación del paquete:
•
Envíe el paquete a los usuarios y pídales que lo ejecuten haciendo doble clic en el
archivo (.msi o .exe).
Nota
Envíe el paquete solo a los usuarios cuyo Security Agent informará al servidor en el
que se creó el paquete.
•
Si tiene usuarios que ejecutarán el paquete .exe en equipos con Windows Vista, 7,
8, Server 2008, SBS 2011 o Server 2012, indíqueles que hagan clic con el botón
derecho del ratón en el archivo .exe y que seleccionen Ejecutar como
administrador.
•
Si está usando Active Directory, puede implementar automáticamente el Security
Agent en todos los clientes de forma simultánea con el archivo .msi, en lugar de
3-18
Instalar agentes
indicar a los usuarios que instalen ellos mismos el Security Agent. Use
Configuración del equipo en lugar de Configuración del usuario para que el
Security Agent se pueda instalar con independencia de qué usuario inicie sesión en
el cliente.
•
Si un Security Agent recién instalado no se puede conectar con el Security Server, el
Security Agent conservará la configuración predeterminada. Cuando el Security
Agent se conecte con el Security Server, obtendrá la configuración para su grupo
en la consola Web.
•
Si tiene problemas al actualizar el Security Agent con Client Packager, Trend Micro
recomienda que desinstale primero la versión anterior del Security Agent y, a
continuación, que instale la nueva versión. Para obtener instrucciones sobre la
desinstalación, consulte Eliminar agentes en la página 3-42.
Instalar con Instalación remota
Antes de empezar
Instale el Security Agent de forma remota en uno o varios clientes conectados a la red.
Para instalar con Instalación remota, se deben cumplir los siguientes requisitos:
3-19
ELEMENTO QUE
REQUISITO
SE DEBE
COMPROBAR
Cliente de
destino
•
Use una cuenta de administrador para iniciar sesión en cada
cliente de destino.
Nota
dd744293%28WS.10%29.aspx).
•
Cliente de
destino con
Windows Vista,
7, 8, Server
2008/2012 o
SBS 2011
3-20
El cliente de destino no debe tener Security Server instalado. La
instalación remota no instala el Security Agent en un cliente en el
que ya se esté ejecutando el Security Server.
Realice las siguientes tareas:
Nota
Cuando se realiza una instalación remota en Windows 8 o 8.1,
no puede utilizarse la cuenta de Microsoft para iniciar sesión
en el cliente de destino.
Instalar agentes
ELEMENTO QUE
REQUISITO
SE DEBE
COMPROBAR
Cliente de
destino con
Windows Vista,
7, 8, Server
2008/2012 o
SBS 2011
1.
En el cliente, active temporalmente la función Compartir archivos
e impresoras.
Nota
si la normativa de seguridad de su empresa es desactivar
el Firewall de Windows, continúe con el paso 2 para iniciar
el servicio Registro remoto.
2.
a.
Abra el Firewall de Windows desde el Panel de control.
b.
Haga clic en Permitir un programa a través del Firewall
de Windows. Si el programa le pide una contraseña de
administrador o confirmación, escriba la contraseña
correspondiente o confirme. Aparecerá la ventana de
configuración del Firewall de Windows.
c.
En la lista Programa o puerto de la pestaña Excepciones,
compruebe que la casilla Compartir archivos e impresora
está activada.
d.
Haga clic en Aceptar.
Desactive el Control de cuentas de usuario.
Nota
En Win8/2012: modifique la clave de registro siguiente
para desactivar el Control de cuentas de usuario:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\System]
“EnableLUA”=dword:00000000.
3.
Inicie temporalmente el servicio Registro remoto.
a.
Abra la Consola de administración de Microsoft.
Nota
Escriba services.msc en la ventana Ejecutar para
abrir Microsoft Management Console.
b.
4.
Haga clic con el botón derecho del ratón en Registro
remoto y seleccione Iniciar.
Si es necesario, restaure la configuración original después de
instalar los agentes de Security Agent en el cliente Windows
Vista 7, 8 o 8.1.
3-21
ELEMENTO QUE
REQUISITO
SE DEBE
COMPROBAR
Cliente de
destino que
ejecuta
Windows XP
IPv6
En el cliente, desactive temporalmente el uso compartido simple de
archivos:
1.
Abra Windows Explorer.
2.
Haga clic en Herramientas > Opciones de carpeta.
3.
En la pestaña Ver, desactive Utilizar uso compartido simple
de archivos (recomendado).
4.
Haga clic en Aplicar.
Un Security Server de doble pila puede instalar el Security Agent en
cualquier cliente. Un Security Server que solo use IPv6 únicamente
podrá instalar el Security Agent en clientes de doble pila o que solo
usen IPv6.
Procedimiento
1.
En la consola Web, vaya a Configuración de seguridad > Agregar equipo.
Se abrirá una nueva pantalla.
2.
Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo.
3.
Seleccione Instalación remota en la sección Método.
4.
Haga clic en Siguiente.
Aparecerá una nueva pantalla.
5.
En el cuadro Grupos y equipos de la lista de clientes, seleccione un cliente y, a
continuación, haga clic en Agregar. Se le pedirá el nombre de usuario y la
contraseña del cliente.
6.
Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Iniciar
sesión. El cliente aparecerá en el cuadro de lista Equipos seleccionados.
7.
Repita estos pasos hasta que aparezcan todos los clientes en el cuadro de lista
Equipos seleccionados.
3-22
Instalar agentes
8.
Haga clic en Instalar.
Aparecerá un cuadro de confirmación.
9.
Haga clic en Sí para confirmar que desea instalar el agente en los clientes.
Aparecerá una pantalla en la que se indica el progreso a medida que el programa
vaya copiando los archivos del Security Agent en cada cliente.
Cuando Security Server complete la instalación en un cliente, se indicará el estado
de la instalación en el campo Estado del cuadro de lista Equipos seleccionados
y, junto al nombre de dicho cliente, aparecerá una marca de verificación verde.
Si la instalación mediante la función de Instalación remota no tiene éxito, realice estas
tareas:
•
•
Compruebe si el protocolo TCP/IP está activado y configurado correctamente en
el cliente.
•
Si utiliza un servidor proxy para la comunicación entre el cliente y el servidor,
compruebe que la configuración del proxy se haya realizado correctamente.
•
En el explorador Web, elimine los complementos de Trend Micro y el historial de
exploración.
Instalar con Vulnerability Scanner
Antes de empezar
Realice exploraciones de vulnerabilidades para detectar las soluciones antivirus
instaladas, buscar clientes en la red que no dispongan de protección e instalar Security
Agents en dichos clientes.
Para instalar Vulnerability Scanner se deben cumplir los siguientes requisitos:
3-23
ELEMENTO QUE
REQUISITO
SE DEBE
COMPROBAR
Dónde se debe
iniciar
Vulnerability
Scanner
Vulnerability Scanner se puede iniciar en el Security Server o en
cualquier cliente de la red. El cliente no debería estar ejecutando
Terminal Server.
Cliente de
destino
•
El cliente de destino no debe tener Security Server instalado.
Vulnerability Scanner no instala el Security Agent en un cliente
en el que ya se esté ejecutando el Security Server.
•
Los usuarios deben usar una cuenta de administrador para
iniciar sesión en el cliente.
Nota
dd744293%28WS.10%29.aspx).
Hay varios modos de ejecutar exploraciones de vulnerabilidades.
•
Ejecución de una exploración de vulnerabilidades manual en la página 3-24
•
Ejecución de una exploración DHCP en la página 3-26
•
Configuración de una exploración de vulnerabilidades programada en la página 3-29
Ejecución de una exploración de vulnerabilidades manual
Permite ejecutar exploraciones de vulnerabilidades a demanda.
Procedimiento
1.
3-24
Ejecute el Vulnerability Scanner.
Instalar agentes
PARA INICIAR EL
VULNERABILITY
SCANNER EN:
Security Server
Un cliente en la red
PASOS
a.
Acceda a <Carpeta de instalación del
servidor>\PCCSRV\Admin\Utility\TMVS.
b.
Haga doble clic en TMVS.exe.
a.
En el Security Server, acceda a <Carpeta de
instalación del servidor>\PCCSRV\Admin
\Utility.
b.
Copie la carpeta TMVS en el otro cliente.
c.
En el otro cliente, abra la carpeta TMVS y haga doble
clic en TMVS.exe.
2.
Vaya a la sección Exploración manual.
3.
Escriba el intervalo de direcciones IP de los clientes que desee comprobar.
a.
Escriba un intervalo de direcciones IPv4.
Nota
Vulnerability Scanner solo puede realizar consultas en un intervalo de
direcciones IPv4 si se ejecuta en un cliente de doble pila o que solo utilice IPv4.
Vulnerability Scanner sólo admite un rango de direcciones IP de clase B; por
ejemplo, de 168.212.1.1 a 168.212.254.254.
b.
Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6.
Nota
direcciones IPv6 si se ejecuta en un cliente de doble pila o que solo utilice IPv6.
4.
Haga clic en Settings.
Aparecerá la pantalla Configuración.
3-25
5.
Configure los parámetros de la exploración de vulnerabilidades. Para obtener más
información, consulte Configuración de la exploración de vulnerabilidades en la página
3-31.
6.
Se cerrará la pantalla Configuración.
7.
Haga clic en Iniciar.
Los resultados de la exploración de vulnerabilidades aparecen en la tabla
Resultados de la pestaña Exploración manual.
Nota
La información de la dirección MAC no aparece en la tabla Resultados si el equipo
ejecuta Windows Server 2008.
8.
Para guardar los resultados en un archivo de valores separados por comas (CSV),
haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba el
nombre del archivo y, a continuación, haga clic en Guardar.
Ejecución de una exploración DHCP
Para ejecutar exploraciones de vulnerabilidades en clientes que solicitan direcciones IP
desde un servidor DHCP:
Vulnerability Scanner utiliza el puerto de escucha 67, que es el puerto de escucha del
servidor DHCP para solicitudes DHCP. Si detecta una solicitud DHCP desde un cliente,
se ejecutará una exploración de vulnerabilidades en dicho cliente.
Nota
Vulnerability Scanner no puede detectar solicitudes DHCP si se ha iniciado en Windows
Server 2008 o Windows 7.
3-26
Instalar agentes
Procedimiento
1.
Defina los valores de configuración de DHCP en el archivo TMVS.ini que se
encuentra en la siguiente carpeta: <Carpeta de instalación del
TABLA 3-5. Configuración de DHCP en el archivo TMVS.ini
CONFIGURACIÓN
DESCRIPCIÓN
DhcpThreadNum=x
Especifique el número de amenaza para el modo DHCP. El
mínimo es 3 y el máximo 100. El valor predeterminado es
3.
DhcpDelayScan=x
Se trata del tiempo de demora en segundos antes de
comprobar si en el equipo solicitante se encuentra
instalado algún software antivirus.
El mínimo es 0 (sin tiempo de espera) y el máximo 600. El
valor predeterminado es 60.
LogReport=x
0 desactiva el inicio de sesión y 1 lo activa.
Vulnerability Scanner envía los resultados de la
exploración al servidor de WFBS. Los registros se
muestran en la pantalla Registros de sucesos del
sistema de la consola Web.
2.
OsceServer=x
Se trata del nombre DNS o de la dirección IP del servidor
de WFBS.
OsceServerPort=x
Se trata del puerto del servidor Web del servidor de WFBS.
PARA INICIAR EL
VULNERABILITY
SCANNER EN:
Security Server
PASOS
a.
b.
3-27
PARA INICIAR EL
VULNERABILITY
SCANNER EN:
3.
PASOS
a.
\Utility.
b.
c.
clic en TMVS.exe.
Junto a la sección Exploración manual, haga clic en Configuración.
Aparecerá la pantalla Configuración.
4.
Configure los parámetros de la exploración de vulnerabilidades. Para obtener más
información, consulte Configuración de la exploración de vulnerabilidades en la página
3-31.
5.
Se cerrará la pantalla Configuración.
6.
En la tabla de resultados, haga clic en la pestaña DHCP Scan (Exploración de
DHCP).
Nota
La pestaña DHCP Scan no está disponible en equipos en los que se ejecute
Windows Server 2008 y Windows 7.
7.
Haga clic en DHCP Start.
Vulnerability Scanner comienza escuchando las solicitudes DHCP y realiza la
exploración de vulnerabilidades en los clientes a medida que estos inician sesión en
la red.
8.
3-28
Para guardar los resultados en un archivo de valores separados por comas (CSV),
Instalar agentes
Configuración de una exploración de vulnerabilidades
programada
Las exploraciones de vulnerabilidades se ejecutan conforme a una programación.
Procedimiento
1.
PARA INICIAR EL
VULNERABILITY
SCANNER EN:
Security Server
PASOS
a.
b.
a.
\Utility.
b.
c.
clic en TMVS.exe.
2.
Vaya a la sección Exploración programada.
3.
Haga clic en Agregar/editar.
Aparecerá la pantalla Exploración programada.
4.
Escriba un nombre para la exploración de vulnerabilidades programada.
5.
Escriba el intervalo de direcciones IP de los equipos que desee comprobar.
a.
3-29
Nota
direcciones IPv4 si se ejecuta en un equipo host de doble pila o de solo IPv4
que tenga una dirección IPv4 disponible. Vulnerability Scanner sólo admite un
rango de direcciones IP de clase B; por ejemplo, de 168.212.1.1 a
168.212.254.254.
b.
Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6.
Nota
direcciones IPv6 si se ejecuta en un equipo host de doble pila o de solo IPv6
que tenga una dirección IPv6 disponible.
6.
Especifique la hora de inicio con un formato horario de 24 horas y, después,
seleccione con qué frecuencia se ejecutará la exploración. Las opciones entre las
que puede elegir son diariamente, semanalmente o mensualmente.
7.
Seleccione Usar la configuración actual si ha definido y quiere usar la
configuración de exploración de vulnerabilidades manual. Para obtener
información detallada acerca de la configuración de la exploración de
vulnerabilidades manual, consulte Ejecución de una exploración de vulnerabilidades manual
en la página 3-24.
Si no ha especificado una configuración de la exploración de vulnerabilidades
manual o si quiere utilizar otra configuración, seleccione Modificar la
configuración y, después, haga clic en Configuración. Aparecerá la pantalla
Configuración. Defina la configuración de las exploraciones y haga clic en
Aceptar. Para obtener más información, consulte Configuración de la exploración de
vulnerabilidades en la página 3-31.
8.
Se cierra la pantalla Exploración programada. La exploración de vulnerabilidades
programada que haya creado aparecerá en la sección Exploración programada. Si
ha activado las notificaciones, Vulnerability Scanner le enviará los resultados de la
exploración de vulnerabilidades programada.
9.
3-30
Si desea ejecutar la exploración de vulnerabilidades programada inmediatamente,
haga clic en Ejecutar ahora.
Instalar agentes
Los resultados de la exploración de vulnerabilidades aparecen en la tabla
Resultados de la pestaña Exploración programada.
Nota
La información de la dirección MAC no aparece en la tabla Resultados si el equipo
ejecuta Windows Server 2008.
10. Para guardar los resultados en un archivo de valores separados por comas (CSV),
11. Para detener las exploraciones de vulnerabilidades programadas, acceda a la sección
Exploraciones programadas, seleccione la exploración programada que desee y
haga clic en Eliminar.
Configuración de la exploración de vulnerabilidades
Establezca las siguientes configuraciones a la hora de realizar exploraciones de
vulnerabilidades. Para obtener información sobre los distintos tipos de exploraciones de
vulnerabilidades, consulte Instalar con Vulnerability Scanner en la página 3-23.
3-31
CONFIGURACIÓN
Consulta del
producto
DESCRIPCIÓN E INSTRUCCIONES
Vulnerability Scanner puede comprobar la presencia de software
de seguridad en clientes de destino.
1.
Seleccione el software de seguridad que se debe comprobar.
2.
Vulnerability Scanner utiliza los puertos predeterminados que
se muestran en pantalla para comprobar el software. Si el
administrador de software ha cambiado los puertos
predeterminados, será necesario efectuar los cambios
oportunos; de lo contrario, Vulnerability Scanner no detectará
el software.
3.
Para Norton Antivirus Corporate Edition, se puede cambiar la
configuración de tiempo de espera haciendo clic en
Configuración.
Configuración de consultas de otros productos
Para definir el número de clientes que Vulnerability Scanner
comprobará simultáneamente a fin de determinar si disponen de
software de seguridad:
1.
Vaya a la <Carpeta de instalación del servidor>
\PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un
editor de texto como el Bloc de notas.
2.
Para definir el número de clientes comprobados:
•
Para las exploraciones de vulnerabilidades manuales,
cambie el valor de ThreadNumManual. Especifique un
valor comprendido entre 8 y 64.
Por ejemplo, escriba ThreadNumManual=60 si desea que
Vulnerability Scanner compruebe 60 clientes al mismo
tiempo.
•
Para las exploraciones de vulnerabilidades
programadas, cambie el valor de ThreadNumSchedule.
Especifique un valor comprendido entre 8 y 64.
Por ejemplo, escriba ThreadNumSchedule=50 si desea
que Vulnerability Scanner compruebe 50 clientes al
mismo tiempo.
3.
3-32
Guarde TMVS.ini.
Instalar agentes
CONFIGURACIÓN
Configuración de la
recuperación de
descripciones
Cuando Vulnerability Scanner pueda enviar comandos "ping" a
los clientes, podrá recuperar información adicional acerca de
dichos clientes. Hay dos métodos para recuperar información:
•
Recuperación normal: recupera tanto información sobre el
dominio como sobre el equipo
•
Recuperación rápida: solo recupera el nombre del equipo
3-33
CONFIGURACIÓN
Configuración de
las alertas
Para enviarse automáticamente los resultados de la exploración
de vulnerabilidades a sí mismo o a otros administradores de la
organización:
1.
Seleccione Enviar por correo electrónico los resultados al
administrador del sistema.
2.
Haga clic en Configurar para especificar la configuración del
correo electrónico.
3.
En To, escriba la dirección de correo electrónico del
destinatario.
4.
En De, escriba la dirección de correo electrónico del
remitente.
5.
En Servidor SMTP, escriba la dirección del servidor SMTP.
Por ejemplo, escriba smtp.company.com. La información
sobre el servidor SMTP es necesaria.
6.
En Subject, escriba un nuevo asunto de mensaje o acepte el
que se muestra de manera predeterminada.
7.
Para informar a los usuarios de que sus equipos no tienen
instalado software de seguridad:
Guardar como
archivo CSV
1.
Seleccione Mostrar una notificación en los equipos sin
protección.
2.
Haga clic en Personalizar para configurar el mensaje de
notificación.
3.
En la pantalla Mensaje de notificación, escriba un mensaje
nuevo o acepte el predeterminado.
4.
Guarde los resultados de la exploración de vulnerabilidades en un
archivo de valores separados por comas (CSV).
El archivo se guardará en el cliente en el que se ejecutó
Vulnerability Scanner. Acepte la ruta de archivo predeterminada o
cámbiela según sus preferencias.
3-34
Instalar agentes
CONFIGURACIÓN
Configuración del
comando ping
Utilice la configuración del comando "ping" para validar la
existencia de un cliente y determinar su sistema operativo. Si esta
configuración está desactivada, Vulnerability Scanner explora
todas las direcciones IP del intervalo de direcciones IP
especificado, incluso aquellas que no se utilicen en ningún
cliente, por lo que el intento de exploración durará más de lo que
debiera.
1.
En los campos Tamaño del paquete y Tiempo de espera,
acepte o modifique los valores predeterminados.
2.
Seleccione Detectar el tipo de sistema operativo mediante
la opción de huellas de sistema operativo ICMP.
Si selecciona esta opción, Vulnerability Scanner determina si
un cliente ejecuta Windows u otro sistema operativo.
Vulnerability Scanner puede identificar la versión de
Windows en aquellos clientes que ejecuten dicho sistema
operativo.
Otras configuraciones del comando ping
Para definir el número de clientes a los que Vulnerability Scanner
enviará comandos ping simultáneamente:
1.
Vaya a la <Carpeta de instalación del servidor>
\PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un
editor de texto como el Bloc de notas.
2.
Cambie el valor de EchoNum. Especifique un valor
comprendido entre 1 y 64.
Por ejemplo, escriba EchoNum=60 si desea que Vulnerability
Scanner envíe comandos ping a 60 clientes al mismo tiempo.
3.
Guarde TMVS.ini.
3-35
CONFIGURACIÓN
Configuración del
Security Server
1.
Seleccione Instalar automáticamente Security Agent en
equipos sin protección para instalar el Security Agent en
los clientes que explorará Vulnerability Scanner.
2.
Escriba el nombre de host del Security Server o la dirección
IPv4/IPv6 y el número de puerto. Los Security Agents
instalados por Vulnerability Scanner enviarán informes a este
servidor.
3.
Configure las credenciales administrativas para usarlas
cuando se vaya a iniciar sesión en los clientes haciendo clic
en Instalar cuenta. En la pantalla Información de la
cuenta, escriba un nombre de usuario y una contraseña y
haga clic en Aceptar.
Instalar mediante notificación por correo electrónico
Utilice este método de instalación para enviar un mensaje con un enlace al instalador.
Procedimiento
1.
En la consola Web, vaya a Configuración de seguridad > Agregar equipo.
2.
Seleccione Equipo de sobremesa o servidor en la pantalla Tipo de equipo.
3.
Seleccione Instalación mediante notificación por correo electrónico en la
sección Método.
4.
5.
Escriba el asunto del mensaje y los destinatarios.
6.
Haga clic en Aplicar. Se abrirá el cliente de correo electrónico predeterminado con
los destinatarios, el asunto y el enlace al programa de instalación.
3-36
Instalar agentes
Migrar al Security Agent
Al instalar el Security Agent, el programa de instalación comprueba si existe otro
software de seguridad de punto final de Trend Micro o de otro fabricante instalado en el
cliente.
El programa de instalación permite llevar a cabo las siguientes acciones:
•
Eliminar otro software de seguridad de punto final que esté instalado actualmente
en el cliente y sustituirlo por el Security Agent.
•
Detectar otro software de seguridad de punto final, pero sin eliminarlo.
Visite el siguiente sitio Web para obtener una lista completa del software de seguridad de
punto final:
http://esupport.trendmicro.com/solution/en-US/1060980.aspx
Si el software del cliente no se puede eliminar automáticamente o solo se puede detectar,
pero sin eliminarlo, deberá desinstalarlo manualmente primero. Dependiendo del
proceso de desinstalación del software, tendrá que reiniciar o no el cliente tras la
desinstalación.
Problemas de la migración y posibles soluciones
La desinstalación automática del software de seguridad de puntos finales de terceros
puede fracasar por distintas razones:
•
El número de versión o la clave de producto del software de otros fabricantes es
incorrecto.
•
No funciona el programa de desinstalación del software de otros fabricantes.
•
Algunos archivos del software de otro fabricante faltan o están dañados.
•
No se puede limpiar la clave de registro del software de otro fabricante.
•
El software de otro fabricante no dispone de programa de desinstalación.
Posibles soluciones para estos problemas:
•
Elimine manualmente el software de otro fabricante.
•
Detenga el servicio del software de otros fabricantes.
3-37
•
Descargue el servicio o el proceso del software de otros fabricantes.
Realizar tareas posteriores a la instalación en los Security
Agents
Procedimiento
1.
Compruebe lo siguiente:
•
Los accesos directos del Security Agent aparecen en el menú de Inicio de
Windows en el cliente.
•
Trend Micro Worry-Free Business Security Agent figura en la lista
Agregar o quitar programas del Panel de control del cliente.
•
El Security Agent aparece en la pantalla Configuración de seguridad en la
consola Web y se muestra en el grupo Servidores (opción predeterminada)
o Equipos de sobremesa (opción predeterminada), en función del tipo de
sistema operativo del cliente.
Nota
Si no ve el Security Agent, ejecute una tarea de verificación de la conexión
desde Preferencias > Configuración general > pestaña Sistema >
Comprobación de la conexión del agente.
•
Los siguientes servicios del Security Agent aparecen en la Microsoft
Management Console:
•
Trend Micro Security Agent Listener (tmlisten.exe)
•
Trend Micro Security Agent RealTime Scan (ntrtscan.exe)
•
Trend Micro Security Agent NT Proxy Service (TmProxy.exe)
Nota
Este servicio no está disponible en Windows 8 ni Windows Server 2012.
3-38
Instalar agentes
2.
•
Trend Micro Security Agent Firewall (TmPfw.exe) si el cortafuegos se
activó durante la instalación
•
Servicio de prevención de cambios no autorizados de Trend Micro
(TMBMSRV.exe) si la Supervisión de comportamiento o el Control de
dispositivos se activaron durante la instalación
Si el Security Agent no aparece en la consola Web, es posible que no haya podido
enviar su estado al servidor. Siga uno de los pasos siguientes:
•
Abra un explorador Web en el cliente, escriba https://{Nombre de
Trend Micro Security Server}:{Número de puerto}/SMB/cgi/
cgionstart.exe en el cuadro de texto de dirección y presione ENTRAR.
Si en la pantalla siguiente aparece -2, el agente podrá comunicarse con el
servidor. Esto también indica que el problema podría encontrarse en la base
de datos del servidor; es posible que no exista ningún registro del agente.
3.
•
•
Si dispone de un ancho de banda limitado, compruebe si por este motivo se
supera el tiempo de espera de conexión entre el servidor y el cliente.
•
Compruebe que la carpeta \PCCSRV del servidor dispone de derechos
compartidos y si se han concedido a todos los usuarios derechos de control
total
•
Compruebe que la configuración del proxy de Trend Micro Security Server
sea correcta.
Pruebe el Security Agent usando una secuencia de comandos de prueba EICAR.
El Instituto europeo de investigación antivirus EICAR (European Institute for
Computer Antivirus Research) ha creado un virus de prueba que puede utilizarse
para comprobar la instalación y la configuración de su programa antivirus. Se trata
de un archivo de texto inerte con un patrón binario que se incluye en el archivo de
patrones de virus de los proveedores de antivirus. No es ningún virus real ni
contiene ningún código de programa.
Puede descargar el virus de prueba EICAR desde las siguientes direcciones de
Internet:
3-39
http://www.eicar.org/anti_virus_test_file.htm
Otra opción sería crear un virus de prueba EICAR propio; para ello, cree un
archivo de texto llamado eicar.com y escriba lo siguiente:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H*
Nota
elimine la caché del servidor de caché y del explorador local antes de realizar la
prueba.
Instalación de Messaging Security Agent
Los Messaging Security Agents solo se puede instalar si se cuenta con la versión
Advanced de Worry-Free Business Security.
Realice una instalación completamente nueva del Messaging Security Agent en los
servidores Microsoft Exchange.
Nota
Para obtener información sobre cómo actualizar los Messaging Security Agents a esta
versión, consulte el Manual de instalación y actualización.
Requisitos de instalación del Messaging Security Agent
Visite el siguiente sitio Web para obtener una lista completa de los requisitos de
instalación:
3-40
Instalar agentes
Instalar el Messaging Security Agent (Advanced solo)
Antes de empezar
Notas y recordatorios sobre la instalación:
•
No es necesario detener o iniciar los servicios de Microsoft Exchange antes o
después de la instalación.
•
Si existiera información de una instalación previa de Messaging Security Agent en el
cliente, no podrá instalar el Messaging Security Agent correctamente. Utilice la
utilidad Windows Installer Cleanup Utility para limpiar los restos de instalaciones
previas. Para descargar esta utilidad, visite:
http://support.microsoft.com/kb/290301/es-es
•
Si instala el Messaging Security Agent en un servidor con herramientas de bloqueo,
elimine la herramienta de bloqueo para que no desactive el servicio IIS e impida
que la instalación se realice correctamente.
•
El Messaging Security Agent también se puede instalar durante la instalación del
Security Server. Para obtener información detallada, consulte el Manual de
instalación y actualización.
Procedimiento
1.
Vaya a Configuración de seguridad > Agregar equipo.
2.
Seleccione Servidor Exchange.
3.
En Información sobre el servidor Exchange, escriba la siguiente información:
4.
•
Nombre del servidor: El nombre del servidor Microsoft Exchange en el que
desea instalar el agente.
•
Cuenta: Nombre de usuario de administrador de dominio integrada.
•
Contraseña: Contraseña de administrador de dominio integrada.
3-41
El asistente de instalación abrirá una pantalla que variará según el tipo de
instalación que necesite.
•
Instalación desde cero: el agente no existe en el servidor Microsoft
Exchange y se instalará.
•
Actualizar: existe una versión previa del agente en el servidor Microsoft
Exchange y se actualizará a la versión actual.
•
No es necesario instalar: la versión actual del agente ya existe en el servidor
Microsoft Exchange. Si el agente no aparece actualmente en el árbol Grupos
de seguridad, se agregará automáticamente.
•
No válida: hay un problema al instalar el agente.
Nota
Para el tipo de gestión del spam, se utilizará End User Quarantine.
5.
En Directorios, modifique o acepte el destino predeterminado o los directorios
compartidos para la instalación del Messaging Security Agent. El destino
predeterminado y los directorios compartidos son C:\Archivos de programa
\Trend Micro\Messaging Security Agent y C$, respectivamente.
6.
7.
Compruebe que la configuración del servidor Microsoft Exchange especificada en
las pantallas anteriores es correcta y haga clic en Siguiente para iniciar la
instalación.
8.
Para ver el estado de la instalación, haga clic en la pestaña Estado de actividad.
Eliminar agentes
Hay dos formas de eliminar los Security Agents y los Messaging Security Agents
(solo versión Advanced):
3-42
Instalar agentes
Eliminar agentes desde la consola Web
Use esta opción para los agentes inactivos. Un agente inactivo aparece continuamente
como desconectado en la consola Web porque el cliente donde el agente está instalado
puede haber estado desconectado durante un periodo largo de tiempo o haberse
reformateado antes de que se haya podido desinstalar el agente.
Al eliminar agentes desde la consola Web:
•
El agente, si todavía está en el cliente, no se desinstalará.
•
El servidor deja de gestionar el agente.
•
Cuando el agente comienza a comunicarse con el servidor de nuevo (por ejemplo,
después de conectar el cliente), el agente se vuelve a agregar a la consola Web. Un
Security Agent aplica la configuración de su grupo original. Si el grupo ya no existe,
el agente se incluirá en el grupo Servidores (opción predeterminada) o Equipos
de sobremesa (opción predeterminada), en función del sistema operativo del
cliente, y se aplicará la configuración de dicho grupo.
Consejo
WFBS ofrece otra función que comprueba si hay agentes inactivos y los elimina desde la
consola Web. Use esta función para automatizar la tarea de eliminación de agentes. Para
usar esta función, acceda a Preferencias > Configuración general > pestaña Sistema y
vaya a la sección Eliminación de Security Agents inactivos.
Desinstalar el agente
Puede desinstalar el agente (y, en consecuencia, que deje de aparecer en la consola Web)
si encuentra problemas con el programa del agente en cuestión. Trend Micro
recomienda que se reinstale el agente inmediatamente para que el cliente se mantenga a
salvo de las amenazas.
Eliminar agentes desde la consola Web
Procedimiento
1.
Acceda a Configuración de seguridad.
3-43
2.
Para eliminar los Security Agents, seleccione un grupo y, a continuación, elija los
agentes. Para eliminar un Messaging Security Agent, selecciónelo.
Consejo
Para seleccionar varios Security Agents que estén seguidos, haga clic en el primer
agente del intervalo y, con la tecla Mayús pulsada, haga clic en el último agente del
intervalo. Para seleccionar un intervalo de agentes que no sean adyacentes, haga clic
en el primer agente, mantenga pulsada la tecla Ctrl y haga clic en los agentes que
desee seleccionar.
3.
Haga clic en Administrar árbol de clientes > Eliminar grupo/cliente.
4.
Haga clic en Eliminar los agentes seleccionados.
5.
Desinstalar agentes desde la consola Web
Al desinstalar el Messaging Security Agent, el servicio de administración de IIS/servidor
Apache y los demás servicios relacionados se detendrán y reiniciarán automáticamente.
Procedimiento
1.
2.
Para desinstalar los Security Agents, seleccione un grupo y, a continuación, elija los
agentes. Para desinstalar un Messaging Security Agent, selecciónelo.
Consejo
desee seleccionar.
3.
3-44
Haga clic en Administrar árbol de clientes > Eliminar grupo/cliente.
Instalar agentes
4.
Haga clic en Desinstalar los agentes seleccionados.
5.
Aparecerá una pantalla emergente con el número de notificaciones de
desinstalación que ha enviado el servidor y el número de agentes que ha recibido la
notificación.
Nota
Para un Messaging Security Agent, escriba el nombre de cuenta del servidor
Microsoft Exchange que corresponda y especifique la contraseña cuando se le
solicite.
6.
7.
Para comprobar que se ha desinstalado el agente, actualice la pantalla
Configuración de seguridad. Ahora el agente ya no debe aparecer en el árbol
Grupos de seguridad.
Si falla la desinstalación del Security Agent, consulte Usar la herramienta de
desinstalación de SA en la página 3-46.
Desinstalar el Security Agent desde el cliente
Los usuarios pueden desinstalar el agente desde el cliente.
En función de cuál sea su configuración, puede que necesite una contraseña para la
desinstalación. En caso de que necesite una contraseña, asegúrese de compartirla
únicamente con aquellos usuarios que vayan a ejecutar el programa de desinstalación y,
después, modifíquela de inmediato si la ha divulgado a otros usuarios.
La contraseña se puede activar o desactivar en Preferencias > Configuración general
> pestaña Equipo de sobremesa o servidor > Contraseña de desinstalación de
Security Agent.
3-45
Procedimiento
1.
Haga clic en Panel de control > Agregar o quitar programas.
2.
Localice Trend Micro Worry-Free Business Security Agent y haga clic en
Cambiar o Desinstalar, según la opción que esté disponible.
3.
Siga las instrucciones que aparecen en la pantalla.
4.
Escriba la contraseña de desinstalación en caso de que se le solicite.
El Security Server notifica al usuario sobre el progreso y la finalización de la
desinstalación. No es necesario que el usuario reinicie el cliente para completar la
desinstalación.
En caso de que el procedimiento falle, consulte Usar la herramienta de desinstalación de
SA en la página 3-46.
Usar la herramienta de desinstalación de SA
Use la herramienta de desinstalación de SA:
•
Cuando falle una instalación o sea necesario efectuar una desinstalación completa.
La herramienta quita automáticamente todos los componentes del Security Agent
de un cliente.
•
Para descargar el Security Agent
Procedimiento
1.
En el Security Server, acceda a <Carpeta de instalación del servidor>
\PCCSRV\Private.
2.
Copie el archivo SA_Uninstall.exe en el cliente de destino.
3.
En el cliente de destino, ejecute SA_Uninstall.exe.
4.
Inicie sesión en Windows como administrador (o con una cuenta con derechos de
administrador).
5.
Siga los pasos correspondientes a la tarea que desee realizar.
3-46
Instalar agentes
TAREA
Desinstalar el
Security Agent
PASOS
a.
b.
Ejecute Uninstall.bat. Hay varias formas de llevar a
cabo este paso.
•
En Windows Vista, 7, 8, Server 2008/2012 o SBS
2011, acceda al directorio de la herramienta, haga
clic con el botón derecho en Uninstall.bat y
seleccione Ejecutar como administrador. En la
pantalla de UAC, seleccione Aceptar.
•
En Windows XP/2003, haga doble clic en
Uninstall.bat.
Cuando se muestre el mensaje ¿Desea reiniciar
ahora? (S/N), seleccione sí o no:
•
N [Intro]: algunos controladores no se
desinstalarán hasta que reinicie.
•
Y [Intro]: se reinicia después de 30 segundos.
La herramienta de desinstalación de SA detiene el
agente automáticamente.
Descargar el
Security Agent
a.
b.
Ejecute Stop.bat. Hay varias formas de llevar a cabo
este paso.
•
En Windows Vista, 7, 8, Server 2008/2012 o SBS
2011, acceda al directorio de la herramienta, haga
clic con el botón derecho en Stop.bat y seleccione
Ejecutar como administrador. En la pantalla de
UAC, seleccione Aceptar.
•
En Windows XP/2003, haga doble clic en
Stop.bat.
Compruebe que el programa termina cuando el cliente
se detiene.
3-47
Desinstalación del Messaging Security Agent desde el
servidor Microsoft Exchange (Advanced solo)
Al desinstalar el Messaging Security Agent, el servicio de administración de IIS/servidor
Apache y los demás servicios relacionados se detendrán y reiniciarán automáticamente.
Procedimiento
1.
Inicie una sesión en el servidor Microsoft Exchange con derechos de
administrador.
2.
Haga clic en Panel de control > Agregar o quitar programas.
3.
Localice Trend Micro Messaging Security Agent y haga clic en Cambiar.
4.
Siga las instrucciones que aparecen en la pantalla.
3-48
Capítulo 4
Gestionar grupos
En este capítulo se describe el concepto y el uso de grupos en Worry-Free Business
Security.
4-1
Grupos
En Worry-Free Business Security, los grupos son conjuntos de agentes que comparten la
misma configuración y ejecutan las mismas tareas. Organice los agentes en grupos en la
pantalla Configuración de seguridad para que pueda configurarlos y gestionarlos
simultáneamente.
Lista Agentes y árbol Grupos de seguridad
FIGURA 4-1. Pantalla Configuración de seguridad en la que se muestran los agentes
en un grupo
En la pantalla Configuración de seguridad, los grupos aparecen en la sección Árbol
Grupos de seguridad, en el lateral izquierdo. Para facilitar la gestión, cree grupos que
representen departamentos o funciones de su empresa. También puede crear grupos
especiales. Por ejemplo, cree un grupo que incluya Security Agents en los clientes que
presenten un mayor riesgo de infección, de manera que se puedan aplicar
configuraciones y políticas de seguridad más estrictas a dicho grupo.
Al hacer clic en un grupo, los agentes que pertenecen a dicho grupo se muestran en la
lista Agentes, a la derecha.
4-2
Gestionar grupos
Columnas de la lista Agentes
Las columnas de la lista Agentes muestran la siguiente información para cada agente:
Consejo
Las celdas sombreadas en rojo en la lista Agentes contienen información que requiere su
atención.
COLUMNA
INFORMACIÓN MOSTRADA
Para los Security Agents
Nombre
Nombre de host del cliente en el que está instalado el
agente.
Dirección IP
Dirección IP del cliente en el que está instalado el agente.
Conectado/Desconectado
•
Conectado: el agente está conectado al Security
Server.
•
Desconectado: el agente no está conectado al
Security Server.
Exploración programada
Fecha y hora en que se produjo la última exploración
programada.
Exploración manual
Fecha y hora en que se produjo la última exploración
manual.
Plataforma
Sistema operativo del cliente en el que está instalado el
agente.
Arquitectura
•
x64: Sistema operativo de 64 bits.
•
•
Inteligente: exploraciones locales y en Internet.
•
Convencional: exploraciones locales únicamente.
Método de exploración
Para obtener más información, consulte Métodos de
exploración en la página 5-3.
Motor de virus
Versión del Motor de exploración antivirus
4-3
COLUMNA
Smart Scan Agent Pattern
Versión del Smart Scan Agent Pattern
Nota
Esta columna solo
se muestra si el
método de
exploración es
smart scan.
Smart Scan Service
Nota
Esta columna solo
se muestra si el
método de
exploración es
smart scan.
Patrón de virus
•
Conectado: el agente está conectado al Smart Scan
Service.
•
Desconectado: el agente está desconectado del
Smart Scan Service.
Nota
El Smart Scan Service se aloja en el Security
Server. Si un agente está desconectado,
significa que no se puede conectar al Security
Server o que el Smart Scan Service no está
operativo (por ejemplo, si el servicio se ha
detenido).
Versión del patrón de virus
Nota
Esta columna solo
se muestra si el
método de
exploración es el
convencional.
4-4
Virus detectados
Número de virus y malware detectados.
Spyware detectado
Número de spyware/grayware detectados.
Versión
Versión del agente.
Gestionar grupos
COLUMNA
URL infringidas
Número de URL prohibidas a las que se ha accedido.
Spam detectado
Número de mensajes de correo electrónico de spam.
Exploración de POP3
•
Activado
•
Desactivada
Para Messaging Security Agent (Advanced solo)
Nombre
Nombre de host del cliente en el que está instalado el
agente.
Dirección IP
Dirección IP del cliente en el que está instalado el agente.
Conectado/Desconectado
•
Conectado: el agente está conectado al Security
Server.
•
Desconectado: el agente no está conectado al
Security Server.
Plataforma
Sistema operativo del cliente en el que está instalado el
agente.
Arquitectura
•
•
Versión de Exchange
Versión del servidor Microsoft Exchange.
Patrón de virus
Versión del patrón de virus
Motor de virus
Versión del Motor de exploración antivirus
Versión
Versión del agente.
Tareas para grupos y agentes
Ejecute tareas en un grupo o en uno o varios agentes.
La ejecución de tareas conlleva dos pasos:
1.
Seleccione un destino.
2.
Haga clic en el botón de la tarea.
4-5
En la siguiente tabla figuran las tareas que puede realizar.
TAREA
Configurar
4-6
DESTINO
Un grupo de
Security Agent
(sobremesa o
servidor)
DESCRIPCIÓN
Defina las siguientes configuraciones básicas de
seguridad para todos los Security Agents que
pertenecen al grupo seleccionado:
•
Método de exploración. Consulte el apartado
Configurar los métodos de exploración en la
página 5-5.
•
Antivirus/Anti-spyware. Consulte el apartado
Configurar la exploración en tiempo real para
los Security Agents en la página 5-8.
•
Cortafuegos. Consulte el apartado Configurar
el cortafuegos en la página 5-11.
•
Reputación Web. Consulte el apartado
Configurar la reputación Web para los
Security Agents en la página 5-18.
•
Filtrado de URL. Consulte el apartado
Configuración del filtrado de URL en la
página 5-19.
•
Supervisión de comportamiento: Consulte el
apartado Configurar la supervisión del
comportamiento en la página 5-22.
•
Control de dispositivos. Consulte el apartado
Configurar el control de los dispositivos en la
página 5-26.
•
Herramientas del usuario (solo grupos de
equipos de sobremesa). Consulte el apartado
Configurar las herramientas de usuario en la
página 5-28.
•
Derechos del cliente. Consulte el apartado
Configurar los derechos del cliente en la
página 5-29.
•
Poner en cuarentena: Consulte el apartado
Configurar el directorio de cuarentena en la
página 5-34.
Gestionar grupos
TAREA
Configurar
Replicar
configuración
DESTINO
Un Messaging
Security Agent
(Advanced solo)
Un grupo de
Security Agent
(sobremesa o
servidor)
DESCRIPCIÓN
Defina las siguientes configuraciones básicas de
seguridad para el Messaging Security Agent
seleccionado:
•
Antivirus: Consulte el apartado Configurar la
exploración en tiempo real para Messaging
Security Agent en la página 6-6.
•
Antispam: Consulte Configurar Email
Reputation en la página 6-8 y Configurar la
exploración del contenido en la página 6-10.
•
Filtrado de contenidos: Consulte el apartado
Gestionar las reglas del filtrado de contenidos
en la página 6-16.
•
Bloqueo de archivos adjuntos: Consulte el
apartado Configurar el bloqueo de archivos
adjuntos en la página 6-47.
•
Reputación Web. Consulte el apartado
Configurar la reputación Web para los
Messaging Security Agents en la página
6-52.
•
Poner en cuarentena: Consulte Consultar
directorios de cuarentena en la página 6-65,
Mantener directorios de cuarentena en la
página 6-69 y Configurar directorios de
cuarentena en la página 6-70.
•
Operaciones. Consulte Definir
configuraciones de notificación para los
Messaging Security Agents en la página
6-72, Configurar el mantenimiento del spam
en la página 6-73 y Generar informes del
depurador del sistema en la página 6-77.
Las configuraciones del grupo seleccionado las
aplicará otro grupo del mismo tipo (grupo de
equipos de sobremesa o servidores).
Para obtener más información, consulte Replicar
configuración en la página 4-17.
4-7
TAREA
Importar
DESTINO
Un grupo de
Security Agent
(sobremesa o
servidor)
DESCRIPCIÓN
Importe la configuración de un grupo de origen a
un grupo de destino seleccionado.
Antes de realizar la importación, debe haber
exportado la configuración del grupo de origen a
un archivo.
Para obtener más información, consulte Importar
y exportar la configuración de grupos de Security
Agents en la página 4-19.
Exportar
Un grupo de
Security Agent
(sobremesa o
servidor)
Exporte la configuración del grupo de destino
seleccionado a un archivo.
Realice esta tarea para hacer una copia de
seguridad de la configuración o para importarla a
otro grupo.
Para obtener más información, consulte Importar
y exportar la configuración de grupos de Security
Agents en la página 4-19.
Agregar grupo
Árbol Grupos de
seguridad ( )
Agregue un nuevo grupo de Security Agent (grupo
de equipos de sobremesa o servidores).
Para obtener más información, consulte Agregar
grupos en la página 4-10.
Agregar
Árbol Grupos de
seguridad ( )
Instale una de las siguientes opciones:
•
Security Agent en un cliente (equipo de
sobremesa o servidor)
•
Messaging Security Agent en un servidor
Microsoft Exchange (Advanced solo)
Para obtener más información, consulte Agregar
agentes a grupos en la página 4-11.
4-8
Gestionar grupos
TAREA
Quitar
DESTINO
Un grupo de
Security Agent
(sobremesa o
servidor)
DESCRIPCIÓN
Elimine el grupo seleccionado del Árbol Grupos
de seguridad.
Asegúrese de que el grupo no tenga ningún
agente; de lo contrario, el grupo no se eliminará.
Para obtener más información, consulte Eliminar
agentes en la página 3-42.
Uno o varios
Security Agents
pertenecientes a
un grupo
Tiene dos opciones:
•
Elimine los Security Agents seleccionados de
su grupo.
•
Desinstale los Security Agents seleccionados
de sus clientes y elimínelos del grupo.
Un Messaging
Security Agent
(Advanced solo)
Tiene dos opciones:
•
Elimine el Messaging Security Agent y su
grupo.
•
Desinstale los Messaging Security Agents del
servidor Microsoft Exchange y elimine su
grupo.
Mover
Uno o varios
Security Agents
pertenecientes a
un grupo
Mueva los Security Agents seleccionados a otro
grupo o a otro Security Server.
Para obtener más información, consulte Mover
4-9
TAREA
Restablecer
contadores
DESTINO
DESCRIPCIÓN
Árbol Grupos de
seguridad ( )
Restablece a cero los recuentos de amenazas de
todos los Security Agents. En concreto, se
restablecerán los valores de las siguientes
columnas de la lista Agentes:
•
Virus detectados
•
Spyware detectado
•
Spam detectado
•
URL infringidas
Si desea obtener información detallada acerca de
estas columnas, consulte Lista Agentes y árbol
Grupos de seguridad en la página 4-2.
Agregar grupos
Agregue un grupo de equipos de sobremesa o de servidores, el cual puede contener uno
o varios Security Agents.
No es posible agregar un grupo que contenga Messaging Security Agents. Una vez que
un Messaging Security Agent esté instado y pueda enviar informes al Security Server,
este será automáticamente su propio grupo en el Árbol Grupos de seguridad.
Procedimiento
1.
2.
Haga clic en Agregar grupo.
3.
4.
4-10
Seleccione un tipo de grupo.
•
Equipos de sobremesa
•
Servidores
Escriba un nombre para el grupo.
Gestionar grupos
5.
Para aplicar la configuración de un grupo existente al grupo que está agregando,
haga clic en Importar configuración de un grupo y, a continuación, seleccione el
grupo. Solo se mostrarán grupos para el tipo de grupo seleccionado.
6.
Haga clic en Guardar.
Agregar agentes a grupos
Una vez que un agente está instalado y puede enviar informes al Security Server, el
servidor lo agrega a un grupo.
•
Los Security Agents instalados en las plataformas de servidor, como Windows
Server 2003 y Windows Server 2008, se agregan al grupo Servidores (opción
predeterminada).
•
Los Security Agents instalados en las plataformas de equipos de sobremesa, como
Windows XP, Windows Vista y Windows 7, se agregan al grupo Equipos de
sobremesa (opción predeterminada).
Nota
Puede asignar Security Agents a otros grupos moviéndolos. Para obtener más
información, consulte Mover agentes en la página 4-12.
•
Cada Messaging Security Agent (Advanced solo) forma su propio grupo. No es
posible organizar varios Messaging Security Agents en un grupo.
Si el número de agentes reflejados en el árbol Grupos de seguridad es incorrecto, puede
que los agentes se hayan eliminado sin informar al respecto al servidor (por ejemplo, si
se perdió la comunicación entre el cliente y el servidor mientras se eliminaba el agente).
Esto provoca que el servidor conserve la información del agente en la base de datos e
indique que el agente está desconectado en la consola Web. Al reinstalar el agente, el
servidor crea un registro nuevo en la base de datos y considera que el agente es nuevo,
por lo que el agente aparece dos veces en el árbol Grupos de seguridad. Para comprobar
los registros duplicados de agentes, use la función de Comprobación de la conexión del
agente, en Preferencias > Configuración general > Sistema.
4-11
Instalar Security Agents
Consulte los siguientes temas:
•
Requisitos de instalación del Security Agent en la página 3-2
•
Consideraciones sobre la instalación del Security Agent en la página 3-2
•
Métodos de instalación del Security Agent en la página 3-8
•
•
Instalar desde la página Web interna en la página 3-11
•
Instalar con Configuración de secuencia de comandos de inicio de sesión en la página 3-13
•
Instalar con Client Packager en la página 3-15
•
Instalar con Instalación remota en la página 3-19
•
Instalar con Vulnerability Scanner en la página 3-23
•
Instalar mediante notificación por correo electrónico en la página 3-36
Realizar tareas posteriores a la instalación en los Security Agents en la página 3-38
Instalar Messaging Security Agents (Advanced solo)
Consulte los siguientes temas:
•
Requisitos de instalación del Messaging Security Agent en la página 3-40
•
Instalar el Messaging Security Agent (Advanced solo) en la página 3-41
Mover agentes
Existen varias formas de mover los agentes.
4-12
Gestionar grupos
AGENTE QUE
SE VA A
DETALLES
CÓMO MOVER LOS AGENTES
MOVER
Security
Agent
Mover agentes de seguridad entre
grupos. Después de moverlos, los
agentes heredan la configuración de su
nuevo grupo.
Use la consola Web para
mover uno o varios agentes.
Consulte el apartado Mover
Security Agents entre grupos
en la página 4-13.
Si cuenta con dos Security Servers como
mínimo, muévalos entre los servidores.
•
Use la consola Web
para mover uno o varios
agentes. Consulte el
apartado Mover agentes
entre Security Servers
usando la consola Web
en la página 4-14.
•
Ejecute la herramienta
Client Mover en un
cliente para mover el
agente instalado en
dicho cliente. Consulte el
apartado Mover un
Security Agent entre
Security Servers usando
Client Mover en la
página 4-15.
Después de moverlos, los agentes se
unirán al grupo Equipos de sobremesa
(opción predeterminada) o Servidores
(opción predeterminada) en el otro
Security Server, en función del sistema
operativo del cliente. El agente hereda la
configuración del nuevo grupo.
Messaging
Security
Agent (sólo
Advanced)
Si cuenta con dos Security Servers como
mínimo, mueva los Messaging Security
Agents entre los servidores.
Después de moverlos, cada agente será
su propio grupo en el otro Security
Server y conservará su configuración.
Use la consola Web para
mover uno o varios agentes
cada vez. Consulte el
apartado Mover agentes
entre Security Servers
usando la consola Web en la
página 4-14.
Mover Security Agents entre grupos
Procedimiento
1.
4-13
2.
Seleccione un grupo de servidores o equipos de sobremesa.
3.
Seleccione los agentes que desee mover.
Consejo
desee seleccionar.
4.
Arrastre los agentes hasta el nuevo grupo.
Mover agentes entre Security Servers usando la consola
Web
Antes de empezar
Al mover un agente entre Security Servers:
•
Si un agente que está ejecutando una versión anterior se mueve a un Security Server
que tenga la versión actual, el agente se actualizará automáticamente.
•
No mueva un agente que esté ejecutando la versión actual a un Security Server que
tenga una versión anterior porque el agente se quedaría sin gestionar (el agente se
eliminará del registro del servidor anterior, pero no conseguirá registrarse en el
servidor nuevo, en consecuencia, no aparecerá tampoco en la consola Web). El
agente conservará su versión actual y no se cambiará a la versión anterior.
•
Los Security Servers deben ser de la misma versión de idioma.
•
Registre el nombre de host y el puerto de escucha del Security Server al que se
moverá el agente. El nombre de host y el puerto de escucha se encuentran en la
pantalla Configuración de seguridad del Security Server, por encima del panel
Tareas.
4-14
Gestionar grupos
Procedimiento
1.
En la consola Web del Security Server que gestiona actualmente los agentes, acceda
a Configuración de seguridad.
2.
Para mover los Security Agents, seleccione un grupo y, a continuación, seleccione
los agentes. Para mover un Messaging Security Agent, selecciónelo.
Consejo
desee seleccionar.
3.
Haga clic en Administrar árbol de clientes > Mover cliente.
4.
Escriba el nombre de host y el puerto de escucha del Security Server al que se
moverán los agentes.
5.
Haga clic en Mover.
6.
Para comprobar si los agentes envían ahora sus informes al otro Security Server,
abra la consola Web del servidor en cuestión y localice los agentes en el árbol
Nota
Si los agentes no aparecen en el árbol Grupos de seguridad, reinicie el Servicio
maestro del servidor (ofservice.exe).
Mover un Security Agent entre Security Servers usando
Client Mover
Antes de empezar
Al mover un agente entre Security Servers:
4-15
•
Si un agente que está ejecutando una versión anterior se mueve a un Security Server
que tenga la versión actual, el agente se actualizará automáticamente.
•
No mueva un agente que esté ejecutando la versión actual a un Security Server que
tenga una versión anterior porque el agente se quedaría sin gestionar (el agente se
eliminará del registro del servidor anterior, pero no conseguirá registrarse en el
servidor nuevo, en consecuencia, no aparecerá tampoco en la consola Web). El
agente conservará su versión actual y no se cambiará a la versión anterior.
•
Los Security Servers deben ser de la misma versión de idioma.
•
Registre el nombre de host y el puerto de escucha del Security Server al que se
moverá el agente. El nombre de host y el puerto de escucha se encuentran en la
pantalla Configuración de seguridad del Security Server, por encima del panel
Tareas.
•
Inicie sesión en el cliente con una cuenta de administrador.
Procedimiento
1.
En el cliente, abra una ventana de símbolo del sistema.
Nota
Debe ejecutar el símbolo del sistema como administrador.
2.
Escriba cd y la ruta de la carpeta de instalación de Security Agent. Por ejemplo: cd
C:\Program Files\Trend Micro\Security Agent
3.
Ejecute Client Mover con la siguiente sintaxis:
<executable file name> -s <server name> -p <server
listening port> -m 1 -c <client listening port>
TABLA 4-1. Parámetros de Client Mover
PARÁMETRO
<executable file
name>
4-16
EXPLICACIÓN
IpXfer.exe
Gestionar grupos
PARÁMETRO
EXPLICACIÓN
<server name>
El nombre del servidor de WFBS de destino (el servidor
al que el agente realizará transferencias)
<server listening
port>
El puerto de escucha (o puerto de confianza) del Security
Server de destino.
1
El servidor basado en HTTP (debe utilizar el número “1”
después de “-m”)
<client listening
port>
El número de puerto que utiliza el Security Agent para
comunicarse con el servidor
Ejemplo:
ipXfer.exe -s Server01 -p 8080 -m 1 -c 21112
4.
Para comprobar si el Security Agent envía ahora sus informes al otro Security
Server, abra la consola Web del servidor en cuestión y localice el agente en el árbol
Nota
Si el agente no aparece en el árbol Grupos de seguridad, reinicie el Servicio maestro
del servidor (ofservice.exe).
Replicar configuración
Las configuraciones se pueden replicar entre grupos de Security Agents o entre
Messaging Security Agents (Advanced solo).
Replicar configuraciones de grupo de Security Agents
Use esta función para aplicar la configuración de un grupo concreto de servidores o de
equipos de sobremesa a otro grupo del mismo tipo. No es posible replicar la
configuración de un grupo de servidores a un grupo de equipos de sobremesa ni
viceversa.
4-17
Si hay solo un grupo para un tipo de grupo particular, esta función se desactivará.
Procedimiento
1.
2.
3.
Haga clic en Más > Replicar configuración.
4.
Seleccione los grupos de destino que heredarán la configuración.
5.
Replicar configuraciones del Messaging Security Agent
(Advanced solo)
Solo puede replicar configuraciones entre los Messaging Security Agents si comparten el
mismo dominio.
Procedimiento
1.
2.
Seleccione un Messaging Security Agent.
3.
Haga clic en Más > Replicar configuración.
4.
Seleccione el Messaging Security Agent que heredará la configuración.
5.
6.
Si la replicación no se realizó correctamente:
a.
4-18
Inicie el Editor del registro (regedit).
Gestionar grupos
b.
Acceda a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecurePipeServers\winreg.
c.
Haga clic con el botón derecho del ratón en winreg > Permisos.
d.
Añada Smex Admin Group del dominio de destino y active Permitir Leer.
Importar y exportar la configuración de grupos
de Security Agents
Exporte la configuración de un grupo de servidores o de equipos de sobremesa a un
archivo .dat para hacer una copia de seguridad de la configuración. También puede
usar el archivo .dat para importar la configuración a otro grupo.
Nota
Puede importar o exportar la configuración entre grupos de equipos de sobremesa y
servidores. La configuración no depende de un tipo de grupo. También puede usar la
función Replicar configuración, aunque esta función depende del tipo de grupo. Para
obtener información detallada acerca de la función Replicar configuración, consulte Replicar
configuración en la página 4-17.
Configuraciones que se pueden importar y exportar
Las configuraciones que se pueden importar y exportar dependen de si se elige el icono
del árbol Grupos de seguridad ( ) o un grupo de servidores o equipos de sobremesa
concreto.
4-19
SELECCIÓN
Icono del árbol
Grupos de
seguridad ( )
4-20
PANTALLA QUE CONTIENE LA
CONFIGURACIONES QUE SE PUEDEN
CONFIGURACIÓN
EXPORTAR O IMPORTAR
Configuración de seguridad
(Configuración de seguridad >
Definir la configuración)
Las siguientes configuraciones
para los grupos de Servidores
(opción predeterminada) y
Equipos de sobremesa (opción
predeterminada):
•
•
Firewall
•
Reputación Web
•
Filtrado de URL
•
Supervisión del
comportamiento
•
Programa de confianza
•
Herramientas del usuario
(disponibles solo en grupos
de equipos de sobremesa)
•
Derechos del cliente
•
Cuarentena
•
Actualización manual
(Actualizaciones > Manual)
Componentes seleccionados en
la pantalla Actualización manual
Actualización programada
(Actualizaciones >
Programada)
Componentes seleccionados y
programados en la pantalla
Actualización programada
Informes programados (Informes
> Informes programados)
Todas las configuraciones
Mantenimiento de los informes
(Informes > Mantenimiento)
Notificaciones (Preferencias >
Notificaciones)
Gestionar grupos
SELECCIÓN
Icono del árbol
Grupos de
seguridad ( )
Grupo de
equipos de
sobremesa (
o grupo de
servidores (
PANTALLA QUE CONTIENE LA
CONFIGURACIONES QUE SE PUEDEN
CONFIGURACIÓN
EXPORTAR O IMPORTAR
(Preferencias > Configuración
general)
)
Configuración de seguridad
(Configuración de seguridad >
Definir la configuración)
)
Todas las configuraciones de las
siguientes pestañas:
•
Proxy
•
SMTP
•
Equipo de sobremesa o
servidor
•
Sistema
•
Exploración antivirus/
antispyware en tiempo real
•
Firewall
•
Reputación Web
•
Filtrado de URL
•
Supervisión del
comportamiento
•
•
(disponibles solo en
grupos de equipos de
sobremesa)
•
•
Cuarentena
•
Pantalla Exploración manual
(Exploraciones > Exploración
manual)
Pantalla Exploración programada
(Exploraciones > Exploración
programada)
4-21
Exportar configuración
Procedimiento
1.
2.
Seleccione el árbol Grupos de seguridad o un grupo de equipos de sobremesa/
servidores.
3.
Haga clic en Más > Exportar.
4.
Si ha seleccionado el árbol Grupos de seguridad, seleccione la configuración que
desea exportar.
5.
Haga clic en Más > Exportar.
Aparecerá un cuadro de diálogo.
6.
Haga clic en Guardar, acceda a la ubicación que desee y haga clic en Guardar.
Importar configuración
Procedimiento
1.
2.
Seleccione el árbol Grupos de seguridad o un grupo de equipos de sobremesa/
servidores.
3.
Haga clic en Más > Importar.
4.
4-22
Haga clic en Examinar, busque el archivo y, a continuación, haga clic en
Importar.
Capítulo 5
Gestionar la configuración de
seguridad básica para los Security
Agents
En este capítulo se explica cómo definir la configuración de seguridad básica para los
Security Agents.
5-1
Resumen de la configuración de seguridad
básica para los Security Agents
TABLA 5-1. Resumen de la configuración de seguridad básica para los Security
Agents
OPCIÓN
5-2
DESCRIPCIÓN
PREDETERMINADAS
Configure si Smart Scan
está activado o
desactivado.
La opción de activado o
desactivado se selecciona
durante la instalación de
WFBS.
Antivirus/Antispyware
Configure las opciones de
exploración en tiempo real,
antivirus y antispyware.
Activada (exploración en
tiempo real)
Firewall
Configure las opciones del
cortafuegos.
Desactivada
Reputación Web
reputación Web para la
oficina o fuera de la oficina.
En la oficina: activada (nivel
bajo)
Filtrado de URL
El filtrado de URL bloquea
los sitios Web que infringen
las políticas configuradas.
activada (nivel bajo)
Supervisión del
comportamiento
supervisión de
comportamiento.
Habilitado para grupos de
equipos de sobremesa
Especificar los programas
cuyo comportamiento no es
preciso supervisar en busca
de conductas sospechosas
N/D
Configure la ejecución
automática, USB y el
acceso a redes
Desactivada
Fuera de la oficina:
activada (nivel medio)
Desactivado para grupos
de servidores
Gestionar la configuración de seguridad básica para los Security Agents
OPCIÓN
DESCRIPCIÓN
PREDETERMINADAS
Configuración del asesor de
Wi-Fi y la barra de
herramientas antispam de
Trend Micro
Desactivado: Asesor de WiFi
Configure el acceso a los
parámetros de
configuración desde la
consola del agente.
Desactivado: barra de
herramientas anti-spam en
los clientes de correo
compatibles
N/D
Desactivar el uso de
actualizaciones y
correcciones del agente de
seguridad
Cuarentena
Especifique el directorio de
cuarentena.
N/D
Métodos de exploración
Los Security Agents pueden utilizar uno de los dos métodos de exploración al realizar
una exploración en busca de amenazas de seguridad.
•
Smart Scan: los Security Agents que utilizan smart scan se denominan agentes de
smart scan en este documento. Los agentes de smart scan se benefician de las
exploraciones locales y de las consultas por Internet proporcionadas por los
Servicios de File Reputation.
•
Exploración convencional: los Security Agents que no usan smart scan se
denominan agentes de exploración convencional. Un agente de exploración
convencional almacena todos los componentes en el cliente y explora todos los
archivos de manera local.
La siguiente tabla ofrece una comparación entre los dos métodos de exploración:
5-3
TABLA 5-2. Comparación entre la exploración convencional y smart scan
REFERENCIAS DE LA
COMPARACIÓN
EXPLORACIÓN CONVENCIONAL
SMART SCAN
Disponibilidad
Disponible en esta versión
de WFBS y en todas las
anteriores
Inicio en WFBS 6.0 disponible
Comportamiento
de la exploración
El agente de exploración
convencional realiza
exploraciones en el cliente.
•
El agente de smart scan realiza
exploraciones en el cliente.
•
Si el agente no puede
determinar el riesgo del archivo
durante la exploración, el
agente verifica dicho riesgo
enviando una consulta de
exploración al servidor de
exploración (en el caso de los
agentes conectados al Security
Server) o a Trend Micro Smart
Protection Network (para los
agentes desconectados del
Security Server).
Nota
El servidor de exploración
es un servicio que se
ejecuta en el Security
Server.
•
Componentes en
uso y actualizados
5-4
Todos los componentes del
Security Agent disponibles
en la fuente de
actualización, excepto el
El agente "almacena en caché"
el resultado de dicha consulta
para mejorar el rendimiento de
la exploración.
Todos los componentes disponibles
en la fuente de actualización,
excepto el patrón de virus
REFERENCIAS DE LA
COMPARACIÓN
Fuente de
actualización
tradicional
EXPLORACIÓN CONVENCIONAL
Security Server
SMART SCAN
Security Server
Configurar los métodos de exploración
Antes de empezar
Al instalar el Security Server, se ofrece la posibilidad de activar el smart scan. Si activó
esta opción, el método de exploración predeterminado será smart scan, lo que significa
que todos los Security Agents utilizarán el método smart scan. De lo contrario, la
exploración convencional es el valor predeterminado. Puede hacer que los agentes
alternen entre estos métodos de exploración en función de las necesidades de cada
momento. Por ejemplo:
•
Si los agentes utilizan actualmente la exploración convencional y observan que la
exploración requiere una cantidad de tiempo considerable para realizarse, pueden
cambiar al método smart scan, que se ha diseñado para ser más rápido y eficiente.
Otra situación en la que se puede cambiar al método smart scan es cuando el
agente tiene poco espacio en disco, ya que los agentes que usan smart scan
descargan unos tamaños de patrón inferiores y, en consecuencia, requieren menos
espacio en disco.
Antes de cambiar al método smart scan, acceda a Preferencias > Configuración
general > pestaña Equipos de sobremesa/servidores y diríjase a la sección
Configuración de la exploración general. La opción Desactivar Smart Scan
Service debe estar desactivada.
•
Cambie los agentes al método de exploración convencional si observa una
reducción del rendimiento del Security Server, lo que podría significar que este no
es capaz de gestionar todas las peticiones de exploración de los agentes en el
momento apropiado.
En la siguiente tabla se enumeran algunas consideraciones relacionadas con los cambios
de método de exploración:
5-5
TABLA 5-3. Consideraciones al alternar entre los métodos de exploración
CONSIDERACIÓN
Conexión con el
Security Server
DETALLES
Asegúrese de que los Security Agents puedan conectarse al
Security Server. Únicamente los agentes que estén
conectados recibirán información sobre el cambio a un
método de exploración diferente. Los agentes que estén
desconectados recibirán la notificación en el momento en que
se conecten.
Debe comprobar también que el Security Server tenga los
últimos componentes porque los agentes deben descargar
componentes nuevos del Security Server, por ejemplo, el
Smart Scan Agent Pattern para los agentes que cambien al
modo smart scan y el Patrón de virus para los agentes que
cambien al método de exploración convencional.
Número de Security
Agents que se van a
cambiar
5-6
Si se cambia un número relativamente bajo de Security
Agents al mismo tiempo, se permite un uso más eficaz de los
recursos del Security Server. El Security Server puede llevar a
cabo otras tareas importantes mientras los agentes cambian
los métodos de exploración.
CONSIDERACIÓN
Tiempo
DETALLES
Al cambiar Security Agents por primera vez, los agentes
deben descargar la versión completa del Smart Scan Agent
Pattern (para los agentes que cambien al modo smart scan) o
el Patrón de virus (para los agentes que cambien a la
exploración convencional).
Considere la opción de realizar el cambio durante las horas
de menor actividad para garantizar que el proceso de
descarga se realiza en un corto periodo de tiempo. Además,
desactive de forma temporal la opción "Actualizar ahora" de
los agentes para evitar que se produzcan actualizaciones
iniciadas por los usuarios. Vuelva a activar esta opción una
vez que los usuarios hayan cambiado el método de
exploración.
Nota
Posteriormente, los agentes descargarán versiones
más pequeñas e incrementales del Smart Scan Agent
Pattern o del Patrón de virus, siempre que realicen
actualizaciones con frecuencia.
Compatibilidad con
IPv6
Un agente que solo utilice IPv6, que emplee el método smart
scan y que esté desconectado no podrá enviar consultas
directamente a Trend Micro Smart Protection Network.
Es necesario un servidor proxy de doble pila que convierta
direcciones IP, como DeleGate, para que los agentes de
smart scan puedan enviar consultas.
Procedimiento
1.
2.
3.
Haga clic en Definir la configuración.
4.
Seleccione el método de exploración que desee.
5-7
5.
Exploración en tiempo real para los Security
Agents
La exploración en tiempo real es una exploración continua y constante. Cada vez que se
abre, descarga, copia o modifica un archivo, la exploración en tiempo real del Security
Agent explora el archivo en busca de amenazas.
Configurar la exploración en tiempo real para los Security
Agents
Procedimiento
1.
2.
3.
4.
Haga clic en Antivirus/Antispyware.
5.
Seleccione Activar antivirus o antispyware en tiempo real.
6.
Configurar los parámetros de exploración. Para obtener información detallada,
consulte Explorar destinos y acciones para los Security Agents en la página 7-11:
Nota
Si concede a los usuarios el derecho de definir sus propias configuraciones de
exploración, las configuraciones definidas por el usuario serán las que se usen durante
la exploración.
5-8
7.
Firewall
El cortafuegos puede bloquear o permitir determinados tipos de tráfico de red creando
una barrera entre el cliente y la red. Asimismo, el cortafuegos identifica patrones de los
paquetes de red que pueden indicar un ataque a los clientes.
WFBS tiene dos opciones para elegir a la hora de configurar el cortafuegos: el modo
simple y el modo avanzado. El modo simple activa el cortafuegos con la configuración
predeterminada recomendada por Trend Micro. Utilice el modo avanzado para
personalizar la configuración del cortafuegos.
Consejo
Trend Micro recomienda desinstalar otros cortafuegos basados en software antes de
implementar y activar el cortafuegos de Trend Micro.
Configuración predeterminada del cortafuegos en modo simple
El cortafuegos proporciona una configuración predeterminada como base para iniciar la
estrategia de protección del cortafuegos del cliente. Esta configuración predeterminada
incluye las condiciones más habituales que pueden existir en los clientes, como la
necesidad de acceder a Internet y descargar o cargar archivos con FTP.
Nota
De forma predeterminada, WFBS desactiva el cortafuegos en todos los grupos y Security
Agents nuevos.
5-9
TABLA 5-4. Configuración predeterminada del cortafuegos
CONFIGURACIÓN
Nivel de seguridad
ESTADO
Baja
Se permite el tráfico entrante y saliente; solo se
bloquean los virus de red.
Sistema de detección de
intrusiones
Desactivada
Mensaje de alerta (enviar)
Desactivada
TABLA 5-5. Excepciones predeterminadas del cortafuegos
NOMBRE DE
EXCEPCIÓN
5-10
ACCIÓN
DIRECCIÓN
PROTOCOLO
PUERTO
DNS
Permitir
Entrante y
saliente
TCP/UDP
53
NetBIOS
Permitir
Entrante y
saliente
TCP/UDP
137, 138, 139,
445
HTTPS
Permitir
Entrante y
saliente
TCP
443
HTTP
Permitir
Entrante y
saliente
TCP
80
Telnet
Permitir
Entrante y
saliente
TCP
23
SMTP
Permitir
Entrante y
saliente
TCP
25
FTP
Permitir
Entrante y
saliente
TCP
21
POP3
Permitir
Entrante y
saliente
TCP
110
MSA
Permitir
Entrante y
saliente
TCP
16372, 16373
TABLA 5-6. Configuración predeterminada del cortafuegos según la ubicación
UBICACIÓN
CONFIGURACIÓN DEL CORTAFUEGOS
En la oficina
Desactivado
Fuera de la oficina
Desactivado
Filtrado de tráfico
El cortafuegos filtra todo el tráfico de entrada y de salida, lo que permite bloquear
determinados tipos de tráfico según los criterios que se indican a continuación:
•
Dirección (entrada/salida)
•
Protocolo (TCP/UDP/ICMP/ICMPv6)
•
Puertos de destino
•
Equipo de destino
Buscar virus de red
El cortafuegos también examina cada paquete en busca de virus de red.
Inspección de estado
El cortafuegos ofrece funciones de inspección de estado que supervisa todas las
conexiones con el cliente y recuerda todos los estados de conexión. Puede identificar
condiciones específicas en cualquier conexión, predice las acciones que pueden suceder a
continuación y detecta las interrupciones en una conexión normal. Por tanto, un uso
eficaz del cortafuegos no sólo implica crear perfiles y políticas, sino también analizar
paquetes de conexiones y filtros que pasen a través del cortafuegos.
Controlador del cortafuegos habitual
El controlador del cortafuegos habitual, junto con la configuración del cortafuegos
definida por el usuario, bloquea los puertos durante una epidemia. Además, utiliza el
archivo de patrones de virus de red para detectar virus de red.
Configurar el cortafuegos
Configure el cortafuegos para la oficina o fuera de la oficina. Si la opción Conocimiento
de ubicación está activada, la configuración de En la oficina se utilizará para las
5-11
conexiones Fuera de la oficina. Para obtener información acerca del Conocimiento de
ubicación, consulte Definir la configuración de los equipos de sobremesa/servidores en la página
11-5.
Trend Micro desactiva el cortafuegos de forma predeterminada.
Procedimiento
1.
2.
3.
4.
Haga clic en Cortafuegos > En la oficina o Cortafuegos > Fuera de la oficina.
5.
Seleccione Activar cortafuegos.
6.
Seleccione una de las siguientes opciones:
7.
•
Modo simple: activa el cortafuegos con la configuración predeterminada.
Para obtener más información, consulte Configuración predeterminada del
cortafuegos en modo simple en la página 5-9.
•
Modo avanzado: activa el cortafuegos con una configuración personalizada.
Si seleccionó Modo avanzado, actualice las siguientes opciones según sea
necesario:
•
5-12
Nivel de seguridad: El nivel de seguridad controla las reglas de tráfico que se
aplicarán en puertos que no estén en la lista de excepciones.
•
Alto: bloquea todo el tráfico entrante y saliente, excepto el tráfico
permitido en la lista de excepciones.
•
Medio: bloquea todo el tráfico entrante y saliente excepto el tráfico
permitido y bloqueado por la lista de excepciones.
•
•
•
8.
Bajo: permite todo el tráfico entrante y saliente, excepto el tráfico
bloqueado en la lista de excepciones. Esta es la configuración
predeterminada del Modo sencillo.
Configuración
•
Activar el sistema de detección de intrusiones: El sistema de
detección de intrusiones identifica patrones en paquetes de red que
pueden indicar un ataque. Consulte el apartado Sistema de detección de
intrusiones en la página D-4.
•
Activar mensajes de alerta: cuando WFBS detecta una infracción, el
cliente recibe una notificación al respecto.
Excepciones: los puertos de la lista de excepciones no se bloquearán.
Consulte el apartado Trabajar con las excepciones del cortafuegos en la página 5-13.
Los cambios surtirán efecto inmediatamente.
Trabajar con las excepciones del cortafuegos
La lista de excepciones del cortafuegos contiene entradas que pueden configurarse para
permitir o bloquear diferentes tipos de tráfico de red según los números de puerto y las
direcciones IP de los clientes. Durante una epidemia, el Security Server aplica las
excepciones a las políticas de Trend Micro que se implementan automáticamente para
proteger la red.
Por ejemplo, durante una epidemia puede optar por bloquear todo el tráfico del cliente,
incluido el del puerto HTTP (puerto 80). No obstante, si desea conceder a los clientes
bloqueados el acceso a Internet, puede añadir el servidor proxy de Internet a la lista de
excepciones.
Procedimiento
1.
2.
5-13
3.
4.
5.
Seleccione Activar cortafuegos.
6.
Seleccione Modo avanzado.
7.
Para agregar una excepción:
a.
Haga clic en Agregar.
b.
Escriba el nombre de la excepción.
c.
Junto a Acción, haga clic en una de las siguientes opciones:
Permitir el tráfico de red
•
Denegar el tráfico de red
d.
Junto a Dirección, haga clic en Entrante o Saliente para seleccionar el tipo
de tráfico al que desea aplicar la configuración de excepción.
e.
Seleccione el tipo de protocolo de red de la lista Protocolo:
f.
5-14
•
•
Todos
•
TCP/UDP (predeterminada)
•
TCP
•
UDP
•
ICMP
•
ICMPv6
Haga clic en una de las siguientes opciones para especificar los puertos de
cliente:
g.
h.
•
Todos los puertos (predeterminada)
•
Intervalo: indique el rango de puertos.
•
Puertos especificados: especifique puertos individuales. Utilice una
coma (,) para separar cada uno de los números de puerto.
En Equipos, seleccione las direcciones IP de los clientes que desee incluir en
la excepción. Por ejemplo, si selecciona Denegar todo el tráfico de red
(entrante y saliente) y escribe la dirección IP de un cliente de la red, todos
los clientes que tengan esta excepción en su política no podrán enviar ni
recibir datos a través de dicha dirección IP. Haga clic en una de las siguientes
opciones:
•
Todas las direcciones IP (predeterminada)
•
IP única: escriba una dirección IPv4 o IPv6, o un nombre de host. Para
resolver el nombre del host cliente con una dirección IP, haga clic en
Resolver.
•
Intervalo IP (para IPv4 o IPv6): escriba dos direcciones IPv4 o dos
IPv6 en los campos De y Para. No se puede escribir una dirección IPv6
en un campo y una dirección IPv4 en el otro.
•
Intervalo IP (para IPv6): escriba un prefijo y longitud de dirección
IPv6.
8.
Para editar una excepción, haga clic en Editar y, a continuación, modifique la
configuración en la pantalla que se muestra.
9.
Para mover hacia arriba o hacia abajo una excepción en la lista, seleccione la
excepción y haga clic en Subir o Bajar hasta que esté en la ubicación que desee.
10. Para eliminar una excepción, selecciónela y haga clic en Eliminar.
5-15
Desactivar el cortafuegos en un grupo de agentes
Procedimiento
1.
2.
3.
4.
5.
Seleccione Desactivar el cortafuegos.
6.
Desactivar el cortafuegos en todos los agentes
Procedimiento
1.
Acceda a Preferencias > Configuración general > pestaña Equipo de
sobremesa o servidor.
2.
En Configuración del cortafuegos, seleccione Desactivar el cortafuegos y
desinstalar los controladores.
3.
Reputación Web
Reputación Web impide el acceso a las URL que están en la Web o incrustadas en
mensajes de correo electrónico que plantean riesgos de seguridad. La función de
reputación Web comprueba la reputación de las URL con respecto a los servidores de
5-16
reputación Web de Trend Micro y establece una correlación de la reputación y la política
de la reputación Web específica aplicada en el cliente. En función de la política en uso:
•
El Security Agent bloqueará o permitirá el acceso al sitio Web.
•
El Messaging Security Agent (Advanced solo) pondrá en cuarentena, eliminará o
etiquetará los mensajes de correo electrónico que contengan URL maliciosas o
permitirá que el mensaje se envíe si la URL es segura.
La reputación Web envía una notificación por correo electrónico al administrador y una
notificación en línea al usuario si se producen detecciones.
Para los Security Agents, configure un nivel de seguridad distinto basado en la ubicación
(en la oficina o fuera de la oficina) del cliente.
Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura,
agréguela a la lista de URL permitidas.
Consejo
Para ahorrar ancho de banda de la red, Trend Micro recomienda agregar los sitios web
internos de la empresa a la lista de URL admitidas por reputación Web.
Puntuación de reputación
La "puntuación de reputación" de una URL determina si una URL es una amenaza Web.
Trend Micro calcula la puntuación mediante métricas de propiedad.
Trend Micro considera que una URL es una amenaza Web si su puntuación encaja en un
umbral definido y considera que es segura si excede dicho umbral.
Un Security Agent tiene tres niveles de seguridad que determinan si se permitirá o se
bloqueará el acceso a una URL.
•
Alto: Bloquea las páginas en los casos siguientes:
•
Peligrosa: se ha comprobado que es fraudulenta y una fuente conocida de
amenazas
•
Muy sospechosa: se sospecha que es fraudulenta o una posible fuente de
amenazas
•
Sospechosa: Relacionada con spam o probablemente comprometida
5-17
•
•
•
Sin probar: Mientras que Trend Micro comprueba de forma activa la
seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin
comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se
bloquea el acceso a las páginas sin comprobar se aumenta la seguridad, pero
también se puede impedir el acceso a páginas seguras.
Medio: Bloquea las páginas en los casos siguientes:
•
amenazas
•
amenazas
Bajo: Bloquea las páginas en los casos siguientes:
•
amenazas
Configurar la reputación Web para los Security Agents
Reputación Web evalúa el posible riesgo de seguridad de todas las URL solicitadas
mediante una consulta a la base de datos de Trend Micro Security en el momento de
realizar cada solicitud HTTP/HTTPS.
Nota
(Solo Standard) Configure la reputación Web para el uso en la oficina o fuera de la oficina.
Si la opción Conocimiento de ubicación está activada, la configuración de En la oficina se
utilizará para las conexiones Fuera de la oficina. Para obtener información acerca del
Conocimiento de ubicación, consulte Definir la configuración de los equipos de sobremesa/servidores
en la página 11-5.
Si están activadas la función de prevención de explotación del navegador y de reputación
Web, la primera analizará las URL que no consiga bloquear la segunda. La prevención de
explotación del navegador explora los objetos insertados (por
ejemplo: .jar, .class, .pdf, .swf, .html, .js) en las páginas web de las URL.
Procedimiento
1.
5-18
2.
3.
4.
Haga clic en Reputación Web > En la oficina o Reputación Web > Fuera de
la oficina.
5.
6.
Actualice los siguientes datos según sea necesario:
•
Activar Reputación Web
•
Nivel de seguridad: Alto, Medio o Bajo.
•
Prevención de explotación del explorador: Bloquear páginas que contienen
secuencias de comandos maliciosas
Filtrado de URL
El filtrado de URL ayuda a controlar el acceso a los sitios Web y reduce el tiempo no
productivo de los empleados, disminuye el uso de ancho de banda de Internet y crea un
entorno de Internet más seguro. Puede elegir un nivel de protección de filtrado de URL
o personalizar los tipos de sitios Web que desea filtrar.
Configuración del filtrado de URL
Puede seleccionar tipos específicos de sitios Web para bloquearlos durante distintas
horas del día si selecciona Personalizar.
Procedimiento
1.
2.
5-19
3.
4.
Haga clic en Filtrado de URL.
5.
6.
•
Activar el filtrado de URL
•
Intensidad del filtro
•
Alto: Bloquea amenazas de seguridad conocidas o potenciales, contenido
inapropiado u ofensivo, contenido que puede afectar a la productividad
o al ancho de banda y páginas sin clasificar
•
Medio: Bloquea amenazas de seguridad conocidas y contenido
inapropiado
•
Bajo: Bloquea las amenazas de seguridad conocidas
•
Personalizada: Seleccione sus categorías e indique si desea bloquearlas
durante el horario laboral o el tiempo libre.
•
Reglas de filtrado: seleccione categorías enteras o categorías secundarias para
bloquearlas.
•
Horario laboral: cualquier día u horas que no se definan en Horario laboral
se considera tiempo libre.
URL aprobadas/bloqueadas
La aprobación y el bloqueo automáticos de URL lo ayudan a controlar el acceso a los
sitios Web y a crear un entorno de Internet más seguro. Identifique las URL permitidas
o bloqueadas en Configuración general.
También es posible crear listas personalizadas de URL permitidas/bloqueadas para
grupos específicos. Cuando se selecciona la opción Personalizar URL aprobadas/
5-20
bloqueadas para este grupo, Security Agent utiliza la lista personalizada de URL
permitidas o bloqueadas del grupo para controlar el acceso a los sitios Web.
Configurar las URL permitidas/bloqueadas
Procedimiento
1.
2.
3.
4.
Haga clic en URL aprobadas/bloqueadas.
5.
Seleccione Personalizar URL aprobadas/bloqueadas para este grupo.
6.
Si lo desea, haga clic en Importar desde configuración general para importar las
URL permitidas/bloqueadas de la configuración general de reputación Web y
filtrado de URL.
7.
En el cuadro de texto URL para permitir, escriba las URL de los sitios Web que
desea excluir de las verificaciones de reputación Web y filtrado de URL.
8.
En el cuadro de texto URL para bloquear, escriba las URL de los sitios Web que
desea bloquear durante el filtrado de URL.
9.
10. Haga clic en Guardar.
Supervisión del comportamiento
Los Security Agents supervisan constantemente los clientes para detectar modificaciones
inusuales del sistema operativo o del software instalado. Los administradores (o los
5-21
usuarios) pueden crear listas de excepciones que permitan que algunos programas se
inicien mientras infringen un cambio supervisado, o que bloqueen completamente
algunos programas. Asimismo, los programas con firma digital válida pueden ejecutarse
en todo momento.
Otra función de la supervisión de comportamiento consiste en impedir que se eliminen
o modifiquen los archivos EXE y DLL. Los usuarios que dispongan de este privilegio
pueden proteger las carpetas que especifiquen. Además, pueden optar por proteger de
forma colectiva todos los programas QuickBooks.
Configurar la supervisión del comportamiento
Procedimiento
1.
2.
3.
4.
Haga clic en Supervisión de comportamiento.
5.
•
Activar Supervisión de comportamiento
Nota
Para permitir que los usuarios personalicen la configuración de Supervisión de
comportamiento, vaya a Configuración de seguridad > {grupo} >
Configurar > Derechos del cliente > Supervisión de comportamiento y
seleccione Permitir a los usuarios modificar la configuración de la
Supervisión de comportamiento.
•
5-22
Activar Protección de Intuit QuickBooks: protege todos los archivos y
carpetas de Intuit QuickBooks de los cambios no autorizados realizados por
otros programas. La activación de esta función no afecta a los cambios
realizados desde los programas de Intuit QuickBooks, solo evitará que se
realicen cambios en los archivos desde otras aplicaciones no autorizadas.
Se admiten los siguientes productos:
•
QuickBooks Simple Start
•
QuickBooks Pro
•
QuickBooks Premier
•
QuickBooks Online
Nota
Todos los archivos ejecutables Intuit tienen una firma digital y las
actualizaciones de dichos archivos no estarán bloqueadas. Si otros programas
intentan modificar el archivo binario Intuit, el agente mostrará un mensaje con
el nombre del programa que está intentando actualizar los archivos binarios. Se
puede autorizar a otros programas para que actualicen archivos Intuit. Para ello,
añada el programa necesario a la lista de excepciones de supervisión de
comportamiento en el agente. después de la actualización, no se olvide de quitar
el programa de la lista de excepciones.
•
•
Activar Bloqueo de comportamiento de malware para las amenazas
conocidas y potenciales:: El bloqueo de comportamiento de malware se
realiza con un conjunto de reglas internas que se define en los archivos de
patrones. Estas reglas identifican el comportamiento sospechoso de ser una
amenaza frecuente entre el malware y el que se sabe que lo es. Entre los
ejemplos de este tipo de comportamiento se incluyen nuevos servicios que se
ejecutan de forma repentina e inexplicable, los cambios en el cortafuegos o las
modificaciones en los archivos del sistema.
•
Amenazas conocidas: bloquea el comportamiento asociado a las
amenazas conocidas.
•
Amenazas conocidas y potenciales: bloquea el comportamiento
asociado a las amenazas conocidas y realiza acciones contra el
comportamiento potencialmente malicioso.
Preguntar a los usuarios antes de ejecutar programas recién
encontrados que se han descargado a través de HTTP (excluidas las
5-23
plataformas de servidores): la supervisión del comportamiento
complementa a la reputación Web a la hora de comprobar la prevalencia de
los archivos que se han descargado a través de aplicaciones de correo
electrónico o canales HTTP. Cuando se detecta un archivo "recién
encontrado", los administradores pueden pedir el consentimiento a los
usuarios antes de ejecutarlo si así lo desean. Trend Micro clasifica un
programa como recién encontrado en función del número de detecciones de
archivos o de la edad histórica del archivo que determina Smart Protection
Network.
Nota
En los canales HTTP, se exploran los archivos ejecutables (.exe). En las
aplicaciones de correo electrónico (solo Outlook y Windows Live Mail), se
exploran los archivos ejecutables (.exe) de archivos archivados no protegidos
con contraseña (zip/rar).
•
Excepciones: las excepciones pueden ser una Lista de programas permitidos
y una Lista de programas bloqueados. Los programas de la Lista de programas
permitidos se pueden iniciar incluso si con ello se infringe un cambio
supervisado, mientras que los programas de la Lista de programas bloqueados
no se pueden iniciar jamás.
•
Escribir la ruta completa del programa: Escriba la ruta completa de
Windows o UNC del programa. Separe las distintas entradas mediante
punto y coma. Haga clic en Agregar a lista de permitidos o Agregar a
lista de bloqueados. Si es necesario, utilice variables de entorno para
especificar rutas.
VARIABLE DE ENTORNO
5-24
SEÑALA A...
$windir$
Carpeta Windows
$rootdir$
Carpeta raíz
$tempdir$
Carpeta temporal de Windows
$programdir$
Carpeta Archivos de programa
6.
•
Lista de programas permitidos: Los programas de esta lista (un
máximo de 100) pueden iniciarse. Haga clic en el icono correspondiente
para eliminar una entrada.
•
Lista de programas bloqueados: Los programas de esta lista (un
máximo de 100) nunca pueden iniciarse. Haga clic en el icono
correspondiente para eliminar una entrada.
No se supervisará si los programas incluidos en la Lista de programas de confianza
presentan actividades de acceso a archivos sospechosos.
Configurar programas de confianza
Procedimiento
1.
2.
3.
4.
Haga clic en Programa de confianza.
5.
Para excluir un programa de la supervisión de actividades de acceso a archivos
sospechosos, escriba la ruta completa, usando una ruta de archivo específica, y haga
clic en Agregar a la lista de programas de confianza.
<nombre_unidad>:/<ruta>/<nombre_archivo>
Ejemplo 1: C:\Windows\system32\regedit.exe
5-25
Ejemplo 2: D:\backup\tool.exe
Esto impide que los hackers usen nombres de programas de la lista de exclusión
pero puestos en una ruta distinta para ejecutarse.
6.
El control de dispositivos regula el acceso a los dispositivos de almacenamiento externo
y a los recursos de red conectados a los clientes.
Configurar el control de los dispositivos
Procedimiento
1.
2.
3.
4.
Haga clic en Control de dispositivos.
5.
5-26
•
Activar Control de dispositivo
•
Activar la prevención de ejecución automática de USB
•
Permisos: establezca los permisos para los dispositivos USB y los recursos de
red.
TABLA 5-7. Permisos de control del dispositivo
PERMISOS
Acceso total
Modificar
ARCHIVOS DEL DISPOSITIVO
Operaciones permitidas:
Copiar, Mover, Abrir,
Guardar, Eliminar, Ejecutar
Copiar, Mover, Abrir,
Guardar, Eliminar
ARCHIVOS ENTRANTES
guardar, mover y copiar
Esto significa que un archivo
se puede guardar, mover y
copiar en el dispositivo.
Operaciones prohibidas:
Ejecutar
Leer y ejecutar
Copiar, Abrir, Ejecutar
Guardar, Mover, Eliminar
Leída
Copiar, Abrir
Guardar, Mover, Eliminar,
Ejecutar
Sin acceso
todas las operaciones
El dispositivo y los archivos
que este contiene están
visibles para el usuario (por
ejemplo, desde el
Explorador de Windows).
•
Excepciones: aunque un usuario no tenga permiso de lectura para un
dispositivo concreto, podrá ejecutar o abrir cualquier archivo o programa que
aparezca en la lista de permitidos.
Sin embargo, si está activada la prevención de ejecución automática, incluso si
un archivo está incluido en la lista de permitidos, no se permitirá ejecutarlo.
5-27
Para agregar una excepción a la lista de permitidos, escriba el nombre del
archivo incluida la ruta o la firma digital y haga clic en Agregar a lista de
permitidos.
6.
•
Barra de herramientas antispam: filtra el spam en Microsoft Outlook,
proporciona estadísticas y permite cambiar determinados parámetros de
configuración.
•
HouseCall: Determina la seguridad de una conexión inalámbrica comprobando la
autenticidad de los puntos de acceso en función de la validez de sus identificadores
de red inalámbrica (SSID), métodos de autenticación y requisitos de cifrado. Se
mostrará un mensaje de advertencia emergente si la conexión no es segura.
•
Case Diagnostic Tool: Trend Micro Case Diagnostic Tool (CDT) recopila la
información de depuración necesaria de un producto de cliente siempre que se
originan problemas. Activa y desactiva automáticamente el estado de depuración
del producto y recopila los archivos necesarios de acuerdo con las categorías de
problemas. Trend Micro utiliza esta información para solucionar problemas
relacionados con el producto.
Esta herramienta solo está disponible en la consola de Security Agent.
•
Client Mover: utilice esta herramienta para transferir clientes entre servidores. Los
servidores deben ser de la misma versión y el mismo tipo de idioma.
Configurar las herramientas de usuario
Procedimiento
1.
2.
5-28
3.
4.
Haga clic en Herramientas del usuario.
5.
6.
•
Asesor de Wi-Fi: comprueba la seguridad de las redes inalámbricas en
función de la validez de su identificador de red inalámbrica (SSID), métodos
de autenticación y requisitos de cifrado.
•
Barra de herramientas antispam: Filtra los mensajes spam en Microsoft
Outlook.
Otorga derechos de cliente para que los usuarios puedan modificar la configuración del
Security Agent en el cliente.
Consejo
si desea aplicar una política antivirus uniforme en toda la empresa, Trend Micro
recomienda conceder derechos limitados a los usuarios. Esto garantiza que los usuarios no
modifiquen la configuración de exploración ni descarguen el agente de seguridad.
Configurar los derechos del cliente
Procedimiento
1.
2.
5-29
3.
4.
Haga clic en Privilegios del cliente.
5.
SECCIÓN
Antivirus/
Antispyware
DERECHOS
•
Configuración de la exploración manual
•
Configuración de la exploración programada
•
Configuración de la exploración en tiempo real
•
Omitir la exploración programada
Firewall
Configuración del cortafuegos
Reputación Web Continuar la
exploración
Se mostrará un enlace que permite a los usuarios seguir
navegando por una URL maliciosa determinada hasta que el
equipo se reinicie. Las advertencias se seguirán mostrando
en otras URL maliciosas.
Filtrado de URL –
Continuar la
exploración
Se mostrará un enlace que permite a los usuarios seguir
navegando por una URL restringida determinada hasta que el
equipo se reinicie. Las advertencias se seguirán mostrando
en otras URL restringidas.
Supervisión del
comportamiento
Permitir que los usuarios modifiquen la configuración de
supervisión del comportamiento.
Programa de
confianza
Permitir que los usuarios modifiquen la Lista de programas de
confianza.
Configuración del
proxy
Permitir que los usuarios configuren el proxy.
Nota
Si se desactiva esta función, se restablecerá la
configuración predeterminada del proxy.
5-30
SECCIÓN
Derechos de
actualización
DERECHOS
•
Permitir a los usuarios realizar actualizaciones manuales.
•
Utilizar Trend Micro ActiveUpdate como fuente de
actualización secundaria
•
Desactivar la implementación de archivos hotfix
Nota
Implementar archivos hotfix, parches, parches
críticos y de seguridad y Service Packs en un gran
número de agentes simultáneamente puede
aumentar significativamente el tráfico de red.
Puede activar esta opción en varios grupos para
escalonar la implementación.
Al activar esta opción también se desactivan las
actualizaciones de compilaciones automáticas
en los agentes (por ejemplo, desde la compilación
Beta hasta la compilación de lanzamiento de la
versión actual del producto), pero no las
actualizaciones de versiones automáticas (por
ejemplo, desde la versión 7.x hasta la actual). Para
desactivar las actualizaciones de versiones
automáticas, ejecute el paquete de instalación del
Security Server y elija la opción para demorar las
actualizaciones.
Seguridad del
cliente
6.
Evitar que los usuarios u otros procesos modifiquen los
archivos de programa, registros y procesos de Trend Micro.
Directorio de cuarentena
Si la acción para un archivo infectado es "Poner en cuarentena", el Security Agent cifrará
el archivo y lo moverá temporalmente a una carpeta de cuarentena ubicada en:
•
<Carpeta de instalación del Security Agent>\quarantine para
agentes actualizados a partir de la versión 6.x o las anteriores.
5-31
•
<Carpeta de instalación del Security Agent>\SUSPECT\Backup
para agentes recién instalados y aquellos que se hayan actualizado a partir de la
versión 7.x o las posteriores.
El Security Agent envía el archivo infectado a un directorio de cuarentena central, que se
puede configurar desde la consola Web, mediante Configuración de seguridad >
{Grupo} > Configurar > Poner en cuarentena.
Directorio de cuarentena central predeterminado
El directorio de cuarentena central predeterminado se encuentra en el Security Server.
Posee un formato de URL y contiene la dirección IP o el nombre de host del Security
Server, por ejemplo, http://server. La ruta absoluta equivalente es <Carpeta de
instalación del Security Server>\PCCSRV\Virus.
•
Si el servidor administra agentes tanto IPv4 como IPv6, utilice el nombre de host
para que todos los agentes puedan enviar archivos en cuarentena al servidor.
•
Si el servidor solo tiene dirección IPv4 o solo se identifica mediante ella,
únicamente los agentes que utilicen solo IPv4 y los de doble pila pueden enviar
archivos en cuarentena al servidor.
•
Si el servidor solo tiene dirección IPv6 o solo se identifica mediante ella,
únicamente los agentes que utilicen solo IPv6 y los de doble pila pueden enviar
archivos en cuarentena al servidor.
Directorio de cuarentena central alternativo
Puede especificar un directorio de cuarentena central alternativo; para ello, escriba la
ubicación en formato de URL, ruta UNC o ruta de archivo absoluta. Los Security
Agents deberían poder conectarse a este directorio. Por ejemplo, el directorio debe tener
una dirección IPv6 si va a recibir archivos en cuarentena de agentes de doble pila y de
agentes que solo utilicen IPv6. Trend Micro recomienda designar un directorio de doble
pila, identificar el directorio por su nombre de host y utilizar la ruta UNC al escribir el
directorio.
Directrices para especificar el directorio de cuarentena central
Consulte la siguiente tabla para ver información sobre cuándo utilizar la URL, la ruta
UNC o la ruta de archivos absoluta:
5-32
TABLA 5-8. Directorio de cuarentena
DIRECTORIO DE
FORMATO
CUARENTENA
ACEPTADO
Directorio
predeterminado
en el Security
Server
Otro directorio en
el Security
Server
EJEMPLO
URL
http:// <nombre
de host o
dirección IP del
servidor>
Ruta UNC
\\<nombre de
host o dirección
IP del servidor>
\ ofcscan\Virus
Ruta UNC
\\<nombre de
host o dirección
IP del servidor>
\ D$\Quarantined
Files
NOTAS
Si decide mantener el directorio
predeterminado, defina la
configuración de mantenimiento
para él (por ejemplo, el tamaño
de la carpeta de cuarentena) en
Preferencias > Configuración
general > pestaña Sistema >
sección Mantenimiento de la
cuarentena.
Si no desea usar el directorio
predeterminado (por ejemplo, si
no tiene suficiente espacio en
disco), escriba la ruta UNC a otro
directorio. En tal caso, escriba la
ruta absoluta equivalente en
Preferencias > Configuración
general > pestaña Sistema >
sección Mantenimiento de la
cuarentena para que la
configuración de mantenimiento
surta efecto.
5-33
DIRECTORIO DE
FORMATO
CUARENTENA
ACEPTADO
EJEMPLO
NOTAS
Asegúrese de que los agentes se
puedan conectar a este directorio.
Si especifica un directorio
incorrecto, el agente guardará los
archivos en cuarentena hasta que
se especifique un directorio de
cuarentena correcto. En los
registros de virus/malware del
servidor, el resultado de la
exploración es "No se puede
enviar el archivo en cuarentena a
la carpeta de cuarentena
indicada".
Directorio de otro
equipo del
Security Server
(en caso de
disponer de otros
Security Servers
en la red)
URL
http:// <nombre
de host o
dirección IP del
servidor 2>
Ruta UNC
\\<nombre de
host o dirección
IP del servidor
2>\ ofcscan
\Virus
Otro equipo en la
red
Ruta UNC
\
\<nombre_equipo>
\temp
Otro directorio en
el cliente
Ruta
absoluta
C:\temp
Si utiliza una ruta UNC,
asegúrese de que la carpeta del
directorio de cuarentena está
compartida con el grupo "Todos"
y que este grupo tiene asignados
derechos de escritura y lectura.
Especifique una ruta absoluta en
los siguientes casos:
•
Desea que los archivos en
cuarentena residan
únicamente en el cliente.
•
No desea que los agentes
almacenen los archivos en el
directorio predeterminado en
el cliente.
Si no existe la ruta, el Security
Agent la crea automáticamente.
Configurar el directorio de cuarentena
Procedimiento
1.
5-34
2.
3.
4.
Haga clic en Poner en cuarentena.
5.
Configure el directorio de cuarentena. Para obtener más información, consulte
Directorio de cuarentena en la página 5-31.
6.
5-35
Capítulo 6
Gestionar la configuración de
seguridad básica para los Messaging
Security Agents (Advanced solo)
En este capítulo se describen las características del Messaging Security Agent y se explica
cómo configurar las opciones de exploración en tiempo real, antispam, filtrado de
contenidos, bloqueo de archivos adjuntos y mantenimiento de la cuarentena para el
agente.
6-1
Messaging Security Agents
Los Messaging Security Agents protegen los servidores Microsoft Exchange. El agente
ayuda a evitar las amenazas de correo electrónico mediante la exploración del correo que
entra al almacén de correo de Microsoft Exchange y el que sale de él, además del correo
que se envía entre el servidor Microsoft Exchange y destinos externos. Además,
Messaging Security Agent puede:
•
Reducir el spam
•
Bloquear mensajes de correo electrónico según su contenido
•
Bloquear o restringir mensajes de correo electrónico con archivos adjuntos
•
Detectar URL maliciosas en el correo electrónico
•
Impedir la pérdida de datos confidenciales
Información importante acerca de los Messaging Security Agents
•
Messaging Security Agent solo se puede instalar en servidores Microsoft Exchange.
•
El árbol Grupos de seguridad en la consola Web muestra todos los Messaging
Security Agents. No se pueden combinar varios Messaging Security Agent en un
grupo; cada Messaging Security Agent debe administrarse de manera individual.
•
WFBS utiliza el Messaging Security Agent para recopilar información de seguridad
de los servidores Microsoft Exchange. Por ejemplo, el Messaging Security Agent
notifica las detecciones de spam o la finalización de la actualización de
componentes al Security Server. Esta información se muestra en la consola Web.
El Security Server también usa esta información para generar registros e informes
sobre el estado de seguridad de los servidores Microsoft Exchange.
cada amenaza detectada genera una entrada/notificación de registro. Esto significa
que, si Messaging Security Agent detecta múltiples amenazas en un solo mensaje de
correo electrónico, se generarán varias entradas y notificaciones de registro.
Asimismo puede ocurrir que se detecte la misma amenaza varias veces,
especialmente si se utiliza el modo de caché en Outlook 2003. Cuando el modo de
caché está activado, podría detectarse la misma amenaza en la carpeta de cola para
la transferencia y en la carpeta Elementos enviados o en la carpeta Bandeja de
salida.
6-2
Gestionar la configuración de seguridad básica para los Messaging Security Agents (Advanced
solo)
•
En los equipos que ejecuten Microsoft Exchange Server 2007, el Messaging
Security Agent utiliza una base de datos de SQL Server. A fin de evitar problemas,
los servicios del Messaging Security Agent están diseñados para depender de la
instancia del servicio SQL Server MSSQL$SCANMAIL. Siempre que esta instancia se
detenga o reinicie, se detendrán igualmente los siguientes servicios del Messaging
Security Agent:
•
ScanMail_Master
•
ScanMail_RemoteConfig
Reinicie manualmente estos servicios si MSSQL$SCANMAIL se ha detenido o
reiniciado. Hay distintos sucesos que pueden causar el reinicio o la detención de
MSSQL$SCANMAIL (incluida la actualización de SQL Server).
Cómo explora Messaging Security Agent los mensajes de
correo electrónico
El Messaging Security Agent usa la siguiente secuencia para explorar los mensajes de
correo electrónico:
1.
Explora en busca de spam (antispam).
a.
Compara el mensaje de correo electrónico con la lista de remitentes
permitidos/bloqueados del administrador.
b.
Busca casos de phishing.
c.
Compara el mensaje de correo electrónico con la lista de excepciones
suministrada por Trend Micro.
d.
Compara el mensaje de correo electrónico con la base de datos de firmas de
spam.
e.
Aplica reglas de exploración heurísticas.
2.
Busca infracciones de las reglas del filtrado de contenido.
3.
Busca archivos adjuntos que excedan los parámetros definidos por el usuario.
4.
Explora en busca de virus/malware (antivirus).
6-3
5.
Explora en busca de URL maliciosas
Configuración predeterminada de Messaging Security
Agent
Tenga en cuenta las opciones de la tabla para optimizar la configuración del Messaging
Security Agent.
TABLA 6-1. Acciones predeterminadas de Trend Micro para Messaging Security
Agent
OPCIÓN DE EXPLORACIÓN
EXPLORACIÓN EN TIEMPO REAL
EXPLORACIONES MANUAL Y
PROGRAMADA
Antispam
Spam
Poner el mensaje en
cuarentena en la carpeta de
spam del usuario (opción
predeterminada, si se ha
instalado la característica
de correo electrónico no
deseado de Outlook o End
User Quarantine)
No aplicable
Phish
Eliminar todo el mensaje
No aplicable
Filtrar mensajes que
coincidan con cualquier
condición definida
Poner en cuarentena todo
el mensaje
Sustituir
Filtrar mensajes que
coincidan con todas las
condiciones definidas
el mensaje
No aplicable
Supervisar el contenido de
los mensajes de cuentas de
correo electrónico
particulares
el mensaje
Sustituir
Filtrado de contenido
6-4
solo)
OPCIÓN DE EXPLORACIÓN
Crear una excepción para
cuentas de correo
electrónico particulares
Omitir
EXPLORACIONES MANUAL Y
PROGRAMADA
Omitir
Bloqueo de archivos adjuntos
Acción
Sustituir archivo adjunto por
texto o archivo
Sustituir archivo adjunto por
texto o archivo
Archivos cifrados y
protegidos mediante
contraseña
Omitir (al establecer la
acción en Omitir, se omiten
los archivos cifrados y los
protegidos mediante
contraseña y no se registra
el suceso)
los archivos cifrados y los
protegidos mediante
contraseña y no se registra
el suceso)
Archivos excluidos
(archivos con más
restricciones de
exploración)
los archivos o el cuerpo del
mensaje que superan las
restricciones de exploración
especificadas y no se
registra el suceso)
los archivos o el cuerpo del
mensaje que superan las
restricciones de exploración
especificadas y no se
registra el suceso)
Otros
Exploración en tiempo real para los Messaging
Security Agents
La exploración en tiempo real es una exploración continua y constante. La exploración
en tiempo real en el Messaging Security Agent (Advanced solo) protege todos los
puntos de entrada de virus conocidos mediante la exploración de todos los mensajes
entrantes, los mensajes SMTP, los documentos publicados en carpetas públicas y los
archivos replicados desde otros servidores Microsoft Exchange.
6-5
Configurar la exploración en tiempo real para Messaging
Security Agent
Procedimiento
1.
2.
3.
4.
Haga clic en Antivirus.
5.
Seleccione Activar antivirus en tiempo real.
6.
Configurar los parámetros de exploración. Para obtener más información, consulte
Explorar destinos y acciones para los Messaging Security Agents en la página 7-19.
7.
Puede configurar las personas que reciben notificaciones cuando tiene lugar un
suceso. Consulte el apartado Configurar sucesos de notificaciones en la página 9-3.
Antispam
WFBS ofrece dos formas de combatir el spam: la reputación del correo electrónico y
la exploración del contenido.
Messaging Security Agent utiliza los siguientes componentes para filtrar los mensajes de
correo electrónico en busca de spam e incidentes de phishing:
6-6
•
Motor antispam de Trend Micro
•
Archivos de patrones de spam de Trend Micro
solo)
Trend Micro actualiza frecuentemente el motor y el archivo de patrones y permite
descargarlos. Security Server puede descargar estos componentes mediante una
actualización manual o programada.
El motor antispam usa firmas de spam y reglas heurísticas para filtrar los mensajes de
correo electrónico. Explora los mensajes de correo electrónico y asigna una puntuación
de spam a cada uno según el grado de coincidencia con las reglas y los patrones del
archivo de patrones. Messaging Security Agent compara la puntuación de spam con el
nivel de detección de spam definido por el usuario. Cuando la puntuación de spam
supera el nivel de detección, el agente realiza una acción contra el spam.
Por ejemplo: los creadores de spam suelen utilizar numerosos signos de admiración o
más de un signo seguido (!!!!) en sus mensajes. Cuando Messaging Security Agent detecta
un mensaje que usa signos de exclamación de este modo, aumenta la puntuación de
spam de ese mensaje de correo electrónico.
Consejo
además de utilizar la función antispam para filtrar el spam, puede configurar un filtrado de
contenidos para filtrar el encabezado del mensaje, el asunto, el cuerpo y los archivos
adjuntos en busca de spam y contenido no deseado.
Los usuarios no pueden modificar el método que usa el motor antispam para asignar las
puntuaciones de spam, pero pueden ajustar los niveles de detección que usa Messaging
Security Agent para decidir si un mensaje es spam o no.
Nota
De forma automática, Microsoft Outlook puede filtrar los mensajes que el Messaging
Security Agent detectó como spam y enviarlos a la carpeta de correo no deseado.
Email Reputation
La tecnología Email Reputation determina si un correo es spam en función de la
reputación Mail Transport Agent (MTA) de origen. Esta tecnología libera parte del
trabajo que es responsabilidad del Security Server. Cuando Email Reputation está
activado, las bases de datos de IP se encargan de comprobar todo el tráfico SMTP
6-7
entrante para discernir si la dirección IP de origen está limpia o si, por el contrario, está
incluida en alguna lista como un vector de spam conocido.
Email Reputation consta de dos niveles de servicio. Estos niveles son:
•
Estándar: El servicio Estándar utiliza una base de datos que rastrea la reputación
de unos dos billones de direcciones IP. Las direcciones IP que constantemente
están asociadas a la entrega de mensajes de spam se agregan a la base de datos y
casi siempre permanecen en ella.
•
Avanzado: El nivel de servicio Avanzado es un servicio DNS basado en consultas
igual que el servicio Estándar. En el núcleo de este servicio reside la base de datos
de reputaciones estándar junto con la base de datos de reputaciones en tiempo real
dinámica que bloquea los mensajes procedentes de orígenes sospechosos o
conocidos de spam.
Cuando se detecta un mensaje de correo electrónico procedente de una dirección IP
bloqueada o sospechosa, Email Reputation la detiene antes de que alcance la
infraestructura de mensajería del destinatario.
Configurar Email Reputation
Puede configurar Email Reputation para bloquear mensajes procedentes de fuentes de
spam conocidas o sospechosas de serlo. Además, puede crear exclusiones para permitir
o bloquear mensajes de otros remitentes.
Procedimiento
1.
2.
3.
4.
Haga clic en Antispam > Email Reputation.
5.
6-8
En la pestaña Destino, actualice la siguiente información según sea necesario:
solo)
•
Activar el antispam en tiempo real (Email Reputation)
•
Nivel de servicio:
•
Estándar
•
Avanzado
•
Direcciones IP permitidas: Los mensajes de correo electrónico procedentes
de estas direcciones IP no se bloquearán nunca. Escriba la dirección IP que
desee permitir y haga clic en Agregar. Si es preciso, puede importar una lista
de direcciones IP desde un archivo de texto. Para eliminar una dirección IP,
selecciónela y haga clic en Eliminar.
•
Direcciones IP bloqueadas: Los mensajes de correo electrónico
procedentes de estas direcciones IP se bloquearán siempre. Escriba la
dirección IP que desee bloquear y haga clic en Agregar. Si es preciso, puede
importar una lista de direcciones IP desde un archivo de texto. Para eliminar
una dirección IP, selecciónela y haga clic en Eliminar.
6.
7.
Vaya a: http://ers.trendmicro.com/ para ver informes.
Nota
Email Reputation es un servicio basado en Web. Los administradores solo pueden
configurar el nivel de servicio desde la consola Web.
Exploración del contenido
Exploración del contenido determina qué es spam en función del contenido del
mensaje, en lugar de usar la IP que lo originó. Messaging Security Agent utiliza el motor
antispam y el archivo de patrones de spam de Trend Micro para filtrar el spam de cada
mensaje de correo electrónico antes de entregarlo al almacén de información. El
servidor Microsoft Exchange no procesará el correo spam rechazado y los mensajes no
llegan a los buzones de correo del usuario.
6-9
Nota
No confunda la exploración de contenido (antispam basada en firmas y heurística) con
filtrado de contenido (exploración y bloqueo de correos electrónicos basado en palabras
clave categorizadas). Consulte el apartado Filtrado de contenido en la página 6-15.
Configurar la exploración del contenido
El Messaging Security Agent puede detectar los mensajes de spam en tiempo real y
realizar acciones para proteger los servidores Microsoft Exchange.
Procedimiento
1.
2.
3.
4.
Haga clic en Antispam > Exploración del contenido.
5.
Seleccione Activar el antispam en tiempo real.
6.
seleccione la pestaña Destino para seleccionar el método y la tasa de detección de
spam que Messaging Security Agent utilizará para buscar spam:
a.
Seleccione el nivel de detección, bajo, medio o alto, desde la lista de tasa de
detección de spam. Messaging Security Agent utiliza este valor para filtrar
todos los mensajes.
•
6-10
Alto: Este es el nivel más estricto de detección de spam. Messaging
Security Agent supervisa todos los mensajes de correo electrónico en
busca de archivos o texto sospechosos pero aumenta la tasa de falsos
positivos. Los falsos positivos son mensajes de correo electrónico que
Messaging Security Agent filtra como spam cuando se trata en realidad
de mensajes legítimos.
solo)
•
Medio: esta es la configuración predeterminada y recomendada. En un
nivel elevado de detección de spam, Messaging Security Agent supervisa
con una tasa moderada de filtrado de falsos positivos.
•
Bajo: Es el nivel más flexible de detección de spam. Messaging Security
Agent solo filtra los mensajes de spam más obvios y comunes pero la
tasa de filtrado de falsos positivos es muy baja. Filtrado según la
puntuación de spam.
b.
Haga clic en Detectar incidentes de phishing para que el Messaging
Security Agent filtre incidentes de phishing. Para obtener más información,
consulte Incidentes de phishing en la página 1-13.
c.
Añada las direcciones a las listas de Remitentes permitidos y Remitentes
bloqueados. Para obtener más información, consulte Listas de remitentes
permitidos y bloqueados en la página 6-12.
•
Remitentes permitidos: los mensajes de correo electrónico
procedentes de estas direcciones o nombres de dominio no se
bloquearán nunca. Escriba las direcciones o nombres de dominio que
desee aprobar y haga clic en Agregar. Si es preciso, puede importar una
lista de direcciones o nombres de dominio desde un archivo de texto.
Para eliminar direcciones o nombres de dominio, seleccione la dirección
y haga clic en Eliminar.
•
Remitentes bloqueados: los mensajes de correo electrónico
procedentes de estas direcciones o nombres de dominio se bloquearán
siempre. Escriba las direcciones o nombres de dominio que desee
bloquear y haga clic en Agregar. Si es preciso, puede importar una lista
de direcciones o nombres de dominio desde un archivo de texto. Para
eliminar direcciones o nombres de dominio, seleccione la dirección y
haga clic en Eliminar.
Nota
el administrador de Microsoft Exchange mantiene una lista independiente de
remitentes permitidos y bloqueados para el servidor Microsoft Exchange. Si un
usuario final crea un remitente permitido, pero ese remitente se encuentra en la
lista de remitentes bloqueados del administrador, entonces Messaging Security
Agent detectará los mensajes de ese remitente bloqueado como spam y les
aplicará la acción correspondiente.
6-11
7.
Haga clic en la pestaña Acción para configurar las acciones que realizará el
Messaging Security Agent cuando detecte un mensaje de spam o un incidente de
phishing.
Nota
Para obtener información detallada acerca de las acciones, consulte Explorar destinos y
acciones para los Messaging Security Agents en la página 7-19.
Messaging Security Agent realizará una de las siguientes acciones en función de la
configuración definida:
•
Poner en cuarentena el mensaje en la carpeta para spam del servidor
•
Poner el mensaje en cuarentena en la carpeta para spam del usuario
Nota
Si elige esta acción, configure la herramienta End User Quarantine. Para
obtener más información, consulte Configurar el mantenimiento del spam en la página
6-73.
8.
•
•
Etiquetar y entregar
Listas de remitentes permitidos y bloqueados
Una lista de remitentes permitidos es una lista de direcciones de correo electrónico de
confianza. El Messaging Security Agent no filtra en busca de spam los mensajes
provenientes de estas direcciones, excepto cuando la opción Detectar incidentes de
phishing está activada. Cuando está activada la opción Detectar incidentes de
phishing y el agente detecta un incidente de phishing en un mensaje de correo
electrónico, entonces no se entregará ese mensaje aunque pertenezca a la lista de
remitentes permitidos. Una lista de remitentes bloqueados es una lista de direcciones de
correo electrónico sospechosas. El agente siempre clasifica los mensajes de remitentes
bloqueados como spam y les aplica la acción correspondiente.
6-12
solo)
Existen dos listas de remitentes permitidos: una para el administrador de Microsoft
Exchange y otra para el usuario final.
•
Las listas de remitentes permitidos y bloqueados del administrador de Microsoft
Exchange (en la pantalla Antispam) controlan el modo en que Messaging Security
Agent trata los mensajes de correo electrónico vinculados al servidor Microsoft
Exchange.
•
El usuario final puede gestionar la carpeta de correo spam que se crea durante la
instalación. Las listas de los usuarios finales se aplican solo a los mensajes
vinculados al almacén de correo del servidor de cada usuario final.
Directrices generales
•
Las listas de remitentes permitidos y bloqueados de un servidor Microsoft
Exchange tienen preferencia sobre las de un cliente. Por ejemplo, el remitente
"[email protected]" se encuentra en la lista de remitentes bloqueados del
administrador, pero el usuario final ha incluido esta dirección en su lista de
remitentes permitidos. Los mensajes de ese remitente llegan al almacén de
Microsoft Exchange y Messaging Security Agent los detecta como spam y realiza la
acción correspondiente. Si el agente realiza la acción "Poner en cuarentena el
mensaje en la carpeta para spam del usuario", intentará entregar el mensaje en la
carpeta para spam del usuario final, pero, en vez de ello, el mensaje se
redireccionará a la bandeja de entrada del usuario final porque el usuario ha
autorizado a ese remitente.
•
Cuando se utiliza Outlook, hay un límite de tamaño de las reglas para la cantidad y
el tamaño de las direcciones de la lista. Con el fin de evitar un error del sistema,
Messaging Security Agent limita la cantidad de direcciones que un usuario final
puede incluir en su lista de remitentes permitidos (este límite se calcula según la
longitud y el número de direcciones de correo electrónico).
Coincidencia de caracteres comodín
Messaging Security Agent admite la coincidencia de caracteres comodín para las listas de
remitentes permitidos y bloqueados. Utiliza un asterisco (*) como el carácter comodín.
Messaging Security Agent no es compatible con la coincidencia de caracteres comodín
en la parte del nombre de usuario. Sin embargo, si escribe un patrón como
“*@trend.com”, el agente lo tratará como “@trend.com”.
Solo puede usar un comodín si cumple las siguientes condiciones:
6-13
•
Está situado junto a un solo punto y es el primer carácter o el último de una
cadena.
•
Está situado a la izquierda de un signo @ y es el primer carácter de la cadena.
•
Toda parte que falte al principio o al final de la cadena cumple la misma función
que un comodín.
TABLA 6-2. Coincidencia de caracteres comodín en direcciones de correo electrónico
PATRÓN
EJEMPLOS DE COINCIDENCIA
EJEMPLOS DE NO
COINCIDENCIA
[email protected]
[email protected]
Cualquier dirección distinta
al patrón
@ejemplo.com
[email protected]
[email protected]
*@ejemplo.com
[email protected]
[email protected]
[email protected]
ejemplo.com
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
m
[email protected]
[email protected]
*.ejemplo.com
[email protected]
[email protected]
[email protected]
m
[email protected]
[email protected]
[email protected]
ejemplo.com.*
[email protected]
[email protected]
[email protected]
[email protected]
[email protected].
us
[email protected]
[email protected]
6-14
solo)
PATRÓN
*.ejemplo.com.*
EJEMPLOS DE COINCIDENCIA
EJEMPLOS DE NO
COINCIDENCIA
[email protected]
[email protected]
[email protected].
us
[email protected]
[email protected]
[email protected]
s
*.*.*.ejemplo.com
Lo mismo ocurre con "*.ejemplo.com"
*****.ejemplo.com
*ejemplo.com
Patrones no válidos
ejemplo.com*
ejemplo.*.com
@*.ejemplo.com
El filtrado de contenido evalúa los mensajes de correo electrónico entrantes y salientes
según las reglas que ha definido el usuario. Cada regla contiene una lista de palabras
clave y frases. El filtrado de contenido evalúa el encabezado y/o el contenido de los
mensajes comparando éstos con la lista de palabras clave. Cuando el filtrado de
contenido encuentra una palabra que coincide con una palabra clave, puede realizar una
acción para evitar que el contenido no deseado se entregue a los clientes de Microsoft
Exchange. Messaging Security Agent puede enviar notificaciones siempre que realiza una
acción frente a contenido no deseado.
Nota
No confunda la exploración de contenido (antispam basada en firmas y heurística) con
filtrado de contenido (exploración y bloqueo de correos electrónicos basado en palabras
clave categorizadas). Consulte el apartado Exploración del contenido en la página 6-9.
El filtrado de contenido permite a los administradores evaluar y controlar la entrega de
correo electrónico según el propio texto del mensaje. Esta característica se puede utilizar
6-15
para supervisar los mensajes entrantes y salientes y, asimismo, para comprobar la
existencia de contenido molesto, ofensivo o censurable en algún aspecto. El filtrado de
contenidos también dispone de una función de comprobación de sinónimos para
ampliar el alcance de las políticas. Por ejemplo, se pueden crear reglas para buscar los
siguientes elementos:
•
Lenguaje sexual molesto
•
Lenguaje racista
•
Spam incrustado en el cuerpo de un mensaje de correo electrónico
Nota
el filtrado de contenido no está activado de forma predeterminada.
Gestionar las reglas del filtrado de contenidos
El Messaging Security Agent muestra todas las reglas de filtrado de contenido en la
pantalla Filtrado de contenido. Para acceder a esta pantalla:
•
Para Exploración en tiempo real:
Configuración de seguridad > {Messaging Security Agent} > Configurar >
•
Para la exploración manual:
Exploraciones > Manual > {abra el Messaging Security Agent} > Filtrado
de contenido
•
Para exploración programada:
Exploraciones > Programada > {abra el Messaging Security Agent} >
Procedimiento
1.
Podrá ver información resumida sobre las reglas, por ejemplo:
•
6-16
Regla: WFBS incluye reglas predeterminadas que filtran contenido en función
de las siguientes categorías: Blasfemias, Discriminación racial,
solo)
Discriminación sexual, Bulos y Correo en cadena. Estas reglas están
desactivadas de forma predeterminada. Puede modificarlas en función de sus
necesidades o bien eliminarlas. Si ninguna de esas reglas cumple sus requisitos,
añada sus propias reglas.
2.
•
Acción: El Messaging Security Agent realiza esta acción cuando detecta
contenido no deseado.
•
Prioridad: El Messaging Security Agent aplica los filtros en la secuencia que
determina el orden indicado en esta página.
•
Activado: Un icono verde indica que la regla está activada. Si el icono es rojo,
significa que la regla está desactivada.
TAREA
PASOS
Activar/desactivar
el filtrado de
contenido
Marque o desmarque la opción Activar el filtrado de
contenido en tiempo real en la parte superior de la pantalla.
Agregar una regla
Se abre una nueva pantalla en la que podrá elegir el tipo de
regla que desea agregar. Para conocer los detalles, consulte
Tipos de reglas para filtrar contenidos en la página 6-20.
6-17
TAREA
Modificar una regla
PASOS
a.
Haga clic en el nombre de la regla.
b.
Las opciones disponibles en la pantalla dependen del
tipo de regla. Para determinar el tipo de regla, consulte la
"pista" situada en la parte superior de la pantalla y tome
nota del segundo elemento de la pista. Por ejemplo:
Filtrado de contenido > Coincidir con cualquier regla
de condición > Editar regla
Para obtener detalles sobre las configuraciones de regla
que puede modificar, consulte los siguientes temas:
•
Agregar reglas de filtrado de contenidos para la
coincidencia con cualquier condición en la página
6-24
•
coincidencia con todas las condiciones en la página
6-21
Nota
Este tipo de regla no está disponible para las
exploraciones manuales y programadas de
filtrado de contenidos.
6-18
•
Agregar reglas de supervisión para el filtrado de
contenido en la página 6-27
•
Crear excepciones para las reglas de filtrado de
contenidos en la página 6-30
solo)
TAREA
Reordenar reglas
PASOS
El Messaging Security Agent aplica las reglas de filtrado de
contenidos a los mensajes de correo electrónico según el
orden de aparición en la pantalla Filtrado de contenidos.
Puede configurar el orden de aplicación de las reglas. El
agente filtra todos los mensajes de correo según cada regla
hasta que una infracción de contenido activa una acción que
detiene la exploración (como eliminar o poner en cuarentena).
Es posible modificar el orden de estas reglas para optimizar
el filtrado de contenido.
a.
Seleccione una casilla de verificación que se
corresponda con la regla a la que desea cambiar el
orden.
b.
Haga clic en Reordenar.
Aparecerá un cuadro alrededor del número de orden de
la regla.
c.
En el cuadro de la columna Prioridad, elimine el número
de orden existente y escriba uno nuevo.
Nota
Asegúrese de introducir un número que no sea
superior al número total de reglas de la lista. Si
introduce un número superior al número total de
reglas, WFBS omite la entrada y no cambia el
orden de la regla.
d.
Haga clic en Guardar reordenación.
La regla se desplaza al nivel de prioridad especificado y
los números de orden de todas las demás reglas
cambian convenientemente.
Por ejemplo, si selecciona el número de regla 5 y lo
cambia por el número 3, entonces los números de regla
1 y 2 seguirán siendo los mismos, pero las reglas con el
número 3 en adelante aumentarán en uno.
Activar/Desactivar
reglas
Haga clic en el icono que hay en la columna Activado.
6-19
TAREA
Eliminar las reglas
PASOS
Cuando se elimina una regla, Messaging Security Agent
actualiza el orden del resto de las reglas para reflejar el
cambio.
Nota
la eliminación de una regla es una operación
irreversible, por lo que es conveniente plantearse
deshabilitarlas en lugar de eliminarlas.
3.
a.
Seleccione una norma.
b.
Haga clic en Eliminar.
Tipos de reglas para filtrar contenidos
Se pueden crear reglas que filtren los mensajes de correo según las condiciones que
especifique o según las direcciones de correo del remitente o del destinatario. Las
condiciones que se pueden especificar en la regla son: qué campos del encabezado
explorar, si se buscará o no en el cuerpo de un mensaje y qué palabras clave se deben
buscar.
Puede crear reglas que permitan hacer lo siguiente:
•
Filtrar mensajes que coincidan con cualquier condición definida: Con este
tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una
exploración. Para obtener más información, consulte Agregar reglas de filtrado de
contenidos para la coincidencia con cualquier condición en la página 6-24.
•
Filtrar mensajes que coincidan con todas las condiciones definidas: Con este
tipo de regla, se puede filtrar el contenido de cualquier mensaje durante una
exploración. Para obtener más información, consulte Agregar reglas de filtrado de
contenidos para la coincidencia con todas las condiciones en la página 6-21.
6-20
solo)
Nota
Este tipo de regla no está disponible para las exploraciones manuales y programadas
de filtrado de contenidos.
•
Supervisar el contenido de los mensajes de cuentas de correo electrónico
particulares: Este tipo de regla supervisa el contenido de los mensajes de cuentas
de correo electrónico particulares. Las reglas de supervisión son similares a las
reglas de filtrado de contenido generales, excepto por el hecho de que solo filtran el
contenido de cuentas de correo electrónico específicas. Para obtener más
información, consulte Agregar reglas de supervisión para el filtrado de contenido en la página
6-27.
•
Crear excepciones para cuentas de correo electrónico particulares: Este tipo
de regla crea una excepción para una cuenta de correo electrónico determinada.
Cuando se excluye una cuenta de correo electrónico en concreto, esta cuenta no se
filtrará en busca de infracciones de las reglas de contenido. Para obtener más
información, consulte Crear excepciones para las reglas de filtrado de contenidos en la página
6-30.
Tras haber creado una regla, el Messaging Security Agent comienza a filtrar todos los
mensajes entrantes y salientes según dicha regla. Cuando se produce una infracción de
contenido, Messaging Security Agent realiza una acción contra el mensaje. La acción que
realiza Security Server también depende de las acciones definidas en la regla.
coincidencia con todas las condiciones
Este tipo de regla no está disponible para las exploraciones manuales y programadas de
filtrado de contenidos.
Procedimiento
1.
2.
3.
6-21
4.
Haga clic en Filtrado de contenidos.
5.
6.
Seleccione Filtrar mensajes que coincidan con todas las condiciones
definidas.
7.
8.
Escriba el nombre de la regla en el campo Nombre de la regla.
9.
Seleccione la parte del mensaje que desea filtrar en busca de contenido no deseado.
Messaging Security Agent puede filtrar los mensajes de correo electrónico por:
•
Encabezado (De, Para y Cc)
•
Asunto
•
Tamaño del cuerpo del mensaje o del adjunto
•
Nombre del archivo adjunto
Nota
Messaging Security Agent solo puede filtrar el contenido del encabezado y el asunto
durante una exploración en tiempo real.
10. Haga clic en Siguiente.
11. Seleccione la acción que Messaging Security Agent realizará cuando detecte
contenido no deseado. El Messaging Security Agent puede realizar las siguientes
acciones (para ver las descripciones, consulte Explorar destinos y acciones para los
Messaging Security Agents en la página 7-19):
•
6-22
Sustituir por texto o archivo
solo)
Nota
No se puede sustituir el texto de los campos De, Para, CC o del asunto.
•
Poner en cuarentena todo el mensaje
•
Poner en cuarentena parte del mensaje
•
•
Archivar
•
Omitir todo el mensaje
12. Seleccione Notificar a destinatarios para configurar Messaging Security Agent de
forma que notifique a los destinatarios originales de los mensajes de correo
electrónico en los que se ha filtrado contenido.
Seleccione No notificar a destinatarios externos para enviar notificaciones
únicamente a destinatarios internos. Defina las direcciones de correo internas en
Operaciones > Configuración de la notificación > Definición de correo
interno.
13. Seleccione Notificar a remitentes para configurar Messaging Security Agent de
forma que notifique a los remitentes de los mensajes de correo electrónico en los
que se ha filtrado contenido.
Seleccione No notificar a remitentes externos para enviar notificaciones
únicamente a remitentes internos. Defina las direcciones de correo internas en
interno.
14. En la sección Opciones avanzadas, haga clic en el icono de signo más (+) para
expandir la sección secundaria Configuración del archivado.
a.
En el campo Directorio de cuarentena, escriba la ruta a la carpeta en la que
la función de filtrado de contenido colocará el correo electrónico en
cuarentena, o bien acepte el valor predeterminado: <Carpeta de
instalación del Messaging Security Agent>\storage
\quarantine
b.
En el campo Directorio de archivado, escriba la ruta a la carpeta en la que la
función de filtrado de contenido colocará el correo electrónico archivado, o
6-23
bien acepte el valor predeterminado: <Carpeta de instalación del
Messaging Security Agent>\storage\backup for content
filter
15. Haga clic en el icono de signo más (+) para expandir la sección secundaria
Configuración de la sustitución.
a.
En el campo Nombre del archivo de sustitución, escriba el nombre del
archivo por el que la función de filtrado de contenido sustituirá un mensaje de
correo electrónico cuando se active una regla que utilice la acción "Sustituir
por texto/archivo", o bien acepte el valor predeterminado.
b.
En el campo Texto de sustitución, escriba o pegue el contenido del texto de
sustitución que utilizará la función de filtrado de contenido cuando un
mensaje de correo active una regla cuya acción sea "Sustituir por texto/
archivo", o bien acepte el valor predeterminado.
16. Por último, haga clic en Finalizar.
El asistente se cierra y regresa a la pantalla Filtrado de contenido.
coincidencia con cualquier condición
•
Configuración de seguridad > {Messaging Security Agent} > Definir la
configuración > Filtrado de contenidos
•
de contenido
•
6-24
solo)
Procedimiento
1.
2.
Seleccione Filtrar mensajes que coincidan con cualquier condición definida.
3.
4.
5.
•
•
Asunto
•
Cuerpo
•
Adjunto
Nota
Messaging Security Agent solo puede filtrar el contenido del encabezado y el asunto
durante una exploración en tiempo real.
6.
7.
Agregue las palabras clave de la parte del mensaje que desea filtrar en busca de
contenido no deseado. Para obtener más información sobre cómo funcionan las
palabras clave, consulte Palabras clave en la página D-5
8.
a.
Si fuera necesario, seleccione si desea que el filtrado distinga entre mayúsculas
y minúsculas.
b.
Importe nuevos archivos de palabras clave desde un archivo .txt en caso de
que sea necesario.
c.
Defina una lista de sinónimos.
6-25
9.
Seleccione la acción que Messaging Security Agent realizará cuando detecte
•
Nota
•
•
•
•
Archivar
interno.
interno.
a.
6-26
solo)
\quarantine
b.
filter
a.
b.
Agregar reglas de supervisión para el filtrado de
contenido
•
•
de contenido
6-27
•
Procedimiento
1.
2.
Seleccione Supervisar el contenido de los mensajes de cuentas de correo
electrónico particulares.
3.
4.
5.
Defina las cuentas de correo electrónico que desee supervisar.
6.
7.
•
Asunto
•
Cuerpo
•
Adjunto
Nota
Messaging Security Agent solo es compatible con el filtrado de estas partes del
mensaje durante la exploración en tiempo real. No admite el filtrado del contenido
del encabezado ni del asunto durante las exploraciones manuales y programadas.
8.
Agregue las palabras clave de la parte del mensaje que desea filtrar en busca de
contenido no deseado. Para obtener más información sobre cómo funcionan las
palabras clave, consulte Palabras clave en la página D-5
a.
6-28
Si fuera necesario, seleccione si desea que el filtrado distinga entre mayúsculas
y minúsculas.
solo)
9.
b.
Importe nuevos archivos de palabras clave desde un archivo .txt en caso de
que sea necesario.
c.
Defina una lista de sinónimos.
10. Seleccione la acción que Messaging Security Agent realizará cuando detecte
•
Nota
•
•
•
•
Archivar
interno.
interno.
6-29
a.
\quarantine
b.
filter
a.
b.
Crear excepciones para las reglas de filtrado de
contenidos
•
6-30
solo)
•
de contenido
•
Procedimiento
1.
2.
Seleccione Crear excepciones para cuentas de correo electrónico particulares.
3.
4.
Escriba un nombre para la regla.
5.
Escriba las cuentas de correo electrónico que desea excluir del filtrado de
contenidos y haga clic en Agregar.
La cuenta se añade a la lista de excepciones de cuentas de correo electrónico.
Messaging Security Agent no aplica reglas de contenido con una prioridad inferior
a esta regla para las cuentas de correo de la lista.
6.
Cuando la lista de cuentas de correo contenga las direcciones pertinentes, haga clic
en Finalizar.
El asistente se cierra y regresa a la pantalla Filtrado de contenidos.
Prevención de pérdida de datos
Use la función de prevención de pérdida de datos para protegerse frente a la pérdida de
datos a través del correo electrónico saliente. Esta función puede proteger determinados
datos como, por ejemplo, números de la seguridad social, números de teléfono, números
6-31
de cuentas bancarias y otra información empresarial confidencial que coincida con el
patrón definido.
Las siguientes versiones de Microsoft Exchange se admiten en esta versión:
TABLA 6-3. Versiones admitidas de Microsoft Exchange
COMPATIBLE
NO COMPATIBLE
2007 x64
2003 x86/x64
2010 x64
2007 x86
2010 x86
Tareas de preparación
Antes de supervisar los datos confidenciales en busca de posibles pérdidas, debe
determinar los siguientes aspectos:
•
Los datos que necesitan protección frente a usuarios no autorizados
•
La ubicación en la que residen los datos
•
La ubicación a la que se transmitirán los datos y el modo en que se realizará esta
acción
•
Los usuarios a los que se les concederá autorización para acceder o transmitir esta
información
Para realizar esta importante comprobación, normalmente es necesario recabar
información de varios departamentos y del personal familiarizado con los datos
confidenciales de la organización. En el procedimiento siguiente, se supone que ha
identificado la información confidencial y ha establecido las políticas de seguridad en
relación con la administración de los datos empresariales confidenciales.
La función de prevención de pérdida de datos está compuesta por tres partes básicas:
•
Reglas (los patrones que se buscarán)
•
Dominios que se excluirán del filtrado
6-32
solo)
•
Remitentes permitidos (cuentas de correo electrónico que se excluirán del
filtrado)
Para obtener más información, consulte Gestionar reglas de prevención de pérdida de datos en la
página 6-33.
Gestionar reglas de prevención de pérdida de datos
Messaging Security Agent muestra todas las reglas de prevención de pérdida de datos en
la pantalla Prevención de pérdida de datos (Configuración de seguridad >
{Messaging Security Agent} > Definir la configuración > Prevención de pérdida
de datos).
Procedimiento
1.
Podrá ver información resumida sobre las reglas, por ejemplo:
•
Regla: WFBS incluye reglas predeterminadas (consulte Reglas de prevención de
pérdida de datos predeterminadas en la página 6-40). Estas reglas están desactivadas
de forma predeterminada. Puede modificarlas en función de sus necesidades o
bien eliminarlas. Si ninguna de esas reglas cumple sus requisitos, añada sus
propias reglas.
Consejo
Pase el puntero del ratón sobre el nombre de la regla para verla. Las reglas que
utilizan una expresión regular aparecen marcadas con un icono de lupa (
2.
).
•
Acción: El Messaging Security Agent realiza esta acción cuando se activa una
regla.
•
Prioridad: El Messaging Security Agent aplica las reglas en la secuencia que
determina el orden indicado en esta página.
•
Activado: Un icono verde indica que la regla está activada. Si el icono es rojo,
significa que la regla está desactivada.
6-33
TAREA
PASOS
Activar/desactivar
la prevención de
pérdida de datos
Marque o desmarque la opción Habilitar la prevención de
pérdida de datos en tiempo real en la parte superior de la
pantalla.
Agregar una regla
Se abre una nueva pantalla en la que podrá elegir el tipo de
regla que desea agregar. Para conocer los detalles, consulte
Agregar reglas de prevención de pérdida de datos en la
página 6-41.
Modificar una regla
Haga clic en el nombre de la regla.
Se abrirá una nueva pantalla. Para obtener información sobre
las configuraciones de las reglas que puede modificar,
consulte Agregar reglas de prevención de pérdida de datos
en la página 6-41.
Importar y exportar
reglas
Importe una o varias reglas desde un archivo de texto sin
formato (o expórtelas a un archivo de este tipo), tal y como se
muestra a continuación. Si lo prefiere, puede editar a
continuación las reglas directamente en este archivo.
[SMEX_SUB_CFG_CF_RULE43ca5aea-6e75-44c5-94c9d0b35d2be599]
RuleName=Bubbly
UserExample=
Value=Bubbly
[SMEX_SUB_CFG_CF_RULE8b752cf2-aca9-4730a4dd-8e174f9147b6]
RuleName=Master Card No.
UserExample=Value=.REG. \b5[1-5]\d{2}\-?\x20?
\d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b
6-34
solo)
TAREA
PASOS
Para exportar reglas a un archivo de texto sin formato,
seleccione una o varias reglas en la lista y haga clic en
Exportar.
Consejo
Puede seleccionar las reglas que aparecen solo en una
pantalla. Para seleccionar reglas que aparecen
actualmente en diferentes pantallas, aumente el valor
de "Filas por página" en la parte superior de la lista de
reglas para que la vista abarque todas las reglas que
desea exportar.
Para importar reglas:
a.
Cree un archivo de texto en el formato indicado
anteriormente. También puede hacer clic en Descargue
más reglas predeterminadas debajo de la tabla y, a
continuación, guardar las reglas.
b.
Haga clic en Importar.
Se abrirá una ventana nueva.
c.
Haga clic en Examinar para buscar el archivo que desea
importar y, a continuación, haga clic en Importar.
La función de prevención de pérdida de datos importará
las reglas del archivo y las añadirá al final de la lista de
reglas actual.
Consejo
Si ya tiene más de 10 reglas, las reglas importadas
no estarán visibles en la primera página. Use los
iconos de navegación de la página ubicados en la
parte superior o inferior de la lista de reglas para
mostrar la última página de la lista. Encontrará en
esa ubicación las reglas importadas
recientemente.
6-35
TAREA
Reordenar reglas
PASOS
El Messaging Security Agent aplica las reglas de prevención
de pérdida de datos a los mensajes de correo electrónico
según el orden de aparición en la pantalla Prevención de
pérdida de datos. Puede configurar el orden de aplicación
de las reglas. El agente filtra todos los mensajes de correo
según cada regla hasta que una infracción de contenido
activa una acción que detiene la exploración (como eliminar o
poner en cuarentena). Cambie el orden de estas reglas para
optimizar la prevención de pérdida de datos.
a.
Seleccione una casilla de verificación que se
corresponda con la regla a la que desea cambiar el
orden.
b.
Haga clic en Reordenar.
Aparecerá un cuadro alrededor del número de orden de
la regla.
c.
En el cuadro de la columna Prioridad, elimine el número
de orden existente y escriba uno nuevo.
Nota
Asegúrese de introducir un número que no sea
superior al número total de reglas de la lista. Si
introduce un número superior al número total de
reglas, WFBS omite la entrada y no cambia el
orden de la regla.
d.
Haga clic en Guardar reordenación.
La regla se desplaza al nivel de prioridad especificado y
los números de orden de todas las demás reglas
cambian convenientemente.
Por ejemplo, si selecciona el número de regla 5 y lo
cambia por el número 3, entonces los números de regla
1 y 2 seguirán siendo los mismos, pero las reglas con el
número 3 en adelante aumentarán en uno.
Activar/Desactivar
reglas
6-36
solo)
TAREA
Eliminar las reglas
PASOS
Cuando se elimina una regla, Messaging Security Agent
actualiza el orden del resto de las reglas para reflejar el
cambio.
Nota
la eliminación de una regla es una operación
irreversible, por lo que es conveniente plantearse
deshabilitarlas en lugar de eliminarlas.
a.
Seleccione una norma.
b.
6-37
TAREA
PASOS
Excluir cuentas de
dominio
específicas
Dentro de una empresa, el intercambio de información
confidencial acerca del negocio es una situación necesaria
del día a día. La carga de procesamiento de los Security
Servers sería demasiada si Prevención de pérdida de datos
tuviera que filtrar todos los mensajes internos. Por estos
motivos, necesita establecer uno o más dominios
predeterminados, que representen el tráfico de correo interno
del negocio, para que Prevención de la pérdida de datos no
filtre los mensajes enviados desde una cuenta de correo
electrónico a otra dentro del mismo dominio de la empresa.
Esta lista permite que todos los mensajes de correo
electrónico internos (dentro del dominio de la empresa)
omitan las reglas de prevención de pérdida de datos. Se debe
especificar, al menos, un dominio de este tipo. Agregue los
dominios a la lista si utiliza más de uno.
Por ejemplo: *@example.com
a.
Haga clic en el icono de signo más (+) para expandir la
sección Cuenta(s) de dominio específicas que están
excluidas de la prevención de pérdida de datos.
b.
Coloque el cursor en el campo Agregar y escriba el
dominio mediante el siguiente patrón: *@example.com
c.
El dominio aparecerá en la lista mostrada debajo del
campo Agregar.
d.
Haga clic en Guardar para completar el proceso.
¡ADVERTENCIA!
La función de prevención de pérdida de datos no
agregará el dominio hasta que haga clic en
Guardar. Si hace clic en Agregar, pero no en
Guardar, no se agregará el dominio.
6-38
solo)
TAREA
Agregar cuentas
de correo
electrónico a la
lista de remitentes
seguros
PASOS
El correo de los remitentes permitidos se transmite fuera de
su red sin que la función de pérdida de datos lo filtre. La
función de prevención de pérdida de datos omitirá el
contenido de cualquier mensaje enviado desde las cuentas
de correo electrónico incluidas en la lista de remitentes
permitidos.
a.
sección Remitentes permitidos.
b.
Coloque el cursor en el campo Agregar y escriba la
dirección de correo electrónico completa mediante el
siguiente patrón: [email protected]
c.
La dirección aparecerá en la lista mostrada debajo del
campo Agregar.
d.
Haga clic en Guardar para completar el proceso.
Nota
La función de prevención de pérdida de datos no
agregará la dirección hasta que haga clic en
Guardar. Si hace clic en Agregar, pero no en
Guardar, no se agregará la dirección.
6-39
TAREA
PASOS
Importar cuentas
de correo
electrónico a la
lista de remitentes
seguros
Puede importar una lista de direcciones de correo electrónico
desde un archivo de texto sin formato que incluya una cuenta
de correo electrónico por línea, como se muestra a
continuación:
[email protected]
[email protected]
[email protected]
a.
sección Remitentes permitidos.
b.
Haga clic en Importar.
Se abrirá una ventana nueva.
c.
Haga clic en Examinar para buscar el archivo de texto
sin formato que desea importar y, a continuación, haga
clic en Importar.
Prevención de pérdida de datos importa las reglas del
archivo y las añade al final de la lista actual.
3.
Reglas de prevención de pérdida de datos
predeterminadas
La Prevención de pérdida de datos viene con varias reglas predeterminadas, tal y como
se muestra en la siguiente tabla.
TABLA 6-4. Reglas de prevención de pérdida de datos predeterminadas
NOMBRE DE LA
REGLA
Número de
cuenta de tarjeta
Visa
6-40
EJEMPLO
4111-1111-1111-1111
EXPRESIÓN REGULAR
.REG. \b4\d{3}\-?\x20?\d{4}\-?
\x20?\d{4}\-?\x20?\d{4}\b
solo)
NOMBRE DE LA
REGLA
EJEMPLO
EXPRESIÓN REGULAR
Número de
cuenta de tarjeta
MasterCard
5111-1111-1111-1111
.REG. \b5[1-5]\d{2}\-?\x20?
\d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b
Número de
cuenta de tarjeta
American
Express
3111-111111-11111
.REG. \b3[4,7]\d{2}\-?\x20?
\d{6}\-?\x20?\d{5}\b
Número de
cuenta de tarjeta
Diners Club/
Carte Blanche
3111-111111-1111
.REG. [^\d-]((36\d{2}|38\d{2}|
30[0-5]\d)-?\d{6}-?\d{4})[^\d-]
IBAN
BE68 5390 0754 7034, FR14
2004 1010 0505 0001 3M02 606,
DK50 0040 0440 1162 43
.REG. [^\w](([A-Z]{2}\d{2}[-|\s]?)
([A-Za-z0-9]{11,27}|([A-Za-z0-9]
{4}[-|\s]){3,6}[A-Za-z0-9]{0,3}|([AZa-z0-9]{4}[-|\s]){2}[A-Za-z0-9]
{3,4}))[^\w]
BIC Swift
BANK US 99
.REG. [^\w-]([A-Z]{6}[A-Z0-9]{2}
([A-Z0-9]{3})?)[^\w-]
Fecha ISO
2004/01/23, 04/01/23,
2004-01-23, 04-01-23
.REG. [^\d\/-]([1-2]\d{3}[-\/][0-1]?
\d[-\/][0-3]?\d|\d{2}[-\/][0-1]?\d[-\/]
[0-3]?\d)[^\d\/-]
Nota
Desde la consola Web, se puede descargar un archivo zip que contiene más reglas DLP.
Vaya a Configuración de seguridad > {Messaging Security Agent} > Definir la
configuración > Prevención de pérdida de datos y haga clic en Descargue más reglas
predeterminadas.
Agregar reglas de prevención de pérdida de datos
Procedimiento
1.
6-41
2.
3.
4.
Haga clic en Prevención de pérdida de datos.
5.
6.
7.
Seleccione la parte del mensaje que desee evaluar. Messaging Security Agent puede
filtrar los mensajes de correo electrónico por:
•
•
Asunto
•
Cuerpo
•
Adjunto
Agregue una regla.
Para agregar una regla basada en una palabra clave:
a.
Seleccione Palabra clave.
b.
Escriba la palabra clave en el campo que se muestra. Esta palabra clave debe
tener entre 1 y 64 caracteres alfanuméricos.
c.
Para agregar una regla basada en expresiones generadas automáticamente:
6-42
a.
Consulte Expresiones regulares en la página D-11 para obtener información sobre
cómo definir expresiones regulares.
b.
Seleccione Expresión regular (generada automáticamente).
c.
En el campo proporcionado, escriba un nombre de regla. Este campo es
obligatorio.
solo)
d.
En el campo Ejemplo, escriba o pegue un ejemplo del tipo de cadena (de
hasta 40 caracteres) con la que la expresión regular deba coincidir. Los
caracteres alfanuméricos aparecen en mayúsculas en el área sombreada con
filas de cuadros debajo del campo Ejemplo.
e.
Si existen constantes en la expresión, selecciónelas haciendo clic en los
cuadros en los que se muestran los caracteres.
Al hacer clic en un cuadro, el borde se vuelve rojo para indicar que es una
constante, y la herramienta de generación automática modifica la expresión
regular que se muestra debajo del área sombreada.
Nota
Los caracteres que no son alfanuméricos (como los espacios, el punto y coma y
otros signos de puntuación) se consideran constantes de manera automática y
no se pueden cambiar a variables.
f.
Para comprobar que la expresión regular generada coincide con el patrón
previsto, seleccione Proporcione otro ejemplo para verificar la regla
(opcional).
Aparece un campo de prueba debajo de esta opción.
g.
Escriba otro ejemplo del patrón que acaba de introducir.
Por ejemplo, si esta expresión debe coincidir con una serie de números de
cuenta del patrón “01-EX????? 20??”, escriba otro ejemplo que coincida,
como “01-Extreme 2010” y haga clic en Probar.
La herramienta valida el nuevo ejemplo con respecto a la expresión regular
existente e incluye un icono de marca de verificación verde junto al campo si
el nuevo ejemplo coincide. Si la expresión regular no coincide con el nuevo
ejemplo, aparece un icono de equis rojo junto al campo.
¡ADVERTENCIA!
Las expresiones regulares creadas mediante esta herramienta distinguen entre
mayúsculas y minúsculas. Estas expresiones solo pueden coincidir con patrones
que tengan el número exacto de caracteres del ejemplo; no se puede evaluar un
patrón formado por "una o varias instancias" de un determinado carácter.
6-43
h.
Para agregar una regla basada en expresiones definidas por el usuario:
¡ADVERTENCIA!
Las expresiones regulares son una potente herramienta de coincidencia de cadenas.
Asegúrese de estar familiarizado con la sintaxis de las expresiones regulares antes de
utilizar este tipo de expresiones. Las expresiones regulares escritas de forma
incorrecta pueden reducir considerablemente el rendimiento. Trend Micro
recomienda comenzar con expresiones regulares sencillas. Al crear nuevas reglas, use
la acción de archivado y observe cómo la función de prevención de pérdida de datos
administra los mensajes mediante la regla. Cuando esté seguro de que la regla no tiene
consecuencias inesperadas, podrá cambiar la acción.
a.
Consulte Expresiones regulares en la página D-11 para obtener información sobre
cómo definir expresiones regulares.
b.
Seleccione Expresión regular (definida por el usuario).
Aparecen los campos Nombre de la regla y Expresión regular.
c.
En el campo proporcionado, escriba un nombre de regla. Este campo es
obligatorio.
d.
En el campo Expresión regular, escriba una expresión regular comenzando
con un prefijo ".REG." y con una longitud de 255 caracteres, incluido el
prefijo.
¡ADVERTENCIA!
Tenga cuidado al pegar elementos en este campo. Si se incluye un carácter
externo como, por ejemplo, un avance de línea específico del SO o una etiqueta
HTML en el contenido del Portapapeles, la expresión pegada será imprecisa.
Por este motivo, Trend Micro recomienda que escriba manualmente la
expresión.
e.
Para comprobar que la expresión regular coincide con el patrón previsto,
seleccione Proporcione otro ejemplo para verificar la regla (opcional).
Aparece un campo de prueba debajo de esta opción.
6-44
solo)
f.
Escriba otro ejemplo del patrón que acaba de introducir (40 caracteres o
menos).
Por ejemplo, si esta expresión debe coincidir con una serie de números de
cuenta del patrón “ACC-?????, 20??” escriba otro ejemplo que coincida, como
“Acc-65432 2012” y haga clic en Probar.
La herramienta valida el nuevo ejemplo con respecto a la expresión regular
existente e incluye un icono de marca de verificación verde junto al campo si
el nuevo ejemplo coincide. Si la expresión regular no coincide con el nuevo
ejemplo, aparece un icono de equis rojo junto al campo.
g.
8.
Seleccione una acción para que el Messaging Security Agent la lleve a cabo cuando
se active una regla (para ver las descripciones, consulte Explorar destinos y acciones
para los Messaging Security Agents en la página 7-19):
•
Nota
9.
•
•
•
•
Archivar
•
Omitir todo el mensaje
Seleccione Notificar a los destinatarios para que el Messaging Security Agent
informe a los destinatarios previstos cuando la función de prevención de pérdida
de datos realice una acción en un mensaje de correo electrónico específico.
Por diversos motivos, es posible que no desee notificar a los destinatarios de correo
externos que se ha bloqueado un mensaje con información confidencial. Seleccione
No notificar a destinatarios externos para enviar notificaciones únicamente a
destinatarios internos. Defina las direcciones de correo internas en Operaciones >
Configuración de la notificación > Definición de correo interno.
6-45
10. Seleccione Notificar a remitentes para que Messaging Security Agent informe a
los remitentes previstos cuando la función de prevención de pérdida de datos
realice una acción en un mensaje de correo electrónico específico.
Por diversos motivos, es posible que no desee notificar a los remitentes de correo
externos que se ha bloqueado un mensaje con información confidencial. Seleccione
No notificar a remitentes externos para enviar notificaciones únicamente a
remitentes internos. Defina las direcciones de correo internas en Operaciones >
a.
la función de prevención de pérdida de datos incluirá el correo electrónico en
\quarantine
b.
función de prevención de pérdida de datos colocará el correo electrónico
archivado, o bien acepte el valor predeterminado: <Carpeta de
instalación del Messaging Security Agent>\storage\backup
for content filter
a.
archivo por el que la función de prevención de pérdida de datos sustituirá un
mensaje de correo electrónico cuando se active una regla que utilice la acción
"Sustituir por texto/archivo", o bien acepte el valor predeterminado.
b.
sustitución que utilizará la función de prevención de pérdida de datos cuando
un mensaje de correo active una regla cuya acción sea "Sustituir por texto/
6-46
solo)
El asistente se cierra y regresa a la pantalla Prevención de pérdida de datos.
El bloqueo de archivos adjuntos impide que los archivos adjuntos a mensajes de correo
electrónico se entreguen en el Almacén de información de Microsoft Exchange.
Configure Messaging Security Agent para bloquear los archivos adjuntos según el tipo o
nombre de dicho archivo y, a continuación, sustituya, ponga en cuarentena o elimine
todos los mensajes que contengan archivos adjuntos que cumplan esos criterios.
El bloqueo puede producirse durante la exploración en tiempo real, manual y
programada, pero las acciones eliminar y poner en cuarentena no están disponibles en
las exploraciones manual y programada.
La extensión de un archivo adjunto identifica el tipo de archivo, por
ejemplo: .txt, .exe o .dll. Sin embargo, Messaging Security Agent examina el
encabezado del archivo en lugar de su nombre para determinar el tipo de archivo real.
Numerosos virus/malware están estrechamente vinculados a determinados tipos de
archivo. Si configura Messaging Security Agent para realizar el bloqueo según el tipo de
archivo, puede reducir el riesgo que esos tipos de archivo representan para la seguridad
de los servidores Microsoft Exchange. De forma similar, hay ataques específicos
asociados a un nombre de archivo específico.
Consejo
La utilización del bloqueo es un modo eficaz de controlar las epidemias de virus. Puede
poner en cuarentena temporalmente todos los tipos de archivos de riesgo elevado o
aquellos con un nombre específico asociado a un virus/malware conocido. Posteriormente,
cuando disponga de más tiempo, puede revisar la carpeta de cuarentena y realizar las
acciones que desee en los archivos infectados.
Configurar el bloqueo de archivos adjuntos
La configuración de opciones de bloqueo de archivos adjuntos en servidores Microsoft
Exchange implica configurar las reglas de forma que bloqueen mensajes con
determinados archivos adjuntos.
6-47
•
configuración > Bloqueo de archivos adjuntos
•
Exploraciones > Manual > {abra el Messaging Security Agent} > Bloqueo
de archivos adjuntos
•
Procedimiento
1.
En la pestaña Destino, actualice la siguiente información según sea necesario:
•
•
6-48
Todos los archivos adjuntos: el agente puede bloquear todos los mensajes
de correo electrónico que contengan archivos adjuntos. Sin embargo, este tipo
de exploración requiere mucho procesamiento. Vuelva a definir este tipo de
exploración seleccionando los tipos o nombres de archivos adjuntos que
deben excluirse.
•
Tipos de archivos adjuntos que excluir
•
Nombres de archivos adjuntos que excluir
Archivos adjuntos específicos: cuando se selecciona este tipo de
exploración, el agente solo explora los mensajes de correo electrónico que
contienen los archivos adjuntos que usted identifique. Este tipo de
exploración puede ser muy exclusivo y es ideal para detectar mensajes de
correo electrónico con archivos adjuntos sospechosos de contener amenazas.
Esta exploración se ejecuta muy rápidamente cuando se especifica una
cantidad relativamente pequeña de nombres o tipos de archivos adjuntos.
•
Tipos de archivos adjuntos: el agente examina el encabezado del
archivo en lugar del nombre de archivo para determinar el tipo de
archivo real.
•
Nombres de archivos adjuntos: de forma predeterminada, el agente
examina el encabezado del archivo en lugar del nombre de archivo para
solo)
determinar el tipo de archivo real. Si se establece el bloqueo de archivos
adjuntos para explorar según nombres específicos, el agente detectará los
tipos de archivos adjuntos según su nombre.
•
2.
3.
Bloquear tipos o nombres de archivos adjuntos dentro de archivos zip
Haga clic en la pestaña Acción para configurar las acciones que realizará el
Messaging Security Agent cuando detecte un archivo adjunto. El Messaging
Security Agent puede realizar las siguientes acciones (para ver las descripciones,
consulte Explorar destinos y acciones para los Messaging Security Agents en la página 7-19):
•
•
•
•
Seleccione Notificar a destinatarios para configurar el Messaging Security Agent
de forma que notifique a los destinatarios originales de los mensajes de correo
electrónico que incluyen documentos adjuntos.
interno.
4.
Seleccione Notificar a remitentes para configurar el Messaging Security Agent de
forma que notifique a los remitentes de los mensajes de correo electrónico que
incluyen documentos adjuntos.
interno.
5.
Haga clic en el icono de signo más (+) para expandir la sección secundaria
a.
archivo por el que la función de bloqueo de archivos adjuntos sustituirá un
6-49
mensaje de correo electrónico cuando se active una regla que utilice la acción
"Sustituir por texto/archivo", o bien acepte el valor predeterminado.
b.
6.
sustitución que utilizará la función de bloqueo de archivos adjuntos cuando
un mensaje de correo active una regla cuya acción sea "Sustituir por texto/
Reputación Web
Reputación Web impide el acceso a las URL que están en la Web o incrustadas en
mensajes de correo electrónico que plantean riesgos de seguridad. La función de
reputación Web comprueba la reputación de las URL con respecto a los servidores de
reputación Web de Trend Micro y establece una correlación de la reputación y la política
de la reputación Web específica aplicada en el cliente. En función de la política en uso:
•
El Security Agent bloqueará o permitirá el acceso al sitio Web.
•
El Messaging Security Agent (Advanced solo) pondrá en cuarentena, eliminará o
etiquetará los mensajes de correo electrónico que contengan URL maliciosas o
permitirá que el mensaje se envíe si la URL es segura.
La reputación Web envía una notificación por correo electrónico al administrador y una
notificación en línea al usuario si se producen detecciones.
Para los Security Agents, configure un nivel de seguridad distinto basado en la ubicación
(en la oficina o fuera de la oficina) del cliente.
Si la reputación Web bloquea una dirección URL que el destinatario cree que es segura,
agréguela a la lista de URL permitidas.
Consejo
Para ahorrar ancho de banda de la red, Trend Micro recomienda agregar los sitios web
internos de la empresa a la lista de URL admitidas por reputación Web.
6-50
solo)
Puntuación de reputación
La "puntuación de reputación" de una URL determina si una URL es una amenaza Web.
Trend Micro calcula la puntuación mediante métricas de propiedad.
Trend Micro considera que una URL es una amenaza Web si su puntuación encaja en un
umbral definido y considera que es segura si excede dicho umbral.
Un Security Agent tiene tres niveles de seguridad que determinan si se permitirá o se
bloqueará el acceso a una URL.
•
•
•
Alto: Bloquea las páginas en los casos siguientes:
•
amenazas
•
amenazas
•
Sospechosa: Relacionada con spam o probablemente comprometida
•
Sin probar: Mientras que Trend Micro comprueba de forma activa la
seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin
comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se
bloquea el acceso a las páginas sin comprobar se aumenta la seguridad, pero
también se puede impedir el acceso a páginas seguras.
Medio: Bloquea las páginas en los casos siguientes:
•
amenazas
•
amenazas
Bajo: Bloquea las páginas en los casos siguientes:
•
amenazas
6-51
Configurar la reputación Web para los Messaging
Security Agents
Procedimiento
1.
2.
3.
4.
Haga clic en Reputación Web.
5.
•
Activar Reputación Web
•
Nivel de seguridad: Alto, Medio o Bajo.
•
URL aprobadas
•
URL para permitir: separe las distintas URL mediante punto y coma (;).
Nota
la aprobación de una URL implica la aprobación de todos sus
subdominios.
Use los caracteres comodín con cuidado ya que pueden permitir
conjuntos grandes de URL.
•
6.
6-52
Lista de URL permitidas: las URL de esta lista no se bloquearán.
Haga clic en la pestaña Acción y seleccione la acción que el Messaging Security
Agent deba realizar cuando se active una política de reputación Web (para ver las
descripciones, consulte Explorar destinos y acciones para los Messaging Security Agents en la
página 7-19):
solo)
•
Nota
•
Poner el mensaje en cuarentena en la carpeta para spam del usuario
•
•
Etiquetar y entregar
7.
Seleccione Realizar una acción en las URL que Trend Micro no ha evaluado
para que las URL que no se han clasificado se consideren como sospechosas. Se
realizará la misma acción especificada en el paso anterior en los mensajes de correo
electrónico que contengan URL sin clasificar.
8.
Seleccione Notificar a los destinatarios para que el Messaging Security Agent
informe a los destinatarios previstos cuando la función de reputación Web realice
una acción en un mensaje de correo electrónico específico.
Por diversos motivos, es posible que no desee notificar a los destinatarios de correo
externos que se ha bloqueado un mensaje con URL maliciosas. Seleccione No
notificar a destinatarios externos para enviar notificaciones únicamente a
destinatarios internos. Defina las direcciones de correo internas en Operaciones >
9.
Seleccione Notificar a remitentes para que Messaging Security Agent informe a
los remitentes previstos cuando la función de reputación Web realice una acción en
un mensaje de correo electrónico específico.
Por diversos motivos, es posible que no desee notificar a los remitentes de correo
externos que se ha bloqueado un mensaje con URL maliciosas. Seleccione No
notificar a remitentes externos para enviar notificaciones únicamente a
remitentes internos. Defina las direcciones de correo internas en Operaciones >
6-53
Mobile Security
La configuración de Mobile Security impide a los dispositivos no autorizados acceder a
Microsoft Exchange Server y descargar información desde allí. Los administradores
identifican los dispositivos a los que se permite acceder a Microsoft Exchange Server y, a
continuación, determinan si los usuarios de estos dispositivos pueden descargar o
actualizar desde allí el correo electrónico, el calendario, los contactos o las tareas.
Asimismo, los administradores pueden aplicar políticas de seguridad a los dispositivos.
Estas políticas controlan la complejidad y la longitud de las contraseñas, si los
dispositivos deben bloquearse al transcurrir cierto periodo de inactividad, en qué
dispositivos debe usarse el cifrado y si los datos correspondientes deben borrarse
después de varios intentos infructuosos de inicio de sesión.
Compatibilidad de Mobile Security
TABLA 6-5. Compatibilidad de dispositivos móviles
POLÍTICAS DE
CONTROL DE ACCESO
PROTECCIÓN DE DATOS
DEL DISPOSITIVO
SISTEMA
OPERATIVO
6-54
•
Wind
ows
2008
(64
bits)
•
SBS
2008
(64
bits)
VERSIÓN
DE IIS
7+
EXCHANGE
2007 (O
POSTERIOR)
DE 64 BITS
Sí
EXCHANGE
2003 DE
32 BITS
Incompati
ble
EXCHANGE
2010 (O
POSTERIOR)
DE 64 BITS
EXCHANGE
2007 DE
64 BITS
EXCHANGE
2003 DE
32 BITS
Sí
No
Incompati
ble
solo)
POLÍTICAS DE
CONTROL DE ACCESO
PROTECCIÓN DE DATOS
DEL DISPOSITIVO
SISTEMA
OPERATIVO
VERSIÓN
DE IIS
EXCHANGE
2007 (O
POSTERIOR)
DE 64 BITS
EXCHANGE
2003 DE
32 BITS
EXCHANGE
2010 (O
POSTERIOR)
DE 64 BITS
EXCHANGE
2007 DE
64 BITS
EXCHANGE
2003 DE
32 BITS
Windows
2003 (64
bits)
6.0
Sí
Incompati
ble
No
No
Incompati
ble
•
Wind
ows
2003
(32
bits)
6.0
Incompati
ble
No
Incompati
ble
Incompati
ble
No
•
SBS
2003
(32
bits)
TABLA 6-6. Compatibilidad de sistemas operativos de dispositivos móviles
SO DEL DISPOSITIVO MÓVIL
VERSIÓN DEL SO
iOS
3.0 - 6.1 (4.3 - 7.0)
Android
2.2 - 4.2
WM/WP (Windows)
7.0 - 8.0
BB (BlackBerry)
7.0 - 10.1
Configurar el control de acceso a dispositivos
Procedimiento
1.
2.
6-55
3.
4.
Haga clic en Mobile Security > Control de acceso a dispositivos.
5.
Seleccione Activar el control de acceso a dispositivos.
6.
7.
Escriba un nombre de política y una descripción significativa para esta.
8.
Seleccione los dispositivos para los que desea permitir/bloquear el acceso a
Microsoft Exchange Server identificándolos por su o sus propietarios:
9.
•
Cualquiera
•
Especificar propietarios de dispositivos
Si se ha seleccionado la opción Especificar propietarios de dispositivos:
a.
Escriba el nombre de un propietario del dispositivo y haga clic en Buscar
para buscarlo en la lista global de direcciones de Microsoft Exchange Server.
b.
Seleccione el propietario del dispositivo y haga clic en Agregar.
10. Si tiene esta información, seleccione el sistema operativo del dispositivo en la lista
desplegable Tipo.
11. Si tiene esta información, seleccione Especificar intervalo de números de
versión e identifique las versiones del sistema operativo permitidas.
12. Especifique si Messaging Security Agent debe permitir o bloquear el acceso a las
tareas, los contactos, el calendario o el correo del propietario del dispositivo.
6-56
solo)
Cancelar un borrado de dispositivo pendiente
Procedimiento
1.
2.
3.
4.
Haga clic en Mobile Security > Borrado del dispositivo.
5.
Identifique el dispositivo en la tabla de borrado de dispositivos y haga clic en
Cancelar borrado.
6.
Borrar dispositivos manualmente
Procedimiento
1.
2.
3.
4.
Haga clic en Mobile Security > Borrado del dispositivo.
5.
Haga clic en Seleccionar dispositivos.
6-57
6.
Escriba el nombre de un propietario del dispositivo y haga clic en Buscar para
buscar dicho dispositivo.
7.
Si el dispositivo se muestra disponible para el borrado, selecciónelo y haga clic en
Borrar.
Nota
No se pueden seleccionar los dispositivos cuyo estado tras una búsqueda se establece
en Borrado correcto o Borrado pendiente.
Configurar políticas de seguridad
WFBS usa como política predeterminada la de Microsoft Exchange. La política
predeterminada aparece en la lista de políticas de seguridad.
WFBS no mantiene políticas no predeterminadas añadidas mediante la consola de
administración de Microsoft Exchange o Exchange Cmdlet.
Trend Micro recomienda a los administradores administrar las políticas de seguridad
desde la consola de administración de WFBS o Microsoft Exchange.
Procedimiento
1.
2.
3.
4.
Haga clic en Mobile Security > Políticas de seguridad.
5.
6.
Escriba un nombre de política y una descripción significativa para esta.
6-58
solo)
7.
Escriba el nombre de un propietario del dispositivo y haga clic en Buscar para
buscarlo en la lista global de direcciones de Microsoft Exchange Server.
8.
Seleccione el propietario del dispositivo y haga clic en Agregar.
9.
Seleccione el criterio de seguridad que desea aplicar al dispositivo:
•
Longitud mínima de la contraseña: para obtener directrices sobre las
contraseñas para dispositivos móviles, consulte Requisitos de complejidad de la
contraseña en la página 6-59.
•
Número mínimo de conjuntos de caracteres necesarios: para obtener
directrices sobre las contraseñas para dispositivos móviles, consulte Requisitos
de complejidad de la contraseña en la página 6-59.
•
Bloquear el dispositivo si está inactivo
•
Requerir cifrado en el dispositivo: el dispositivo móvil debe admitir el
cifrado.
•
Borrar el dispositivo tras intentar iniciar sesión
Requisitos de complejidad de la contraseña
Los requisitos de complejidad de la contraseña difieren para los distintos tipos de
dispositivos y sistemas operativos.
Las siguientes tablas muestran el comportamiento de cada «opción» de complejidad para
los dispositivos que se prueban en el momento del lanzamiento de WFBS 9.0.
Nota
La funcionalidad de la complejidad de la contraseña depende de la versión del sistema
operativo y del tipo de dispositivo. Si la contraseña especificada no cumple los requisitos de
complejidad, la mayoría de los dispositivos facilitan a los usuarios un mensaje que indica
cuáles son los requisitos específicos para ese dispositivo.
6-59
TABLA 6-7. Dispositivos con Android
REQUISITOS DE COMPLEJIDAD
NIVEL DE
COMPLEJIDAD
Opción 1
Opción 2
Opción 3
6-60
ANDROID 4
Una combinación de los siguientes
tipos de caracteres:
•
Una letra mayúscula (A-Z) o
minúscula (a-z) como mínimo
•
Un número (0-9) o un carácter
especial (!@#$ %^&*()_-=+~`[]
{}\|;:'"?/<>,.) como mínimo
•
•
Dos números (0-9) o dos
caracteres especiales (!@#$
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
como mínimo
•
•
Tres números (0-9) o tres
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
como mínimo
ANDROID 2
Alfanumérica
Una combinación de los
siguientes tipos de caracteres:
•
Alfanumérica
•
Dos números (0-9) o dos
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
como mínimo
•
Alfanumérica
•
Tres números (0-9) o tres
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
como mínimo
solo)
NIVEL DE
COMPLEJIDAD
Opción 4
ANDROID 4
•
•
Cuatro números (0-9) o cuatro
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
como mínimo
ANDROID 2
•
Alfanumérica
•
Cuatro números (0-9) o
cuatro caracteres especiales
(!@#$ %^&*()_-=+~`[]{}\|;:'"?/
<>,.) como mínimo
TABLA 6-8. Dispositivos con iOS
NIVEL DE
COMPLEJIDAD
Opción 1
Opción 2
Opción 3
Opción 4
Una combinación de los siguientes tipos de caracteres:
•
Alfanumérica
•
Un carácter especial (!@#$ %^&*()_-=+~`[]{}\|;:'"?/<>,.) como
mínimo
•
Alfanumérica
•
Dos caracteres especiales (!@#$ %^&*()_-=+~`[]{}\|;:'"?/<>,.) como
mínimo
•
Alfanumérica
•
Tres caracteres especiales (!@#$ %^&*()_-=+~`[]{}\|;:'"?/<>,.) como
mínimo
•
Alfanumérica
•
Cuatro caracteres especiales (!@#$ %^&*()_-=+~`[]{}\|;:'"?/<>,.)
como mínimo
6-61
TABLA 6-9. Dispositivos con Windows Phone
NIVEL DE
COMPLEJIDAD
Opción 1
Opción 2
6-62
WINDOWS PHONE 8
Al menos uno de los siguientes
WINDOWS PHONE 7
Una combinación de al menos dos
de los siguientes tipos de
caracteres:
•
Caracteres en letra
mayúscula (A-Z)
•
•
Caracteres en letra minúscula
(A-Z)
Caracteres en letra
mayúscula (A-Z)
•
(A-Z)
•
Caracteres numéricos (0-9)
•
•
Caracteres especiales (!@#$
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
caracteres:
caracteres:
•
Caracteres en letra
mayúscula (A-Z)
•
Caracteres en letra
mayúscula (A-Z)
•
(A-Z)
•
(A-Z)
•
•
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
solo)
NIVEL DE
COMPLEJIDAD
Opción 3
Opción 4
WINDOWS PHONE 8
WINDOWS PHONE 7
Una combinación de al menos tres
caracteres:
Una combinación de al menos tres
caracteres:
•
Caracteres en letra
mayúscula (A-Z)
•
Caracteres en letra
mayúscula (A-Z)
•
(A-Z)
•
(A-Z)
•
•
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
Una combinación de todos los
Una combinación de todos los
•
Caracteres en letra
mayúscula (A-Z)
•
Caracteres en letra
mayúscula (A-Z)
•
(A-Z)
•
(A-Z)
•
•
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
•
%^&*()_-=+~`[]{}\|;:'"?/<>,.)
TABLA 6-10. Dispositivos BlackBerry
NIVEL DE
COMPLEJIDAD
Opción 1
Una letra mayúscula (A-Z) o minúscula (a-z) como mínimo
6-63
NIVEL DE
COMPLEJIDAD
Opción 2
Opción 3
Opción 4
Una combinación de al menos dos de los siguientes tipos de
caracteres:
•
Caracteres en letra mayúscula (A-Z)
•
Caracteres en letra minúscula (A-Z)
•
•
Caracteres especiales (!@#$ %^&*()_-=+~`[]{}\|;:'"?/<>,.)
Una combinación de al menos tres de los siguientes tipos de
caracteres:
•
•
•
•
Una combinación de todos los siguientes tipos de caracteres:
•
•
•
•
Cuarentena para los Messaging Security
Agents
Cuando un Messaging Security Agent detecta una amenaza, spam, archivos adjuntos
restringidos o contenido restringido en mensajes de correo electrónico, el agente puede
mover el mensaje a una carpeta de cuarentena. Este proceso ofrece una alternativa a la
eliminación de mensajes o archivos adjuntos, y evita que los usuarios abran el mensaje
infectado y propaguen la amenaza.
La carpeta de cuarentena predeterminada de Message Security Agent es:
6-64
solo)
<Carpeta de instalación del Messaging Security Agent>\storage
\quarantine
Los archivos puestos en cuarentena se cifran para mayor seguridad. Para abrir un
archivo cifrado, use la herramienta Restaurar spyware y virus cifrados (VSEncode.exe).
Consulte el apartado Restaurar archivos cifrados en la página 14-9.
Los administradores pueden consultar la base de datos de cuarentena para obtener
información sobre los mensajes puestos en cuarentena.
Use la cuarentena para:
•
Eliminar la posibilidad de borrar mensajes importantes de forma irreversible si son
detectados por error por filtros estrictos
•
Revisar los mensajes que activan filtros de contenido para determinar la gravedad
de la infracción de la política
•
Conservar pruebas de un posible uso incorrecto del sistema de mensajería de la
empresa por parte de un empleado
Nota
No confunda la carpeta de cuarentena con la carpeta para spam del usuario final. La carpeta
de cuarentena es una carpeta basada en archivos. Cada vez que el Messaging Security Agent
pone en cuarentena un mensaje de correo electrónico, envía el mensaje a la carpeta de
cuarentena. La carpeta para spam del usuario final se encuentra en el almacén de
información de cada buzón de entrada de los usuarios. La carpeta para spam del usuario
final solo recibe los mensajes de correo electrónico puestos por una acción de cuarentena
antispam en la carpeta de spam de un usuario, no los de acciones de cuarentena derivadas
de políticas de filtrado de contenido, antivirus/antispyware o bloqueo de archivos adjuntos.
Consultar directorios de cuarentena
Procedimiento
1.
2.
3.
6-65
4.
Haga clic en Poner en cuarentena > Consulta.
5.
•
Intervalo de fechas u horas
•
Motivos de la cuarentena
•
•
6-66
•
Todos los motivos
•
Tipos especificados: elija entre Exploración de virus, AntiSpam,
Filtrado de contenidos, Bloqueo de archivos adjuntos o Partes de
mensaje que no se pueden explorar.
Estado de reenvío
•
No reenviado nunca
•
Reenviado al menos una vez
•
Ambas opciones
Criterios avanzados
•
Remitente: Mensajes de remitentes específicos. Utilice comodines si es
necesario.
•
Destinatario: Mensajes de destinatarios específicos. Utilice comodines si
es necesario.
•
Asunto: Mensajes con asuntos específicos. Utilice comodines si es
necesario.
•
Ordenar por: configure los criterios de ordenación para la página de
resultados.
•
Pantalla: Número de resultados por página.
solo)
6.
Haga clic en Buscar. Consulte el apartado Ver resultados de las consultas y realizar
acciones en la página 6-67.
Ver resultados de las consultas y realizar acciones
La pantalla Resultados de consulta de cuarentena muestra la siguiente información
sobre los mensajes:
•
Hora de exploración
•
Remitente
•
Destinatario
•
Asunto
•
Motivo: La razón por la que el mensaje está puesto en cuarentena.
•
Nombre de archivo: Nombre del archivo bloqueado en el mensaje de correo
electrónico.
•
Ruta de cuarentena: La ubicación del mensaje de correo electrónico puesto en
cuarentena. Los administradores pueden descifrar el archivo con la herramienta
VSEncoder.exe (consulte Restaurar archivos cifrados en la página 14-9) y cambiarle la
extensión a .eml para verlo.
¡ADVERTENCIA!
la acción de ver archivos infectados podría propagar la infección.
•
Estado de reenvío
Procedimiento
1.
Si considera que algún mensaje no es seguro, bórrelo.
6-67
¡ADVERTENCIA!
la carpeta de cuarentena contiene mensajes de correo electrónico con un riesgo
elevado de infección. Actúe con precaución al manipular mensajes de correo
electrónico de esta carpeta para evitar la infección accidental del cliente.
2.
Si considera que algún mensaje es seguro, selecciónelo y haga clic en el icono de
reenvío ( ).
Nota
si reenvía un mensaje en cuarentena enviado originalmente por Microsoft Outlook, el
destinatario podría recibir varias copias del mismo mensaje. Esto puede ocurrir
porque el motor de exploración antivirus divide cada mensaje que explora en varias
secciones.
3.
Si no puede reenviar el mensaje, es posible que no exista la cuenta del
administrador del sistema en el servidor Microsoft Exchange.
a.
Con el Editor del Registro de Windows, abra la siguiente entrada del Registro
del servidor:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for
Exchange\CurrentVersion
b.
Modifique la entrada de la manera siguiente:
¡ADVERTENCIA!
si modifica incorrectamente el Registro, podrían producirse daños graves en el
sistema. Antes de realizar cambios en el Registro debe realizar una copia de
seguridad de los datos valiosos del equipo.
•
ResendMailbox {Administrator Mailbox}
Ejemplo: [email protected]
•
ResendMailboxDomain {Administrator’s Domain}
Ejemplo: example.com
•
6-68
ResendMailSender {Administrator’s Email Account}
solo)
Ejemplo: admin
c.
Cierre el Editor del Registro.
Mantener directorios de cuarentena
Use esta función para eliminar manual o automáticamente los mensajes puestos en
cuarentena. Esta función puede eliminar todos los mensajes, los mensajes reenviados y
los mensajes que no se hayan reenviado.
Procedimiento
1.
2.
3.
4.
Haga clic en Poner en cuarentena > Mantenimiento.
5.
•
Activar el mantenimiento automático: Solo está disponible para el
mantenimiento automático.
•
Archivos que se van a borrar
•
•
Todos los archivos en cuarentena
•
Archivos en cuarentena que nunca se han reenviado
•
Archivos en cuarentena que se han reenviado como mínimo una
vez
Acción: El número de días que deben almacenarse los mensajes. Por ejemplo,
si la fecha es el 21 de noviembre y usted ha escrito 10 en el campo Eliminar
los archivos seleccionados con más de, el Messaging Security Agent
6-69
eliminará todos los archivos anteriores al 11 de noviembre cuando se ejecute
la eliminación automática.
6.
Configurar directorios de cuarentena
Especifique los directorios de cuarentena en el servidor Microsoft Exchange. El
directorio de cuarentena se excluirá de la exploración.
Nota
los directorios de cuarentena están basados en archivos y no residen en el almacén de
información.
Messaging Security Agent pone en cuarentena los mensajes de correo según las acciones
que se hayan configurado. Los siguientes son los directorios de cuarentena:
•
Antivirus: Pone en cuarentena los mensajes de correo electrónico que contienen
virus/malware, spyware/grayware, gusanos, troyanos y otras amenazas maliciosas.
•
Antispam: Pone en cuarentena los mensajes de correo spam y phishing.
•
Bloqueo de archivos adjuntos: Pone en cuarentena los mensajes de correo
electrónico que contienen archivos adjuntos restringidos.
•
Filtrado de contenidos: Pone en cuarentena los mensajes de correo electrónico
con contenido restringido.
De manera predeterminada, todos los directorios tienen las mismas rutas (<Carpeta
de instalación del Messaging Security Agent>\storage
\quarantine). Puede cambiar las rutas de directorios individuales o de todos ellos.
Procedimiento
1.
2.
3.
6-70
solo)
4.
Haga clic en Cuarentena > Directorio.
5.
6.
Consulte la ruta de los siguientes directorios de cuarentena:
•
Antivirus
•
Antispam
•
•
Configuración de notificaciones para los
WFBS puede enviar notificaciones en forma de mensajes de correo electrónico a
diversas alertas.
Puede configurar notificaciones para aplicarlas solo a los mensajes de correo electrónico
internos usando definiciones personalizadas de correo interno. Estas definiciones son
útiles cuando la empresa tiene dos (o más) dominios y se desea tratar los mensajes de
correo electrónico de ambos dominios como mensajes de correo internos. Por ejemplo:
ejemplo.com y ejemplo.net.
Los destinatarios de la lista Definición de correo interno recibirán mensajes con
notificaciones si activa la casilla de verificación No notificar a remitentes externos en
la Configuración de la notificación de Antivirus, Filtrado de contenidos y Bloqueo de
archivos adjuntos. No confunda la lista Definición de correo interno con la lista
Remitentes permitidos.
Para evitar que todos los mensajes de correo provenientes de direcciones con dominios
externos se marquen como spam, agregue las direcciones de correo electrónico externo a
las listas de antispam de Remitentes permitidos.
6-71
Acerca de las definiciones personalizadas de correo interno
Messaging Security Agent divide el tráfico de correo electrónico en dos categorías de
redes: interna y externa. El agente solicita al servidor Microsoft Exchange información
acerca de cómo se definen las direcciones internas y externas. Todas las direcciones
internas comparten un dominio común al que no pertenece ninguna de las direcciones
externas.
Por ejemplo, si la dirección de dominio interna es "@trend_1.com", el Messaging
Security Agent clasifica direcciones como "abc@trend_1.com" y "xyz@trend_1.com"
como direcciones internas. El agente clasifica el resto de las direcciones, por ejemplo
"abc@trend_2.com" y "[email protected]", como externas.
Solo puede definir un dominio como dirección interna de Messaging Security Agent. Si
utiliza Microsoft Exchange System Manager para cambiar su dirección principal en un
servidor, Messaging Security Agent no reconoce la nueva dirección como una dirección
interna porque Messaging Security Agent no puede detectar que ha cambiado la política
de destinatarios.
Por ejemplo, suponga que tiene dos direcciones de dominio para la empresa:
@ejemplo_1.com y @ejemplo_2.com. Establece @ejemplo_1.com como dirección
principal. Messaging Security Agent considera que los mensajes de correo electrónico
con la dirección principal son internos (es decir, abc@ejemplo_1.com o
xyz@ejemplo_1.com son internas). Posteriormente utiliza Microsoft Exchange System
Manager para cambiar la dirección principal por @ejemplo_2.com. Esto significa que
Microsoft Exchange reconoce ahora direcciones como abc@ejemplo_2.com y
xyz@ejemplo_2.com como direcciones internas.
Definir configuraciones de notificación para los
Procedimiento
1.
2.
3.
6-72
solo)
4.
Haga clic en Operaciones > Configuración de la notificación.
5.
6.
•
Dirección de correo electrónico: dirección en nombre de la cual WFBS
enviará los mensajes de notificación.
•
Definición de correo interno
•
Predeterminadas: WFBS tratará los mensajes de correo electrónico del
mismo dominio como mensajes internos.
•
Personalizada: Especifique direcciones de correo electrónico o
dominios determinados que desee tratar como mensajes de correo
electrónico internos.
Configurar el mantenimiento del spam
La pantalla Mantenimiento del spam permite configurar la herramienta End User
Quarantine (EUQ) o la cuarentena en el servidor.
Procedimiento
1.
2.
3.
4.
Haga clic en Operaciones > Mantenimiento del spam.
6-73
5.
Haga clic en Activar la herramienta End User Quarantine.
Si activa la herramienta, se creará una carpeta de cuarentena en el servidor del
buzón de correo de cada cliente y aparecerá una carpeta para spam en el árbol
de carpetas de Outlook del usuario. Después de activar EUQ y de que se hayan
creado las carpetas para spam, EUQ podrá filtrar el correo spam a la carpeta para
spam del usuario. Para obtener más información, consulte Gestionar End User
Quarantine en la página 6-75.
Consejo
Si selecciona esta opción, Trend Micro recomienda desactivar la barra de
herramientas de Trend Micro Anti-Spam en los agentes para aumentar el rendimiento
de los clientes.
Desmarque la opción Activar la herramienta End User Quarantine para
desactivar la herramienta End User Quarantine en todos los buzones de correo del
servidor Microsoft Exchange. Al desactivar la herramienta EUQ, permanecerán las
carpetas para correo spam de los usuarios pero los mensajes detectados como spam
no se moverán a las carpetas de correo spam.
6.
Haga clic en Crear carpeta para spam y eliminar los mensajes de spam para
crear (inmediatamente) carpetas para correo spam para los nuevos clientes de
correo creados y para los clientes de correo existentes que han eliminado su carpeta
de correo spam. Para el resto de clientes de correo existentes, la herramienta
eliminará los mensajes con una antigüedad superior a los días especificados en el
campo Configuración de la carpeta para spam del cliente.
7.
En Eliminar los mensajes de spam con más de {número} días, modifique el
tiempo durante el que el Messaging Security Agent conservará los mensajes de
spam. El valor predeterminado es 14 días y el límite máximo de tiempo es 30 días.
8.
Para desactivar la herramienta End User Quarantine para determinados usuarios:
6-74
a.
En Lista de excepciones de la herramienta End User Quarantine,
escriba la dirección de correo electrónico del usuario final para el que desea
desactivar EUQ.
b.
solo)
La dirección de correo electrónico se agregará a la lista de direcciones para las
que EUQ está desactivado.
Para eliminar un usuario final de la lista y restaurar el servicio EUQ,
seleccione la dirección de correo electrónico del usuario final en la lista y haga
clic en Eliminar.
9.
Gestionar End User Quarantine
Durante la instalación, Messaging Security Agent crea una carpeta, Correo Spam, en el
buzón de correo del servidor de cada usuario final. Cuando se recibe un mensaje de
spam, el sistema lo pone en cuarentena en esta carpeta, según las reglas de filtrado de
spam predefinidas por parte de Messaging Security Agent. Los usuarios finales pueden
ver esta carpeta para spam para abrir, leer o eliminar los mensajes de correo
sospechosos. Consulte el apartado Configurar el mantenimiento del spam en la página 6-73.
Los administradores también pueden crear una carpeta para el correo spam en Microsoft
Exchange. Cuando un administrador crea una cuenta de buzón de correo, la entidad del
buzón de correo no se crea inmediatamente en el servidor Microsoft Exchange, sino que
se crea si se dan las siguientes condiciones:
•
Un usuario final inicia una sesión por primera vez en el buzón de correo.
•
Llega el primer mensaje de correo electrónico al buzón de correo.
El administrador debe crear en primer lugar la entidad del buzón de correo antes de que
EUQ pueda crear la carpeta para spam.
Carpeta para correo spam en el cliente
Los usuarios finales pueden abrir los mensajes que están en cuarentena en la carpeta de
spam. Cuando abren uno de estos mensajes, aparecen dos botones en el propio mensaje
de correo: Remitente permitido y Ver la lista de remitentes permitidos.
•
Cuando un usuario final abre un mensaje de correo de la carpeta Correo spam y
hace clic en Remitente permitido, la dirección de ese remitente se añade a la lista
Remitentes permitidos del usuario final.
6-75
•
Al hacer clic en Ver la lista de remitentes permitidos se abre otra pantalla que
permite al usuario final ver y modificar la lista de remitentes permitidos por
dirección de correo electrónico o por dominio.
Remitentes permitidos
Cuando el usuario final recibe un mensaje en la carpeta de correo spam y hace clic en
Remitente permitido, Messaging Security Agent desplaza el mensaje a la bandeja de
entrada local del usuario y añade la dirección del remitente de ese mensaje a la lista de
remitentes permitidos del usuario final. Messaging Security Agent registra el suceso.
Cuando el servidor Microsoft Exchange recibe un mensaje de una de las direcciones
incluidas en la lista de remitentes permitidos del usuario, lo envía a la bandeja de entrada
del usuario final, independientemente del encabezado o del contenido del mensaje.
Nota
Messaging Security Agent también ofrece a los administradores una lista de remitentes
permitidos o bloqueados. El Messaging Security Agent aplica la lista de remitentes
permitidos y bloqueados del administrador antes que la del usuario final.
Característica de mantenimiento de End User Quarantine
La característica de mantenimiento de Messaging Security Agent realiza las tareas
programadas cada 24 horas a la hora predeterminada (2:30 a.m.):
•
Elimina automáticamente los mensajes de spam caducados.
•
Crea nuevamente la carpeta de spam cuando se ha eliminado.
•
Crea las carpetas de spam para cuentas de correo electrónico recientemente
creadas.
•
Mantiene las reglas para los mensajes de correo electrónico.
La característica de mantenimiento es una parte integral del Messaging Security Agent y
no requiere configuración alguna.
6-76
solo)
Depurador y asistencia de Trend Micro
El Depurador y la asistencia le ayudan a depurar o simplemente a informar sobre el
estado de los procesos del Messaging Security Agent. Si se produce algún problema
inesperado, puede utilizar el depurador para crear informes y enviarlos al equipo de
asistencia técnica de Trend Micro para que lo analice.
Cada módulo del Messaging Security Agent inserta mensajes en el programa y, a
continuación, registra la acción en los archivos de registro al ejecutarse. Puede reenviar
los registros al equipo cualificado de asistencia técnica de Trend Micro para que depure
el flujo real del programa en su entorno.
Utilice el depurador para generar registros en los siguientes módulos:
•
Servicio maestro de Messaging Security Agent
•
Servidor de configuración remota de Messaging Security Agent
•
Supervisión del sistema de Messaging Security Agent
•
API de exploración antivirus (VSAPI)
•
Protocolo SMTP (Protocolo simple de transferencia de correo)
•
Interfaz CGI
De manera predeterminada, MSA mantiene los registros en el siguiente directorio:
<Carpeta de instalación del Messaging Security Agent>\Debug
Para visualizar la salida utilice cualquier editor de texto.
Generar informes del depurador del sistema
Puede generar informes del depurador para ayudar al servicio de asistencia de Trend a
solucionar posibles problemas.
Procedimiento
1.
6-77
2.
3.
4.
Haga clic en Operaciones > Asistencia/depurador.
5.
6.
Seleccione los módulos que desee supervisar:
•
Servicio maestro de Messaging Security Agent
•
Servidor de configuración remota de Messaging Security Agent
•
Supervisión del sistema de Messaging Security Agent
•
API de exploración antivirus (VSAPI) en Exchange Server 2003, 2007 o
2010
•
Exploración a nivel de almacén en Exchange Server 2013
•
Protocolo SMTP (Protocolo simple de transferencia de correo) en
Exchange Server 2003
•
Servicio de transporte en Exchange Server 2007, 2010 o 2013
•
Interfaz CGI
El depurador empezará a recopilar datos sobre los módulos seleccionados.
Supervisor en tiempo real
El supervisor en tiempo real facilita la información actualizada sobre el servidor
Microsoft Exchange seleccionado y su Messaging Security Agent. Muestra información
sobre los mensajes explorados y las estadísticas de protección, incluido el número de
virus y mensajes de spam detectados, archivos bloqueados e infracciones de contenido.
También comprueba si el agente funciona de forma correcta.
6-78
solo)
Usar un supervisor en tiempo real
Procedimiento
1.
Para acceder al supervisor en tiempo real desde la consola Web:
a.
b.
Seleccione un agente.
c.
d.
Haga clic en el enlace Supervisor en tiempo real situado en la parte superior
derecha de la pantalla.
2.
Para acceder al supervisor en tiempo real desde el menú Inicio de Windows, haga
clic en Todos los programas > Trend Micro Messaging Security Agent >
Supervisor en tiempo real.
3.
Haga clic en Restablecer para restablecer las estadísticas de protección a cero.
4.
Haga clic en Borrar contenido para borrar la información antigua sobre los
mensajes explorados.
Agregar una renuncia de responsabilidad a los
mensajes de correo electrónico salientes
Puede agregar un mensaje de renuncia de responsabilidad, pero solo a los mensajes
salientes.
Procedimiento
1.
Cree un archivo de texto y añada la renuncia de responsabilidad a este archivo.
2.
Modifique las siguientes claves en el registro:
•
Primera clave:
6-79
Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for
Clave: EnableDisclaimer
Tipo: REG_DWORD
Valor de datos: 0: desactivar, 1: activar
•
Segunda clave:
Clave: DisclaimerSource
Tipo: REG_SZ
Valor: la ruta completa del archivo de contenido de la renuncia de
responsabilidad.
Por ejemplo, C:\Data\Disclaimer.txt
Nota
De forma predeterminada, WFBS detecta si un mensaje saliente se envía a los
dominios internos o externos, y agrega una renuncia de responsabilidad a cada
mensaje enviado a los dominios externos. El usuario puede sobrescribir la
configuración predeterminada y agregar una renuncia de responsabilidad a cada
mensaje de correo saliente, excepto a los dominios incluidos en la siguiente
clave de registro:
•
Tercera clave:
Clave: InternalDomains
Tipo: REG_SZ
Valor: escriba los nombres de dominios que deben excluirse. Utilice un punto
y coma (;) para separar varios elementos.
6-80
solo)
Por ejemplo: dominio1.org;dominio2.org
Nota
aquí, los nombres de dominio son los nombres DNS de los servidores de
Microsoft Exchange.
6-81
Capítulo 7
Gestionar las exploraciones
En este capítulo se explica cómo realizar exploraciones en los Security Agents y los
Messaging Security Agents (Advanced solo) para proteger la red y los clientes frente a las
amenazas.
7-1
Acerca de las exploraciones
Durante una exploración, el motor de exploración de Trend Micro trabaja junto con el
archivo de patrones para realizar el primer nivel de detección mediante un proceso
denominado "coincidencia de patrones". Puesto que cada amenaza contiene una firma
única o cadena de caracteres delatores que lo diferencian de cualquier otro código, los
fragmentos inertes de este código se capturan en el archivo de patrones. El motor
compara a continuación determinadas partes de cada archivo explorado con el archivo
de patrones en busca de coincidencias.
Cuando el motor de exploración detecta un archivo que contiene una amenaza, ejecuta
una acción como limpiar, poner en cuarentena, eliminar o sustituir con texto u otro
archivo (Advanced solo). Estas acciones se pueden personalizar cuando se definen las
tareas de exploración.
Worry-Free Business Security ofrece tres tipos de exploración. Cada exploración tiene
un objetivo y un uso distinto pero todas se configuran aproximadamente del mismo
modo.
•
Exploración en tiempo real: Consulte Exploración en tiempo real en la página 7-2 para
obtener más información.
•
Exploración manual: Consulte Exploración manual en la página 7-3 para obtener
más información.
•
Exploración programada: Consulte Exploración programada en la página 7-7 para
obtener más información.
Los Security Agents usan uno de estos dos métodos al realizar exploraciones:
•
Exploración inteligente
•
Exploración convencional
Consulte Métodos de exploración en la página 5-3 para obtener más información.
Exploración en tiempo real
La exploración en tiempo real es una exploración continua y constante.
7-2
Cada vez que se abre, descarga, copia o modifica un archivo, la exploración en tiempo
real del Security Agent explora el archivo en busca de amenazas. Para obtener
información sobre cómo configurar las exploraciones en tiempo real, consulte Configurar
la exploración en tiempo real para los Security Agents en la página 5-8.
En el caso de los mensajes de correo electrónico, la exploración en tiempo real en
Messaging Security Agent (Advanced solo) protege todos los puntos de entrada de
virus conocidos mediante la exploración en tiempo real de todos los mensajes entrantes,
los mensajes SMTP, los documentos publicados en carpetas públicas y los archivos
replicados desde otros servidores Microsoft Exchange. Para obtener información sobre
cómo configurar las exploraciones en tiempo real, consulte Configurar la exploración en
tiempo real para Messaging Security Agent en la página 6-6.
Exploración manual
La exploración manual funciona a petición.
La exploración manual en los Security Agents elimina las amenazas de los archivos y
erradica infecciones antiguas, en caso de que las haya, para reducir al máximo la
posibilidad de que se vuelva a infectar.
La exploración manual en el Messaging Security Agent (Advanced solo) explora todos
los archivos del almacén de información del servidor Microsoft Exchange.
El tiempo que tarde la exploración dependerá de los recursos de hardware del cliente y
del número de archivos que deban explorarse. Una exploración manual en curso la
puede interrumpir el administrador del Security Server si la exploración se ejecutó
remotamente desde la consola Web, o la puede interrumpir el usuario si se ejecutó
directamente en el cliente.
Consejo
Trend Micro recomienda ejecutar una exploración manual después de una epidemia de
amenazas.
7-3
Ejecutar exploraciones manuales
Este procedimiento describe la forma en que los administradores del Security Server
pueden ejecutar exploraciones manuales en los Security Agents y los Messaging
Security Agents (solo versión Advanced) desde la consola Web.
Nota
La exploración manual también se puede ejecutar directamente desde los clientes; para ello,
haga clic con el botón derecho del ratón en el icono del Security Agent de la barra de tareas
de Windows y elija Explorar ahora. No es posible ejecutar una exploración manual
directamente en los servidores Microsoft Exchange.
Procedimiento
7-4
1.
Acceda a Exploraciones > Exploración manual.
2.
(Opcional) Personalice la configuración de la exploración antes de ejecutar una
exploración manual.
CONFIGURACIÓN DE EXPLORACIÓN
INSTRUCCIONES Y NOTAS
Para personalizar la configuración de
exploración para el Security Agent,
haga clic en un grupo de servidores o de
equipos de sobremesa.
RECOMENDADA
Destino
•
Todos los archivos explorables:
Incluye todos los archivos que se
pueden explorar. Los archivos que
no se pueden explorar son los
protegidos mediante contraseña,
los archivos cifrados o los que
superan las restricciones de
exploración definidas por el
usuario.
•
Explorar archivos comprimidos
hasta la capa 1: con esta opción
se exploran los archivos
comprimidos con una capa de
compresión. El valor
predeterminado es "off"
(desactivado) para el grupo
predeterminado de servidores y
"on" (activado) para el grupo
predeterminado de equipos de
sobremesa.
Consulte el apartado Explorar destinos y
acciones para los Security Agents en la
página 7-11.
Nota
La configuración de exploración de
los Security Agents también se
usa cuando los usuarios ejecutan
exploraciones manuales
directamente desde los clientes.
Sin embargo, si concede a los
usuarios el derecho de definir sus
propias configuraciones de
exploración, serán estas últimas
las que se emplearán durante la
exploración.
Exclusiones
•
No explorar los directorios de
instalación de los productos de
Trend Micro
Configuración avanzada
•
Modificar lista de spyware/
grayware permitido (solo para
antispyware).
7-5
Para personalizar las configuraciones de
exploración de un Messaging Security
Agent, expanda un agente y haga clic en
las siguientes opciones, según
corresponda:
•
Antivirus: haga clic en esta opción
para que el agente busque virus y
otros tipos de malware. Consulte el
apartado Explorar destinos y
acciones para los Messaging
•
Filtrado de contenido: haga clic en
esta opción para que el agente
explore el correo electrónico en
busca de contenido prohibido.
Consulte el apartado Gestionar las
reglas del filtrado de contenidos en
la página 6-16.
•
Bloqueo de archivos adjuntos:
haga clic en esta opción para que el
agente explore el correo electrónico
en busca de infracciones de las
reglas de los archivos adjuntos.
Consulte el apartado Configurar el
bloqueo de archivos adjuntos en la
página 6-47.
RECOMENDADA
•
El agente explora todos los
archivos que pueden someterse a
este proceso. En la exploración
incluye el cuerpo de los mensajes
de correo electrónico.
•
Cuando el agente detecta un
archivo con un virus u otro tipo de
malware, lo limpia. Si no puede
limpiarlo, lo sustituye por texto/
archivo.
•
archivo con un troyano o un
gusano, sustituye el troyano o
gusano por un texto o un archivo.
•
archivo con un packer, sustituye el
packer por un texto o un archivo.
•
El agente no limpia los archivos
comprimidos infectados. Así
reduce el tiempo necesario para
completar la exploración en tiempo
real.
3.
Seleccione los grupos o los Messaging Security Agents que desee explorar.
4.
Haga clic en Explorar ahora.
El Security Server envía una notificación a los agentes para que ejecuten una
exploración manual. La pantalla Resultados de la notificación de la exploración que
se abre muestra cuántos agentes han recibido la notificación y cuántos no la han
recibido.
5.
7-6
Para detener exploraciones en curso, haga clic en Detener exploración.
El Security Server envía otra notificación a los agentes para que detengan la
exploración manual. La pantalla Resultados de la notificación de Detener la
exploración que se abre muestra cuántos agentes han recibido la notificación y
cuántos no la han recibido. Es posible que los Security Agents no reciban la
notificación si han estado desconectados desde que se ejecutó la exploración o si
hay interrupciones en la red.
La exploración programada es similar a la exploración manual, pero explora todos los
archivos y mensajes de correo electrónico (Advanced solo), según la hora y frecuencia
configuradas. Utilice las exploraciones programadas para automatizar las exploraciones
rutinarias en los clientes y mejorar la eficacia de la administración de las amenazas.
Consejo
Ejecute exploraciones programadas durante horas de escasa actividad para minimizar las
posibles interrupciones de los usuarios y la red.
Configurar exploraciones programadas
Trend Micro recomienda que no programe una exploración al mismo tiempo que una
actualización programada. Esto podría provocar que la exploración programada se
detuviera de forma prematura. De igual forma, si se inicia una exploración manual
cuando se está ejecutando una exploración programada, esta última se interrumpe y se
ejecutará de nuevo según la programación.
Procedimiento
1.
Acceda a Actualizaciones > Exploración programada.
2.
Haga clic en la pestaña Programa.
a.
Configure la frecuencia de la exploración (diaria, semanal o mensual) y la hora
de inicio. Cada grupo o cada Messaging Security Agent pueden tener su
propio programa.
7-7
Nota
Para las exploraciones programadas mensuales, si selecciona los días 29, 30 o 31
y el mes tiene una cantidad de días inferior, la exploración no se realizará ese
mes.
3.
7-8
b.
(Opcional) Seleccione Apagar cliente tras completar la exploración
programada.
c.
(Opcional) Haga clic en la pestaña Configuración para personalizar la
configuración de la exploración programada.
Para personalizar la configuración de
exploración para el Security Agent,
haga clic en un grupo de servidores o de
equipos de sobremesa. Consulte el
apartado Explorar destinos y acciones
para los Security Agents en la página
7-11.
RECOMENDADA
Destino
•
Todos los archivos explorables:
Incluye todos los archivos que se
pueden explorar. Los archivos que
no se pueden explorar son los
protegidos mediante contraseña,
los archivos cifrados o los que
superan las restricciones de
exploración definidas por el
usuario.
•
Explorar archivos comprimidos
hasta la capa 2: con esta opción
se exploran los archivos
comprimidos con dos capas de
compresión.
Nota
Si concede a los usuarios el
derecho de definir sus propias
configuraciones de exploración,
las configuraciones definidas por
el usuario serán las que se usen
durante la exploración.
Exclusiones
•
No explorar los directorios de
instalación de los productos de
Trend Micro
•
Explorar sector de arranque (solo
para antivirus):
•
Modificar lista de spyware/
grayware permitido (solo para
antispyware).
7-9
Para personalizar las configuraciones de
exploración de un Messaging Security
Agent, expanda un agente y haga clic en
las siguientes opciones, según
corresponda:
•
Antivirus: haga clic en esta opción
para que el agente busque virus y
otros tipos de malware. Consulte el
apartado Explorar destinos y
acciones para los Messaging
•
Filtrado de contenido: haga clic en
esta opción para que el agente
explore el correo electrónico en
busca de contenido prohibido.
Consulte el apartado Gestionar las
reglas del filtrado de contenidos en
la página 6-16.
•
4.
Bloqueo de archivos adjuntos:
haga clic en esta opción para que el
agente explore el correo electrónico
en busca de infracciones de las
reglas de los archivos adjuntos.
Consulte el apartado Configurar el
bloqueo de archivos adjuntos en la
página 6-47.
RECOMENDADA
•
El agente realiza una exploración
cada domingo a las 5:00 a.m.
•
Personalice este programa para
que se ejecute a una hora de poca
actividad en los clientes. El agente
explora todos los archivos que
pueden someterse a este proceso.
En la exploración incluye el cuerpo
de los mensajes de correo
electrónico.
•
archivo con un virus u otro tipo de
malware, lo limpia. Si no puede
limpiarlo, lo sustituye por texto/
archivo.
•
archivo con un troyano o un
gusano, sustituye el troyano o
gusano por un texto o un archivo.
•
archivo con un packer, lo sustituye
por un texto o un archivo.
•
El agente no limpia los archivos
comprimidos infectados.
Seleccione los grupos o los Messaging Security Agents que aplicarán la
configuración de exploración programada.
Nota
Para desactivar la exploración programada, quite la marca de la casilla
correspondiente al grupo o al Messaging Security Agent.
5.
7-10
Explorar destinos y acciones para los Security
Agents
Defina las siguientes configuraciones para cada tipo de exploración (Exploración
manual, Exploración programada y Exploración en tiempo real):
Pestaña Destino
Seleccione un método:
•
Todos los archivos explorables: incluye todos los archivos que se pueden
explorar. Los archivos que no se pueden explorar son los protegidos mediante
contraseña, los archivos cifrados o los que superan las restricciones de exploración
definidas por el usuario.
Nota
Esta opción ofrece la máxima seguridad posible. Sin embargo, explorar todos los
archivos requiere un gran consumo de tiempo y recursos y puede ser innecesario en
algunas circunstancias. Por lo tanto, es posible que desee limitar la cantidad de
archivos que el agente incluirá en la exploración.
•
IntelliScan utiliza la identificación de "tipo de archivo verdadero": explora
los archivos basándose en el tipo de archivo verdadero. Consulte el apartado
IntelliScan en la página D-2.
•
Explorar archivos con las siguientes extensiones: especifique manualmente los
archivos que se deben explorar según su extensión. Separe las distintas entradas
mediante comas.
Seleccione un activador de la exploración:
•
Leer: explora los archivos cuyo contenido se lee. Los archivos se leen cuando se
abren, se ejecutan, se copian o se mueven.
•
Escribir: explora los archivos cuyo contenido se está escribiendo. El contenido de
un archivo se escribe cuando este se modifica, se guarda, se descarga o se copia de
una ubicación a otra.
•
Leer o escribir
7-11
Exclusiones de la exploración
Se pueden configurar los siguientes valores:
•
Activar o desactivar exclusiones
•
Excluir los directorios de productos de Trend Micro de las exploraciones
•
Excluir otros directorios de las exploraciones
También se excluirán todos los subdirectorios de la ruta del directorio especificada.
•
Excluir de las exploraciones nombres de archivos o nombres de archivos con rutas
completas
•
Excluir extensiones de archivos
Los caracteres comodín (como "*") no se aceptan como extensiones de archivo.
Nota
(Advanced solo) Si el servidor Microsoft Exchange se está ejecutando en el cliente, Trend
Micro recomienda excluir todas las carpetas del servidor Microsoft Exchange de la
exploración. Para excluir de la exploración las carpetas de servidores Microsoft Exchange
de forma general, vaya a Preferencias > Configuración general > Equipo de
sobremesa/Servidor {pestaña} > Configuración de la exploración general y, a
continuación, seleccione Excluir las carpetas del servidor Microsoft Exchange cuando
se instala en un servidor Microsoft Exchange.
TIPO DE EXPLORACIÓN
Exploración en
tiempo real
OPCIÓN
Explorar mensajes de correo POP3: De manera
predeterminada, Mail Scan solo puede explorar mensajes nuevos
enviados mediante el puerto 110 a las carpetas de la bandeja de
entrada y del correo no deseado.
Mail Scan no puede detectar riesgos de seguridad ni spam en
mensajes IMAP. Use el Messaging Security Agent (Advanced
solo) para detectar riesgos de seguridad y spam en mensajes
IMAP.
7-12
OPCIÓN
Exploración en
tiempo real,
Exploración manual
Explorar unidades asignadas y carpetas compartidas de la
red: con esta opción se pueden seleccionar directorios para
explorar que estén ubicados físicamente en otros equipos, pero
asignados al equipo local.
Exploración en
tiempo real
Explorar disquetes durante el apagado del sistema
Exploración en
tiempo real
Activar IntelliTrap: IntelliTrap detecta código malicioso, como los
programas robot, en archivos comprimidos. Consulte el apartado
IntelliTrap en la página D-3.
Exploración en
tiempo real
Poner en cuarentena las variantes de malware detectadas en
la memoria: si se activa junto con las opciones Exploración en
tiempo real y Supervisión de comportamiento, se explorará la
memoria de procesamiento activa en busca de malware
empaquetado. cualquier tipo de malware empaquetado que la
supervisión de comportamiento detecte se pone en cuarentena.
Exploración en
tiempo real,
programada y
manual
Explorar archivos comprimidos hasta la capa __: Un archivo
comprimido incorpora una capa cada vez que se comprime. Si un
archivo infectado se ha comprimido en varias capas, se debe
explorar el número especificado de capas para detectar la
infección. No obstante, la exploración de varias capas requiere
más tiempo y recursos.
Exploración en
tiempo real,
programada y
manual
Modificar lista de spyware/grayware permitido: esta
configuración no se pueden usar desde la consola del agente.
7-13
Exploración manual,
Exploración
programada
Exploración
programada
OPCIÓN
Uso de la CPU/Velocidad de exploración: el Security Agent
puede realizar una pausa entre la exploración de dos archivos.
Seleccione una de las siguientes opciones:
•
Alto: no se realizan pausas entre las exploraciones
•
Medio: realiza pausas en la exploración si el consumo de la
CPU es superior al 50%, y ninguna pausa si es del 50% o
inferior
•
Bajo: realiza pausas en la exploración si el consumo de la
CPU es superior al 20%, y ninguna pausa si es del 20% o
inferior
Efectuar una limpieza avanzada: el Security Agent impide el
funcionamiento de programas de software deshonestos que se
hacen pasar por herramientas de seguridad, conocidos como
"falsos antivirus" o "FakeAV". Además, el agente cuenta con
reglas de limpieza avanzadas que permiten detectar y detener de
forma proactiva las aplicaciones que presentan comportamientos
propios de FakeAV.
Nota
La limpieza avanzada proporciona una protección
proactiva, pero al mismo tiempo devuelve un número
elevado de falsos positivos.
Lista de spyware o grayware permitido
Trend Micro clasifica algunas aplicaciones como spyware/grayware no porque puedan
causar daños en el sistema en el que están instaladas, sino porque, en potencia, pueden
exponer al cliente o la red a malware o a ataques de hackers.
Worry-Free Business Security incluye una lista de aplicaciones potencialmente peligrosas
y, de forma predeterminada, evita que se ejecuten estas aplicaciones en los clientes.
Si los clientes necesitan ejecutar una aplicación que Trend Micro ha clasificado como
spyware/grayware, deberá añadir el nombre de la aplicación a la lista de spyware/
grayware permitido.
7-14
Pestaña Acción
A continuación, figuran algunas acciones que los Security Agents pueden realizar para
luchar con los virus o el malware:
TABLA 7-1. Acciones de exploración de virus y malware
ACCIÓN
DESCRIPCIÓN
Eliminar
Elimina un archivo infectado.
Cuarentena
Cambia el nombre del archivo infectado y lo mueve a un directorio de
cuarentena temporal en el cliente.
Los Security Agents envían los archivos en cuarentena al directorio de
cuarentena especificado, que está en el Security Server de manera
predeterminada.
El Security Agent cifra los archivos en cuarentena que se envían a este
directorio.
Si necesita restaurar alguno de los archivos en cuarentena, utilice la
herramienta VSEncrypt.
Limpiar
Limpia el archivo infectado antes de permitir el acceso total al archivo.
Si el archivo no se puede limpiar, el Security Agent realiza una segunda
acción, que puede ser una de las siguientes: poner en cuarentena,
eliminar, cambiar nombre y omitir.
Esta acción se puede realizar con todos los tipos de malware con
excepción de virus/malware probables.
Nota
Algunos archivos no se pueden limpiar. Para obtener más
información, consulte Archivos que no se pueden limpiar en la
página D-29.
Cambiar
nombre
Cambia la extensión de un archivo infectado por "vir". Los usuarios no
pueden abrir el archivo inicialmente infectado pero sí pueden hacerlo si
lo asocian a una determinada aplicación.
un virus/malware podría ejecutarse al abrir el archivo infectado con el
nombre cambiado.
7-15
ACCIÓN
DESCRIPCIÓN
Omitir
Solo se puede realizar durante una exploración manual o programada. El
Security Agent no puede utilizar esta acción durante la Exploración en
tiempo real porque el hecho de no realizar ninguna acción cuando se
detecta un intento de abrir o ejecutar un archivo infectado permitirá la
ejecución de virus/malware. Todas las otras acciones de exploración se
pueden utilizar durante la exploración en tiempo real.
Denegar
acceso
Se puede realizar solo durante una exploración en tiempo real. Cuando
el Security Agent detecta un intento de abrir o ejecutar un archivo
infectado, inmediatamente bloquea la operación.
Los usuarios pueden eliminar el archivo infectado manualmente.
La acción de exploración que realiza el Security Agent depende del tipo de exploración
que ha detectado el spyware/grayware. Aunque se pueden configurar acciones
específicas para cada tipo de virus o malware, solo se puede configurar una acción para
todos los tipos de spyware o grayware. Por ejemplo, cuando el Security Agent detecta
cualquier tipo de spyware/grayware durante la Exploración manual (tipo de
exploración), limpia (acción) los recursos del sistema afectados.
A continuación, se describen las acciones que el Security Agent puede llevar a cabo para
hacer frente al spyware y grayware:
TABLA 7-2. Acciones de exploración de spyware y grayware
ACCIÓN
DESCRIPCIÓN
Limpiar
Finaliza los procesos o elimina registros, archivos, cookies y accesos
directos.
Omitir
No realiza ninguna acción sobre los componentes de spyware/grayware
detectados pero registra la detección de spyware/grayware en los
registros. Esta acción solo se puede realizar durante una exploración
manual o programada. Durante el Escaneo en tiempo real, la acción es
"Denegar acceso".
El Security Agent no llevará a cabo ninguna acción si el spyware o
grayware detectado está incluido en la lista de permitidos.
7-16
ACCIÓN
Denegar
acceso
DESCRIPCIÓN
Deniega el acceso (copiar o abrir) a los componentes de spyware/
grayware detectados. Esta acción sólo se puede llevar a cabo durante la
Exploración en tiempo real. Para las exploraciones manuales o
programadas, la acción es "Omitir".
ActiveAction
Existen distintos tipos de virus/malware, cada uno de los cuales requiere acciones de
exploración diferentes. La personalización de las acciones de exploración requiere una
serie de conocimientos acerca de los virus y el malware, y puede resultar una tarea
tediosa. Worry-Free Business Security utiliza ActiveAction para encontrar estos
problemas.
ActiveAction es un conjunto de acciones de exploración preconfiguradas para la defensa
frente a los virus y el malware. Si no está familiarizado con las acciones de exploración o
si no está seguro de cuál es la acción más adecuada para un determinado tipo de virus/
malware, Trend Micro le recomienda utilizar ActiveAction.
Utilizar ActiveAction ofrece las siguientes ventajas:
•
ActiveAction utiliza acciones de exploración que recomienda Trend Micro. De este
modo, no tendrá que perder tiempo configurando las acciones de exploración.
•
Los programadores de virus modifican sin cesar el modo en que los virus y el
malware atacan a los ordenadores. La configuración de ActiveAction se actualiza
para proporcionar protección ante las últimas amenazas y métodos de ataque de los
virus y el malware.
En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/
malware:
7-17
TABLA 7-3. Acciones de exploración recomendadas por Trend Micro frente a virus y
malware
TIPO DE VIRUS/
MALWARE
EXPLORACIÓN MANUAL/
EXPLORACIÓN PROGRAMADA
PRIMERA
SEGUNDA
PRIMERA
SEGUNDA
ACCIÓN
ACCIÓN
ACCIÓN
ACCIÓN
Programa de
broma
Cuarentena
Eliminar
Cuarentena
Eliminar
Gusanos/
programa de
caballo de Troya
Cuarentena
Eliminar
Cuarentena
Eliminar
Packer
Cuarentena
N/D
Cuarentena
N/D
Virus/Malware
probable
Cuarentena
N/D
Omitir o
realizar una
acción
configurada
por el usuario
N/D
Virus
Limpiar
Cuarentena
Limpiar
Cuarentena
Virus de prueba
Denegar
acceso
N/D
N/D
N/D
Otros tipos de
malware
Limpiar
Cuarentena
Limpiar
Cuarentena
Notas y recordatorios:
•
Para el malware y los virus probables, las acciones predeterminadas son
"Cuarentena" (durante la exploración en tiempo real) y "Omitir" (durante las
exploraciones manual y programada). Si prefiere utilizar otras acciones, puede
cambiar a Eliminar o Cambiar nombre.
•
Algunos archivos no se pueden limpiar. Para obtener más información, consulte
Archivos que no se pueden limpiar en la página D-29.
•
ActiveAction no está disponible para buscar spyware/grayware.
7-18
•
Los valores predeterminados de esta configuración pueden cambiar cuando haya
disponibles nuevos archivos de patrones.
OPCIÓN
Exploración en
tiempo real,
Exploración
programada
Mostrar mensaje de alerta en el equipo de sobremesa o en el
servidor al detectar un virus/spyware
Exploración en
tiempo real,
Exploración
programada
Mostrar mensaje de alerta en el equipo de sobremesa o en el
servidor al detectar un posible virus/spyware
en tiempo real o
programada
Ejecutar la limpieza cuando se detecte una posible amenaza
de virus/malware: solo está disponible si elige ActiveAction y
una acción personalizada para el posible virus/malware.
Explorar destinos y acciones para los
Defina las siguientes configuraciones para cada tipo de exploración (Exploración
manual, Exploración programada y Exploración en tiempo real):
Pestaña Destino
•
Objetivos de la exploración
•
Configuración de exploración de amenazas adicionales
•
Pestaña Acción
•
Acciones de exploración/ActiveAction
•
Notificaciones
•
7-19
Objetivos de la exploración
Seleccione los objetivos de la exploración:
•
Todos los archivos adjuntos: solo quedan excluidos los archivos cifrados o
protegidos por contraseña.
Nota
Esta opción ofrece la máxima seguridad posible. Sin embargo, explorar todos los
archivos requiere un gran consumo de tiempo y recursos y puede ser innecesario en
algunas circunstancias. Por lo tanto, es posible que desee limitar la cantidad de
archivos que el agente incluirá en la exploración.
•
IntelliScan: explora los archivos basándose en el tipo de archivo verdadero.
Consulte el apartado IntelliScan en la página D-2.
•
Tipos de archivo específicos: WFBS explorará solo los archivos de los tipos
seleccionados y con las extensiones seleccionadas. Separe las distintas entradas
mediante punto y coma (;).
Seleccione otras opciones:
•
Activar IntelliTrap: IntelliTrap detecta código malicioso, como los programas
robot, en archivos comprimidos. Consulte el apartado IntelliTrap en la página D-3.
•
Explorar el cuerpo del mensaje: Explora el cuerpo de un mensaje de correo
electrónico que puede contener amenazas incrustadas.
Configuración de exploración de amenazas adicionales
Seleccione otras amenazas que el agente deba explorar. Si desea obtener información
detallada acerca de las amenazas, consulte Descripción de las amenazas en la página 1-9.
Seleccione opciones adicionales:
•
Crear copia de seguridad del archivo infectado antes de limpiar: WFBS
realiza una copia de seguridad de la amenaza antes de limpiar. El archivo copiado
se cifra y almacena en el siguiente directorio del cliente:
<Carpeta de instalación del Messaging Security Agent>
\storage\backup
7-20
Puede cambiar el directorio en la sección Opciones avanzadas, subsección
Configuración de la copia de seguridad.
Para descifrar el archivo, consulte Restaurar archivos cifrados en la página 14-9.
•
No limpiar los archivos comprimidos infectados para optimizar el
rendimiento.
En la pestaña Destino, acceda a la sección Exclusiones y elija entre los siguientes
criterios que usará el agente para excluir los mensajes de correo electrónico de las
exploraciones:
•
El tamaño del cuerpo del mensaje es mayor que: Messaging Security Agent
solo explora los mensajes de correo electrónico cuando el tamaño del cuerpo del
mensaje es menor o igual que la cantidad especificada.
•
El tamaño del archivo adjunto es mayor que: Messaging Security Agent solo
explora los mensajes de correo electrónico cuando el tamaño del archivo adjunto es
menor o igual que la cantidad especificada.
Consejo
Trend Micro recomienda fijar un límite de 30 MB.
•
El total de archivos descomprimidos es mayor que: Cuando la cantidad de
archivos descomprimidos del archivo comprimido supera esta cantidad, Messaging
Security Agent explorará solo los archivos hasta el límite definido en esta opción.
•
El tamaño del archivo descomprimido es mayor que: Messaging Security
Agent solo explorará los archivos comprimidos que sean menores o iguales que
este tamaño después de la descompresión.
•
El número de capas de compresión es mayor que: El Messaging Security Agent
solo explora archivos comprimidos que tengan una cantidad inferior o igual a las
capas de compresión especificadas. Por ejemplo, si define el límite en 5 capas de
compresión, entonces Messaging Security Agent explorará las 5 primeras capas de
archivos comprimidos, pero no explorará los archivos comprimidos en la capa 6 y
en adelante.
7-21
•
El tamaño del archivo descomprimido es “x” veces el tamaño del archivo
comprimido: Messaging Security Agent solo explorará los archivos comprimidos
cuando la relación del tamaño del archivo descomprimido en comparación con el
tamaño del archivo comprimido sea menor que este número. Esta función evita
que Messaging Security Agent explore un archivo comprimido que pueda causar un
ataque de denegación de servicio (DoS). Los ataques DoS se producen cuando se
sobrecargan los recursos del servidor de correo a causa de tareas innecesarias. Si
impide que Messaging Security Agent explore los archivos que descomprime en
archivos de gran tamaño evitará este problema.
Ejemplo: en la tabla siguiente, el valor introducido para "x" es 100.
TAMAÑO DEL ARCHIVO
TAMAÑO DEL ARCHIVO
(SIN COMPRIMIR)
(SIN COMPRIMIR)
RESULTADO
500 KB
10 KB (relación 50:1)
Explorado
1.000 KB
Explorado
1.001 KB
10 KB (relación superior a
100:1)
No explorado*
2000 KB
No explorado*
* Messaging Security Agent realizará la acción que se haya especificado para los
archivos excluidos.
Acciones de exploración
Los administradores pueden configurar Messaging Security Agent para realizar acciones
según el tipo de amenaza presentada por los virus/malware, troyanos y gusanos. Si
utiliza acciones personalizadas, puede definir una acción para cada tipo de amenaza.
7-22
TABLA 7-4. Acciones personalizadas de Messaging Security Agent
ACCIÓN
Limpiar
DESCRIPCIÓN
Elimina el código malicioso de los cuerpos de los mensajes
infectados y los archivos adjuntos. El resto del texto del mensaje,
los archivos no infectados y los archivos limpiados se entregan
entonces a los destinatarios originales. Trend Micro recomienda
utilizar la acción de exploración predeterminada Limpiar para los
virus/malware.
En algunas circunstancias, Messaging Security Agent no puede
limpiar un archivo.
Durante una exploración manual o programada, el Messaging
Security Agent actualiza el almacén de información y sustituye el
archivo por el limpio.
Sustituir por texto o
archivo
Elimina el contenido filtrado o infectado y lo sustituye por texto o
por un archivo. El mensaje de correo electrónico se envía al
destinatario original, pero el texto insertado le informa de que el
contenido original estaba infectado y ha sido sustituido.
Para el Filtrado de contenido y la Prevención de pérdida de datos,
solo puede sustituir texto en los campos de cuerpo o archivos
adjuntos (y no en los campos De, Para, CC o Asunto).
Poner en
cuarentena todo el
mensaje
(Exploración en tiempo real solo) Coloca en el directorio de
cuarentena solo el contenido infectado y el destinatario recibe el
mensaje sin contenido.
Para el Filtrado de contenido, la Prevención de pérdida de datos y
el Bloqueo de archivos adjuntos, se mueve el mensaje entero al
directorio de cuarentena.
Poner en
cuarentena parte
del mensaje
(Exploración en tiempo real solo) Coloca en el directorio de
cuarentena solo el contenido infectado o filtrado y el destinatario
recibe el mensaje sin contenido.
Eliminar todo el
mensaje
(Exploración en tiempo real) Elimina todo el mensaje de correo
electrónico. El destinatario original no recibirá el mensaje.
7-23
ACCIÓN
Omitir
DESCRIPCIÓN
Registra la infección de virus de archivos maliciosos en los
registros de virus, pero no realiza ninguna acción. Los archivos
excluidos, cifrados o protegidos con contraseña se entregan al
destinatario sin actualizar los registros.
Para el filtrado de contenido, se envía el mensaje tal cual.
Archivar
Mueve el mensaje al directorio de archivado y entrega el mensaje
al destinatario original.
Poner en
cuarentena el
mensaje en la
carpeta para spam
del servidor
Envía todo el mensaje al Security Server para ponerlo en
cuarentena.
Poner el mensaje
en cuarentena en
la carpeta para
spam del usuario
Envía todo el mensaje a la carpeta de spam del usuario para
ponerlo en cuarentena. La carpeta se encuentra en el lado del
servidor del almacén de información.
Etiquetar y
entregar
Añade una etiqueta a la información del encabezado del mensaje
de correo electrónico que lo identifica como spam y entonces lo
entrega al destinatario original.
Además de estas acciones, se pueden configurar estas otras:
•
Activar acción para el comportamiento de correo masivo: elija entre limpiar,
sustituir con texto/archivo, eliminar todo el mensaje, omitir o poner en cuarentena
la parte del mensaje con el tipo de amenaza de comportamiento de correo masivo.
•
Ejecutar esta acción cuando no se pueda llevar a cabo la limpieza: Permite
definir la acción secundaria que se llevará a cabo cuando los intentos de limpiar
sean infructuosos. Elija entre sustituir con texto/archivo, eliminar todo el mensaje,
omitir o poner en cuarentena la parte del mensaje.
ActiveAction
En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/
malware:
7-24
TABLA 7-5. Acciones de exploración recomendadas por Trend Micro frente a virus y
malware
TIPO DE VIRUS/
MALWARE
EXPLORACIÓN MANUAL/
EXPLORACIÓN PROGRAMADA
PRIMERA
SEGUNDA
PRIMERA
SEGUNDA
ACCIÓN
ACCIÓN
ACCIÓN
ACCIÓN
Virus
Limpiar
Eliminar todo el
mensaje
Limpiar
Sustituir por
texto o archivo
Gusanos/
programa de
caballo de Troya
Sustituir por
texto o archivo
N/D
Sustituir por
texto o archivo
N/D
Packer
Poner en
cuarentena
parte del
mensaje
N/D
Poner en
cuarentena
parte del
mensaje
N/D
Otro código
malicioso
Limpiar
Eliminar todo el
mensaje
Limpiar
Sustituir por
texto o archivo
Amenazas
adicionales
Poner en
cuarentena
parte del
mensaje
N/D
Sustituir por
texto o archivo
N/D
Comportamiento
de correo masivo
Eliminar todo
el mensaje
N/D
Sustituir por
texto o archivo
N/D
Notificaciones sobre la acción de exploración
Seleccione Notificar a los destinatarios para que el Messaging Security Agent informe
a los destinatarios previstos cuando se realice una acción en un mensaje de correo
electrónico específico. Por diversos motivos, es posible que no desee notificar a los
destinatarios de correo externos que se ha bloqueado un mensaje con información
confidencial. Seleccione No notificar a destinatarios externos para enviar
notificaciones únicamente a destinatarios internos. Defina las direcciones de correo
internas en Operaciones > Configuración de la notificación > Definición de
correo interno.
7-25
También se puede desactivar el envío de notificaciones a remitentes y destinatarios
externos engañosos.
Configuración avanzada (acciones de exploración)
CONFIGURACIÓN
Macros
DETALLES
los virus de macro son virus específicos de una aplicación que
infectan las utilidades de macro que acompañan a las aplicaciones.
La exploración avanzada de macros utiliza la exploración heurística
para detectar virus de macro o quitar todos los códigos de macro
detectados. La exploración heurística es un método de evaluación
que sirve para detectar virus y que utiliza las tecnologías de
reconocimiento de patrones y reglas para buscar código de macro
malicioso. Este método es especialmente eficaz para detectar virus y
amenazas desconocidos que carecen de una firma de virus
conocida.
El Messaging Security Agent realiza acciones contra el código de
macro malicioso en función de la acción que se configure.
•
Nivel heurístico
•
El nivel 1 utiliza los criterios más específicos, pero es el que
detecta menos códigos de macro.
•
El nivel 4 es el que detecta más códigos de macro, pero
utiliza los criterios menos específicos y puede notificar por
error que un código de macro seguro alberga código de
macro malicioso.
Consejo
Trend Micro recomienda el nivel 2 de exploración
heurística, el cual proporciona un nivel de detección
elevado para virus de macro desconocidos y alta
velocidad de exploración. Asimismo utiliza solo las reglas
necesarias para buscar cadenas de virus de macro. El
nivel 2 también tiene un bajo nivel de identificación
incorrecta de código malicioso en el código de macro
seguro.
•
7-26
Eliminar todas las macros detectadas por la exploración de
macros avanzada: quita todos los códigos de macro detectados
en los archivos explorados.
CONFIGURACIÓN
DETALLES
Partes de
mensajes no
explorables
Defina la condición de acción y notificación para los archivos cifrados
o protegidos con contraseña. Para la acción, elija entre sustituir con
texto/archivo, poner en cuarentena todo el mensaje, eliminar todo el
mensaje, omitir o poner en cuarentena la parte del mensaje.
Partes del
mensaje
excluidas
Defina la condición de acción o notificación para las partes de
mensajes que se hayan excluido. Para la acción, elija entre sustituir
con texto/archivo, poner en cuarentena todo el mensaje, eliminar
todo el mensaje, omitir o poner en cuarentena la parte del mensaje.
Configuración
de la copia de
seguridad
La ubicación para guardar la copia de seguridad de los archivos
infectados antes de que el agente los limpie.
Configuración
de la sustitución
configure el texto y el archivo del texto de sustitución. Si la acción
consiste en sustituir por texto/archivo, WFBS sustituirá la amenaza
por este archivo y esta cadena de texto.
7-27
Capítulo 8
Administrar las actualizaciones
En este capítulo se describen los componentes de Worry-Free Business Security y los
procedimientos de actualización.
8-1
Información general sobre actualizaciones
Todas las actualizaciones de componentes se originan en el servidor ActiveUpdate de
Trend Micro. Cuando hay actualizaciones disponibles, el Security Server descarga los
componentes actualizados y, a continuación, los distribuye a los Security Agents y a los
Messaging Security Agents (Advanced solo).
Si un Security Server administra un número grande de Security Agents, es posible que la
actualización utilice una cantidad considerable de recursos informáticos de servidor, lo
que afectaría a la estabilidad y al rendimiento del servidor. Para solucionar este
problema, Worry-Free Business Security tiene una función de agente de actualización
que permite a determinados Security Agents compartir la tarea de distribuir las
actualizaciones a los demás Security Agents.
En la siguiente tabla, se describen opciones de actualización de componentes para los
Security Servers y los agentes, además de recomendaciones acerca de su uso:
TABLA 8-1. Opciones de actualización
SECUENCIA DE
ACTUALIZACIÓN
8-2
1.
Fuente de
actualización
personalizada o
servidor ActiveUpdate
2.
Security Server
3.
Agentes
DESCRIPCIÓN
RECOMENDACIÓN
Trend Micro Security Server recibe
componentes actualizados desde el
servidor ActiveUpdate o desde una
fuente de actualizaciones
personalizada y, a continuación, los
implementa directamente en los
agentes (Security Agents y
Messaging Security Agents).
Utilice este método si
no hay secciones
con ancho de banda
reducido entre el
Security Server y los
agentes.
SECUENCIA DE
DESCRIPCIÓN
RECOMENDACIÓN
Trend Micro Security Server recibe
componentes actualizados del
servidor ActiveUpdate (u otra
fuente de actualización
personalizada) y los implementa
directamente en:
Si no hay secciones
de ancho de banda
reducido entre el
Security Server y los
Security Agents,
utilice este método
para equilibrar la
carga de tráfico en la
red.
ACTUALIZACIÓN
1.
Fuente de
actualización
personalizada o
servidor ActiveUpdate
2.
Security Server
3.
Actualizar los
agentes, los
Messaging Security
Agents y los Security
Agents sin agentes de
actualización
•
Agentes de actualización
•
•
Security Agents sin agentes de
actualización
4.
Todos los demás
Security Agents
Los agentes de actualización
pueden entonces implementar los
componentes en sus Security
Agents correspondientes. Si esos
Security Agents no se pueden
actualizar, se actualizan
directamente desde el Security
Server.
1.
Servidor
ActiveUpdate
2.
Security Agents
Los Security Agents que no se
pueden actualizar desde ninguna
fuente, se actualizan directamente
desde el servidor ActiveUpdate.
Este mecanismo se
debe usar solo como
último recurso.
Nota
Los Messaging Security
Agents nunca se actualizan
directamente desde el
servidor ActiveUpdate. Si
ninguna fuente está
disponible, el Messaging
Security Agent sale del
proceso de actualización.
8-3
Componentes que se pueden actualizar
Worry-Free Business Security usa componentes para proteger a los agentes frente a las
últimas amenazas. Mantenga actualizados los componentes realizando actualizaciones
programadas o manuales.
La pantalla de estado de actividad permite ver el estado de los componentes Defensa
frente a epidemias, Antivirus, Antispyware y Virus de red. Si Worry-Free Business
Security está protegiendo los servidores Microsoft Exchange (solo versión Advanced),
también podrá ver el estado de los componentes antispam. Worry-Free Business
Security puede enviar una notificación a los administradores cuando las actualizaciones
de componentes resultan necesarias.
En las siguientes tablas figuran los componentes que Security Server descarga de
ActiveUpdate Server:
TABLA 8-2. Componentes de mensajería (solo versión Advanced)
COMPONENTE
8-4
DESTINO DE LA
DISTRIBUCIÓN
DESCRIPCIÓN
Patrón antispam del
Messaging Security
Agent
Messaging Security
Agents
El patrón antispam identifica el spam más
reciente en los mensajes de correo
electrónico y los documentos adjuntos a
dichos mensajes.
Motor antispam del
Messaging Security
Agent de 32 y
64 bits
Messaging Security
Agents
El motor antispam detecta spam en
mensajes de correo electrónico y en
documentos adjuntos a estos.
Motor de
exploración del
Messaging Security
Agent de 32 y
64 bits
Messaging Security
Agents
El motor de exploración detecta gusanos
de Internet, virus de envío de correo
masivo, troyanos, sitios de phishing,
spyware y explotaciones de la red,
además de virus en mensajes de correo
electrónico y en sus documentos adjuntos.
COMPONENTE
Motor de filtrado de
URL de Messaging
Security Agent de
32 y 64 bits
DESTINO DE LA
DESCRIPCIÓN
DISTRIBUCIÓN
Messaging Security
Agents
Motor de filtrado de URL facilita la
comunicación entre Worry-Free Business
Security y el servicio de filtrado de URL de
Trend Micro. El servicio de filtrado de URL
es un sistema que clasifica las URL y
proporciona la información
correspondiente a Worry-Free Business
Security.
TABLA 8-3. Antivirus y smart scan
COMPONENTE
Motor de
exploración antivirus
de 32 y 64 bits
DESTINO DE LA
DESCRIPCIÓN
DISTRIBUCIÓN
Security Agents
El motor de exploración es el pilar en el
que se fundamentan todos los productos
de Trend Micro y se desarrolló como
respuesta a los virus basados en archivos.
El motor de exploración es en la
actualidad muy sofisticado y es capaz de
detectar varios tipos de virus y malware.
El motor de exploración también detecta
virus controlados que se crean y utilizan
para investigar.
Más que explorar cada uno de los bytes
de cada archivo, lo que hacen el motor y
el archivo de patrón es trabajar juntos
para identificar lo siguiente:
•
Características delatoras del código
de virus
•
La ubicación concreta en la que
reside el virus dentro de un archivo
8-5
COMPONENTE
Smart Scan Pattern
8-6
DESTINO DE LA
DISTRIBUCIÓN
No se distribuye
para Security
Agents. Este patrón
permanece en
Security Server y se
usa al responder a
consultas de
exploración
recibidas desde los
Security Agents.
Smart Scan Agent
Pattern
Security Agents que
usan smart scan
Patrón de virus
Security Agents que
usan la exploración
convencional
DESCRIPCIÓN
En el modo smart scan, los Security
Agents usan dos patrones ligeros que
funcionan juntos para proporcionar la
misma protección que ofrecen los
patrones antimalware y antispyware
convencionales.
El Smart Scan Pattern contiene la
mayoría de las definiciones de patrones.
El Smart Scan Agent Pattern contiene
todas las demás definiciones de patrones
no halladas en el Smart Scan Pattern.
El Security Agent explora en busca de
amenazas de seguridad usando el Smart
Scan Agent Pattern. Los Security Agents
que no pueden determinar el riesgo del
archivo durante la exploración
comprueban el riesgo enviando una
consulta de exploración al Scan Server,
un servicio alojado en Security Server. El
servidor de exploración verifica el riesgo
usando el Smart Scan Pattern. El
Security Agent almacena en caché el
resultado de la consulta de exploración
proporcionado por el Scan Server para
mejorar el rendimiento de la exploración.
El patrón de virus contiene información
que ayuda a los Security Agents a
identificar los virus, malware y ataques de
amenaza mixta más recientes. Trend
Micro crea y publica nuevas versiones del
patrón de virus varias veces por semana y
siempre que se detecta un virus o
malware especialmente dañino.
DESTINO DE LA
COMPONENTE
Patrón de IntelliTrap
DISTRIBUCIÓN
Security Agents
DESCRIPCIÓN
El Patrón de IntelliTrap detecta los
archivos de compresión en tiempo real
empaquetados como archivos ejecutables.
Para obtener información más detallada,
consulte IntelliTrap en la página D-3.
Patrón de
excepciones de
IntelliTrap
Security Agents
El Patrón de Excepciones de Intellitrap
contiene una lista de archivos
comprimidos "permitidos".
Motor de Damage
Cleanup de 32 y 64
bits
Security Agents
El motor de Damage Cleanup busca y
elimina los troyanos y los procesos
troyanos.
Plantilla de Damage
Cleanup
Security Agents
El motor de Damage Cleanup utiliza la
plantilla de Damage Cleanup para
identificar los archivos y procesos
troyanos, y poder eliminarlos.
Patrón de
inspección de la
memoria
Security Agents
Esta tecnología ofrece exploración
antivirus mejorada para virus polimórficos
y mutantes, y emula la ejecución de
archivos para ampliar las exploraciones
basadas en patrones de virus. A
continuación, se analizan los resultados
en un entorno controlado para detectar
intentos maliciosos sin que el rendimiento
del sistema resulte afectado
significativamente.
TABLA 8-4. Antispyware
COMPONENTE
Motor de
exploración de
spyware y grayware
v.6 de 32 y 64 bits
DESTINO DE LA
DISTRIBUCIÓN
Security Agents
DESCRIPCIÓN
El Motor de Escaneo de Spyware busca y
lleva a cabo la acción de exploración
apropiada sobre los spyware/grayware.
8-7
DESTINO DE LA
COMPONENTE
DISTRIBUCIÓN
Patrón de
antispyware y
grayware v.6
Security Agents
Patrón de spyware y
grayware
Security Agents
DESCRIPCIÓN
El Motor Anti-Spyware identifica los
spyware/grayware contenidos en archivos
y programas, los módulos de la memoria,
el registro de Windows y los accesos
directos a URL.
TABLA 8-5. Virus de red
COMPONENTE
Patrón del
cortafuegos
DESTINO DE LA
DISTRIBUCIÓN
Security Agents
DESCRIPCIÓN
Al igual que el patrón de virus, el patrón
de cortafuegos ayuda a los agentes a
identificar firmas de virus, patrones
exclusivos de bits y bytes que indican la
presencia de virus de red.
TABLA 8-6. Supervisión de comportamiento y control del dispositivo
COMPONENTE
8-8
DESTINO DE LA
DISTRIBUCIÓN
DESCRIPCIÓN
Patrón de detección
de la supervisión de
comportamiento
(32/64 bits)
Security Agents
Este patrón contiene las reglas de
detección del comportamiento sospechoso
de ser una amenaza.
Controlador básico
de la supervisión del
comportamiento de
32 y 64 bits
Security Agents
Este controlador en modo kernel
supervisa los sucesos del sistema y los
transmite al Servicio básico de la
supervisión de comportamiento para la
aplicación de las políticas.
COMPONENTE
Servicio básico de la
supervisión de
comportamiento de
32 y 64 bits
DESTINO DE LA
DESCRIPCIÓN
DISTRIBUCIÓN
Security Agents
Este servicio en modo de usuario cuenta
con las siguientes funciones:
•
Ofrece detección de rootkits
•
Regula el acceso a los dispositivos
externos
•
Protege archivos, claves de Registro
y servicios.
Patrón de
configuración de la
supervisión de
comportamiento
Security Agents
El controlador de la supervisión de
comportamiento utiliza este patrón para
identificar los sucesos normales del
sistema y los excluye de la aplicación de
las políticas.
Patrón de firmas
digitales
Security Agents
Este patrón contiene una lista de firmas
digitales válidas que el Servicio básico de
supervisión de comportamiento utiliza
para determinar si el programa
responsable del suceso de un sistema es
o no seguro.
Patrón de aplicación
de políticas
Security Agents
El servicio básico de la supervisión de
comportamiento contrasta los sucesos del
sistema con las políticas de este patrón.
Patrón del activador
de exploración de
memoria (32/64 bits)
Security Agents
El servicio del activador de exploración de
memoria ejecuta otros motores de
exploración cuando detecta un proceso no
empaquetado en la memoria.
8-9
TABLA 8-7. Defensa frente a epidemias
COMPONENTE
Patrón de valoración
de vulnerabilidades
de 32 y 64 bits
DESTINO DE LA
DISTRIBUCIÓN
Security Agents
DESCRIPCIÓN
Un archivo que incluye la base de datos
para todas las vulnerabilidades. El patrón
de valoración de vulnerabilidades contiene
las instrucciones para que el motor de
exploración busque vulnerabilidades
conocidas.
TABLA 8-8. Explotaciones del explorador
COMPONENTE
DESTINO DE LA
DISTRIBUCIÓN
DESCRIPCIÓN
Patrón de
prevención de
explotación del
explorador
Security Agents
Este patrón identifica las explotaciones
más recientes del explorador Web e
impide que se utilicen de forma que el
explorador resulte comprometido.
Patrón de
analizador de
secuencias de
comandos
Security Agents
Este patrón analiza las secuencias de
comandos de las páginas Web e identifica
las que son maliciosas.
Archivos Hotfix, parches y Service Packs
Tras la publicación oficial de un producto, Trend Micro suele desarrollar los siguientes
elementos para solucionar algunos problemas, mejorar el rendimiento del producto o
incluir nuevas características:
•
Revisión en la página D-2
•
Parche en la página D-10
•
Revisión de seguridad en la página D-27
•
Service Pack en la página D-27
El distribuidor o proveedor de asistencia puede ponerse en contacto con el usuario
cuando estos elementos están disponibles. Visite el sitio Web de Trend Micro para
8-10
obtener más información sobre las nuevas publicaciones de archivos Hotfix, parches y
Service Packs:
http://www.trendmicro.com/download/emea/?lng=es
Todas las publicaciones incluyen un archivo Léame que contiene información sobre la
instalación, implementación y configuración. Lea detenidamente el archivo Léame antes
de efectuar la instalación.
Actualizaciones del Security Server
Actualizaciones automáticas
El Security Server ejecuta automáticamente las siguientes actualizaciones:
•
Inmediatamente después de instalar el Security Server, este se actualiza desde el
servidor ActiveUpdate de Trend Micro.
•
Cada vez que se inicia el Security Server, este actualiza los componentes y la política
de defensa frente a epidemias.
•
De forma predeterminada, las actualizaciones programadas se ejecutan cada hora
(la frecuencia de actualización se puede cambiar desde la consola Web).
Actualizaciones manuales
Se pueden ejecutar actualizaciones manuales desde la consola Web en caso de que haya
que realizar una actualización urgente.
Sugerencias y recordatorios sobre la actualización de servidores
•
Después de una actualización, el Security Server distribuye automáticamente las
actualizaciones de los componentes a los agentes. Para obtener más información
sobre los componentes distribuidos a los agentes, consulte Componentes que se pueden
actualizar en la página 8-4.
•
Un Security Server que use solo IPv6 no puede realizar las siguientes tareas:
•
Obtener las actualizaciones directamente desde el servidor ActiveUpdate de
Trend Micro o desde una fuente de actualizaciones personalizadas que solo
use IPv4.
8-11
•
Distribuir las actualizaciones directamente a agentes que solo usen IPv4.
Del mismo modo, un Security Server que solo use IPv4 no podrá obtener
actualizaciones directamente desde una fuente de actualizaciones personalizada que
solo use IPv6 ni distribuir actualizaciones a agentes que solo usen IPv6.
En estas situaciones, es necesario un servidor proxy de doble pila que convierta
direcciones IP, como DeleGate, para que el Security Server pueda obtener y
distribuir actualizaciones.
•
Si utiliza un servidor proxy para conectarse a Internet, use la configuración del
proxy adecuada en Preferencias > Configuración general > pestaña Proxy para
descargar las actualizaciones correctamente.
Duplicación de componentes
Trend Micro publica archivos de patrones regularmente para mantener actualizada la
protección de los clientes. Dada la frecuencia con la que se publican actualizaciones de
archivos de patrones, el Security Server utiliza un mecanismo denominado duplicación
de componentes que permite descargar archivos de patrones con mayor rapidez.
Cuando la última versión de un archivo de patrones completo está disponible para su
descarga desde el servidor ActiveUpdate de Trend Micro, también lo están los patrones
incrementales. Los patrones incrementales con versiones reducidas del archivo de
patrones completo que representan la diferencia entre la última versión del archivo de
patrones completo y la versión anterior. Por ejemplo, si la última versión es la 175, el
patrón incremental v_173.175 contiene firmas en la versión 175 que no se hallan en la
versión 173 (la versión 173 es el patrón completo anterior, ya que los números de
patrones se utilizan en incrementos de 2). El patrón incremental v_171.175 contiene
firmas en la versión 175 que no se encuentran en la versión 171.
Para reducir el tráfico de red generado al descargar el último patrón, el Security Server
ejecuta una duplicación de componentes, que es un método de actualización de
componentes mediante el que el servidor solo descarga patrones incrementales. Para
beneficiarse de la duplicación de componentes, asegúrese de que el Security Server se
actualice periódicamente. De lo contrario, el servidor se verá obligado a descargar el
archivo del patrón completo.
La duplicación de componentes se aplica a los componentes siguientes:
•
8-12
Patrón de virus
•
•
Plantilla de Damage Cleanup
•
Patrón de excepciones de IntelliTrap
•
Patrón de spyware
Configurar la fuente de actualización del Security Server
Antes de empezar
De forma predeterminada, el Security Server obtiene las actualizaciones del servidor
ActiveUpdate de Trend Micro. Puede especificar una fuente de actualización
personalizada si el Security Server no consigue acceder directamente al servidor
ActiveUpdate.
•
Si la fuente es el servidor ActiveUpdate de Trend Micro, asegúrese de que el
Security Server tenga conexión a Internet y, en el caso de utilizar un servidor proxy,
compruebe si la conexión a Internet se puede establecer utilizando la configuración
del proxy. Para obtener más información, consulte Configurar el proxy de Internet en la
página 11-3.
•
Si la fuente de actualización es personalizada (Ubicación de la intranet que
contiene una copia del archivo actual o Fuente de actualización alternativa),
configure el entorno adecuado y actualice los recursos para esta fuente de
actualización. Además, asegúrese de que exista una conexión funcional entre el
Security Server y esta fuente de actualización. Si necesita ayuda a la hora de
configurar una fuente de actualización, póngase en contacto con el proveedor de
asistencia.
•
Un Security Server que solo use IPv6 no se puede actualizar directamente desde el
servidor ActiveUpdate de Trend Micro ni desde ninguna fuente de actualización
personalizada que solo use IPv4. Del mismo modo, un Security Server que solo
utilice IPv4 no puede actualizarse directamente desde fuentes de actualización
personalizadas que utilicen solo IPv6. Es necesario un servidor proxy de doble pila
que convierta direcciones IP, como DeleGate, para permitir al Security Server que
se conecte a las fuentes de actualización.
8-13
Procedimiento
1.
Acceda a Actualizaciones > Fuente.
2.
En la pestaña Servidor, seleccione una fuente de actualización.
3.
•
Servidor ActiveUpdate de Trend Micro
•
Ubicación de la intranet que contiene una copia del archivo actual:
escriba la ruta de la Convención de nomenclatura universal (UNC) de la
fuente, por ejemplo, \\Web\ActiveUpdate. Especifique también las
credenciales de inicio de sesión (el nombre de usuario y la contraseña) que el
Security Server utilizará para conectarse a esta fuente.
•
Fuente de actualización alternativa: escriba la URL correspondiente a esta
fuente. Asegúrese de que el directorio virtual HTTP de destino (Web
compartida) esté disponible para el Security Server.
Actualizar manualmente el Security Server
Actualice manualmente los componentes del Security Server después de instalar o
actualizar el servidor y siempre que haya una epidemia.
Procedimiento
1.
2.
Inicie una actualización manual de una de estas dos formas:
•
Acceda a Actualizaciones > Manual.
•
Acceda a Estado de actividad, diríjase a Estado del sistema >
Actualizaciones de los componentes y haga clic en Actualizar ahora.
Seleccione los componentes que desee actualizar.
Para obtener información detallada acerca de los componentes, consulte
Componentes que se pueden actualizar en la página 8-4.
3.
8-14
Haga clic en Actualizar.
Se abre una pantalla nueva en la que se muestra el estado de la actualización. Si la
actualización es correcta, el Security Server distribuirá automáticamente los
componentes actualizados a los agentes.
Configuración de actualizaciones programadas para el
Security Server
Configure el Security Server para que compruebe de forma regular su fuente de
actualización y descargue automáticamente las actualizaciones disponibles. Utilizar la
actualización programada es la forma más fácil y eficaz de garantizar que la protección
frente a amenazas esté siempre actualizada.
Durante las epidemias de virus/malware, Trend Micro responde rápidamente para
actualizar los archivos de patrones de virus (las actualizaciones pueden emitirse más de
una vez por semana). El motor de exploración y el resto de los componentes también se
actualizan con regularidad. Trend Micro recomienda una actualización diaria de los
componentes (o incluso con mayor frecuencia durante epidemias de virus/malware)
para asegurarse de que el agente tiene los componentes más recientes.
Importante
se recomienda no programar una exploración y una actualización simultáneamente. Esto
podría provocar que la exploración programada se detuviera inesperadamente.
Procedimiento
1.
Acceda a Actualizaciones > Programada.
2.
Seleccione los componentes que desee actualizar.
Para obtener información detallada acerca de los componentes, consulte
Componentes que se pueden actualizar en la página 8-4.
3.
Haga clic en la pestaña Programa y especifique el programa de actualizaciones.
•
Las actualizaciones de exploración convencional incluyen todos los
componentes, excepto el Smart Scan Pattern y el Smart Scan Agent Pattern.
Elija entre actualizaciones diarias, semanales y mensuales y especifique un
8-15
valor para Actualizar por un periodo de, que es el número de horas durante
las que el Security Server realizará la actualización. El Security Server se
actualizará en cualquier momento durante el periodo definido.
Nota
Para las actualizaciones programadas mensuales (opción no recomendada), si
selecciona los días 29, 30 o 31 y el mes tiene una cantidad de días inferior, la
actualización no se realizará ese mes.
•
4.
Las actualizaciones de smart scan incluyen solo el Smart Scan Pattern y el
Smart Scan Agent Pattern. Si ninguno de los agentes usa smart scan, haga caso
omiso de este tema.
Recuperación de componentes
La recuperación significa volver a la versión anterior del patrón de virus, Smart Scan
Agent Pattern y el motor de exploración antivirus. Si estos componentes no funcionan
correctamente, recupere las versiones anteriores. Security Server conserva la versión
actual y las versiones anteriores del motor de exploración antivirus, así como las últimas
tres versiones del patrón de virus y de Smart Scan Agent Pattern.
Nota
Solo se pueden recuperar los componentes anteriormente mencionados.
Worry-Free Business Security utiliza motores de exploración distintos para los agentes
que ejecutan plataformas de 32 y 64 bits. Estos motores de exploración deben
recuperarse por separado. El procedimiento de recuperación es idéntico para todos los
tipos de motores de exploración.
Procedimiento
1.
8-16
Vaya a Actualizaciones > Recuperar.
2.
Haga clic en Sincronizar para que un componente específico notifique a los
agentes que sincronicen las versiones de sus componentes con la del servidor.
3.
Haga clic en Recuperar para que un componente específico recupere ese
componente tanto en Security Server como en los agentes.
Actualizaciones del Security Agent y el
Messaging Security Agent
Actualizaciones automáticas
Tanto los Security Agents como los Messaging Security Agents (Advanced solo) realizan
automáticamente las siguientes actualizaciones:
•
Inmediatamente después de la instalación, los agentes realizan la actualización
desde el Security Server.
•
Cada vez que el Security Server finaliza una actualización, automáticamente
trasmite las actualizaciones a los agentes.
•
Cada vez que un agente de actualización finaliza una actualización,
automáticamente trasmite las actualizaciones a los Security Agents
correspondientes.
•
De forma predeterminada, las actualizaciones programadas se ejecutan:
•
•
Cada 8 horas en los Security Agents que están en una oficina.
•
Cada 2 horas en los Security Agents que están fuera de una oficina.
De manera predeterminada, los Messaging Security Agents ejecutan una
actualización programada cada 24 horas, a las 12:00 a.m.
Actualizaciones manuales
Si hay alguna actualización que sea urgente, puede realizarla manualmente desde la
consola Web. Acceda a Estado de actividad, diríjase a Estado del sistema >
Actualizaciones de los componentes y haga clic en Implementar ahora.
8-17
Sugerencias y recordatorios sobre la actualización de agentes
•
Los Security Agents se actualizan desde el Security Server, los agentes de
actualización o el servidor ActiveUpdate de Trend Micro.
Los Messaging Security Agents se actualizan únicamente desde el Security Server.
Para obtener más información sobre el proceso de actualización, consulte
Información general sobre actualizaciones en la página 8-2
•
Un agente que solo use IPv6 no puede obtener actualizaciones directamente desde
un agente de actualización o un Security Server que solo usen IPv4 o desde un
servidor ActiveUpdate de Trend Micro.
Del mismo modo, un agente que solo use IPv4 no puede obtener actualizaciones
directamente desde un agente de actualización o un Security Server que solo usen
IPv6.
En estas situaciones, es necesario un servidor proxy de doble pila que convierta
direcciones IP, como DeleGate, para que los clientes puedan obtener
actualizaciones.
•
Para obtener más información sobre los componentes que actualizan los agentes,
consulte Componentes que se pueden actualizar en la página 8-4.
•
Además de los componentes, los agentes también reciben archivos de
configuración actualizados cuando efectúan actualizaciones desde el Security
Server. Los agentes necesitan los archivos de configuración para aplicar la nueva
configuración. Cada vez que se modifica la configuración de un agente desde la
consola Web, también se modifican los archivos de configuración.
Agentes de actualización
Los agentes de actualización son Security Agents que pueden recibir componentes
actualizados desde el Security Server o el servidor ActiveUpdate y los implementan en
otros Security Agents.
Si en algunas secciones de la red entre los clientes y Trend Micro Security Server el
ancho de banda es reducido o el tráfico es muy denso, puede especificar que los Security
8-18
Agents actúen como agentes de actualización. Los agentes de actualización reducen el
consumo de ancho de banda al eliminar la necesidad de que los Security Agents accedan
al Security Server en busca de las actualizaciones de componentes. Si la red está
segmentada por ubicación y el enlace de red entre los segmentos soporta con frecuencia
una carga pesada de tráfico, Trend Micro recomienda permitir que al menos un Security
Agent de cada segmento actúe como un agente de actualización.
El proceso de actualización de un agente de actualización se puede describir de la
siguiente forma:
1.
Security Server envía notificaciones a los Agentes de actualización cuando hay
nuevas actualizaciones disponibles.
2.
Los agentes de actualización descargan los componentes actualizados desde el
Security Server.
8-19
3.
El Security Server informa a los Security Agents sobre la disponibilidad de
componentes actualizados.
4.
Cada Security Agent carga una copia de la tabla de orden de los agentes de
actualización para determinar su fuente de actualización apropiada. El orden de los
agentes de actualización en la tabla se establece inicialmente según el orden en que
se añadieron como fuentes de actualización alternativas en la consola Web. Cada
Security Agent revisará la tabla entrada por entrada, desde la primera, hasta
identificar su fuente de actualización.
8-20
5.
A continuación, los Security Agents descargan los componentes actualizados desde
su agente de actualización asignado. Si por alguna razón el agente de actualización
asignado no estuviera disponible, el Security Agent intentará descargar los
componentes actualizados desde el Security Server.
Configurar agentes de actualización
Procedimiento
1.
Acceda a Actualizaciones > Fuente.
2.
Haga clic en la pestaña Agentes de actualización.
3.
8-21
TAREA
Asignar Security
Agents como
agentes de
actualización
PASOS
a.
En la sección Asignar agente(s) de actualización, haga
clic en Agregar.
b.
En el cuadro de lista, elija uno o varios agentes para que
actúen como agentes de actualización.
c.
La pantalla se cerrará.
d.
8-22
De nuevo en la sección Asignar agente(s) de
actualización, seleccione Los agentes de actualización
siempre se actualizan solo directamente desde
Security Server si desea que los agentes de actualización
descarguen siempre componentes actualizados desde
Security Server, en lugar de usar otro agente de
actualización.
TAREA
Configurar
Security Agents
para que se
actualicen a
partir de agentes
de actualización
PASOS
a.
En la sección Fuentes de actualización alternativas,
seleccione Activar fuentes de actualización alternativas
para agentes de Security Agent y agentes de
actualización.
Nota
Si se desactiva esta opción, se impide que los
Security Agents se actualicen a partir de agentes de
actualización, lo que hace que su fuente de
actualización sea el Security Server.
b.
c.
Escriba las direcciones IP de los Security Agents que se
actualizarán a partir de un agente de actualización.
•
Para especificar un único Security Agent, introduzca la
dirección IP del Security Agent en los campos desde y
hasta.
•
d.
En el caso de IPv6, escriba un prefijo IP y una
longitud.
Seleccione un agente de actualización en la lista
desplegable.
Si la lista desplegable no está disponible, significa que no
se ha configurado ningún agente de actualización.
e.
La pantalla se cerrará.
f.
Defina más intervalos IP según sea necesario. Si ha
definido varios intervalos IP, puede usar la opción Volver a
ordenar para determinar la prioridad del intervalo IP.
Cuando Security Server notifica a los Security Agents que
hay actualizaciones disponibles, estos exploran la lista de
intervalos IP para identificar su fuente de actualización
correcta. El Security Agent examina el primer elemento de
la lista y prosigue hacia abajo hasta que identifica la fuente
de actualización correcta.
8-23
TAREA
PASOS
Configurar
Security Agents
para que se
actualicen a
partir de agentes
de actualización
Eliminar agentes
de actualización
Consejo
Defina varios agentes de actualización para el mismo
intervalo IP como medida de conmutación por error. Esto
significa que si los Security Agents no se pueden
actualizar a partir de un agente de actualización, lo
intentarán con otro. Para ello, cree al menos dos (2)
entradas con el mismo intervalo IP y asigne a cada
entrada un agente de actualización diferente.
Para eliminar un agente de actualización y anular la asignación
de todos los Security Agents que tenga asignados, acceda a la
sección Asignar agente(s) de actualización, marque la casilla
de verificación correspondiente al nombre del equipo del
agente de actualización y haga clic en Eliminar.
Esta acción no eliminará el intervalo de direcciones IP de los
Security Agents en la sección Fuentes de actualización
alternativas y solo hará que los Security Agents que se hayan
quedado "huérfanos" cambien su fuente de actualización al
Security Server. Si cuenta con otro agente de actualización,
podrá asignarlo a los Security Agents huérfanos.
Anular la
asignación de los
Security Agents
desde los
agentes de
actualización
4.
8-24
Si no desea que los Security Agents pertenecientes a un
intervalo de direcciones IP efectúen sus actualizaciones a partir
de un agente de actualización, acceda a la sección Fuentes de
actualización alternativas, marque la casilla de verificación
correspondiente al intervalo de direcciones IP de los Security
Agents y haga clic en Eliminar.
Capítulo 9
Gestionar las notificaciones
En este capítulo se explica cómo utilizar las distintas opciones de notificación.
9-1
Notificaciones
Los administradores pueden recibir notificaciones siempre que se produzcan sucesos
extraños en la red. Worry-Free Business Security puede enviar notificaciones a través de
los registros de sucesos de Windows, SNMP o el correo electrónico.
De manera predeterminada, todos los sucesos que aparecen en la pantalla
Notificaciones están seleccionados y hacen que el Security Server envíe una
notificación al administrador del sistema.
Sucesos de amenazas
9-2
•
Defensa frente a epidemias: TrendLabs ha declarado una alerta o se han
detectado vulnerabilidades muy críticas.
•
Antivirus: los virus/malware detectados en los clientes o servidores Microsoft
Exchange (Advanced solo) superan un cierto número, las acciones realizadas con
los virus/malware no han surtido efecto o se ha desactivado la exploración en
tiempo real en los clientes o en los servidores Microsoft Exchange.
•
Antispyware: se ha detectado spyware/grayware en los clientes, incluidos los que
precisan que se reinicie el cliente infectado para eliminar completamente la
amenaza de spyware/grayware. Puede configurar el umbral de notificación de
spyware/grayware, es decir, el número de incidentes de spyware/grayware
detectados en el periodo de tiempo especificado (el valor predeterminado es de una
hora).
•
Antispam (Advanced solo): los casos de spam superan un determinado porcentaje
del total de mensajes de correo electrónico.
•
Reputación Web: El número de infracciones de URL supera el número
configurado para un determinado periodo.
•
Filtrado de URL: El número de infracciones de URL supera el número
configurado para un determinado periodo.
•
Supervisión de comportamiento: El número de infracciones de políticas supera
el número configurado para un determinado periodo.
•
Control de dispositivos: el número de infracciones de control de dispositivos
excede un cierto número.
•
Virus de red: los virus de red detectados superan un número determinado.
Sucesos del sistema
•
Smart Scan: los clientes configurados para smart scan no se pueden conectar a
smart scan server o el servidor no está disponible.
•
Actualización de componentes: desde la última vez que se actualizaron los
componentes han pasado más días del número especificado o los componentes
actualizados no se han implementado con suficiente rapidez en los agentes.
•
Sucesos inusuales del sistema: el espacio en disco restante en alguno de los
clientes en que se ejecuta el sistema operativo Windows Server es inferior al
mínimo configurado y está alcanzando niveles peligrosamente bajos.
Sucesos de la licencia
•
Licencia: la licencia del producto ha caducado o está a punto de caducar, el
recuento máximo de licencias usadas es superior al 100 % o es superior al 120 %.
Configurar sucesos de notificaciones
La configuración de notificaciones consta de dos pasos. En primer lugar se seleccionan
los sucesos para los que se necesitan las notificaciones y, en segundo lugar, se configuran
los métodos de entrega.
Worry-Free Business Security ofrece tres métodos de entrega:
•
Notificaciones por correo electrónico
•
Notificaciones SNMP
•
Registro de sucesos de Windows
Procedimiento
1.
Acceda a Preferencias > Notificaciones.
2.
En la pestaña Sucesos, actualice la siguiente información según sea necesario:
9-3
3.
4.
•
Correo electrónico: seleccione la casilla de verificación para recibir
notificaciones para dicho suceso.
•
Umbral de alerta: configure el umbral y/o periodo de tiempo para el suceso.
•
Nombre del suceso: haga clic en el nombre de un suceso para modificar el
contenido de la notificación de dicho suceso. Puede incluir variables de
símbolo en el contenido. Para obtener más información, consulte Variables de
símbolo en la página 9-4.
Haga clic en la pestaña Configuración y actualice la siguiente información según
sea necesario:
•
Notificación por correo electrónico: defina las direcciones de correo
electrónico del remitente y los destinatarios. En el caso de los destinatarios,
separe las distintas direcciones de correo electrónico con punto y coma (;).
•
Destinatario de la notificación SNMP: SNMP es el protocolo que usan los
hosts de la red para intercambiar información que se utiliza para administrar
redes. Para ver los datos de la captura SNMP, utilice un explorador MIB
(Management Information Base).
•
Activar notificaciones SNMP
•
Dirección IP: Dirección IP de la captura SNMP.
•
Comunidad: La cadena de la comunidad de SNMP.
•
Registro: Notificaciones que usan el registro de sucesos de Windows.
•
Escribir en el registro de sucesos de Windows
Variables de símbolo
Use variables de símbolo para personalizar la línea del asunto y el cuerpo del mensaje de
las notificaciones de sucesos.
9-4
Para evitar que todos los mensajes de correo provenientes de direcciones con dominios
externos se marquen como spam, agregue las direcciones de correo electrónico externo a
las listas de antispam de Remitentes permitidos.
Los siguientes símbolos representan cualquier amenaza detectada en un equipo de
sobremesa/servidor o servidor Microsoft Exchange.
VARIABLE
DESCRIPCIÓN
{$CSM_SERVERNAME
}
El nombre del Security Server que gestiona los agentes
%CV
Número de incidentes
%CU
Unidad de tiempo (minutos, horas)
%CT
Número de %CU
%CP
Porcentaje total de mensajes de correo electrónico que son spam
Lo siguiente es un ejemplo de notificación:
Trend Micro detected %CV virus incidents on your computer(s) in
%CT %CU. Virus incidents that are too numerous or too frequent
might indicate a pending outbreak situation.
Refer to the Live Status screen on the Security Server for
further instructions.
9-5
Capítulo 10
Utilizar la función Defensa frente a
epidemias
En este capítulo se explica la estrategia de la Defensa frente a epidemias de Worry-Free
Business Security, cómo configurar la función Defensa frente a epidemias y cómo
utilizarla para proteger las redes y los clientes.
10-1
Estrategia de la defensa frente a epidemias
La defensa frente a epidemias es un componente clave de la solución Worry-Free
Business Security que protege a las empresas cuando se producen epidemias de virus
mundiales.
Configurar la defensa frente a epidemias
Procedimiento
1.
Vaya a Defensa frente a epidemias.
2.
En la sección Estado de los dispositivos a los que afecta la defensa frente a
epidemias, haga clic en Configurar defensa frente a epidemias.
3.
Para activar la defensa frente a epidemias, seleccione Activar la defensa frente a
epidemias para las alertas amarillas.
4.
La opción Notificar a los usuarios cliente cuando se inicie la defensa frente a
epidemias se encuentra seleccionada automáticamente. Si no desea enviar a los
usuarios notificaciones de la defensa frente a epidemias, desactive esta casilla.
5.
De forma predeterminada, la opción Desactivar la defensa frente a epidemias
se encuentra establecida en 2 días. Este periodo de tiempo puede ampliarse hasta
un máximo de 30 días.
6.
10-2
Opción
Descripción
Limitar/
Denegar el
acceso a las
carpetas
compartidas
Seleccione esta opción para limitar o denegar el acceso a las
carpetas de red compartidas como parte de la estrategia de la
defensa frente a epidemias. Seleccione una de las siguientes
opciones:
•
Permite el acceso de solo lectura
•
Deniega el acceso completo
Utilizar la función Defensa frente a epidemias
Opción
Descripción
Bloquear
puertos
Seleccione esta opción para bloquear los puertos como parte
de la estrategia de la defensa frente a epidemias. Seleccione una
de las siguientes opciones:
•
Todos los puertos
•
Puertos especificados
Si elige Puertos especificados, haga clic en Agregar y
seleccione una de las opciones siguientes:
Denegar el
acceso de
escritura a
archivos y
carpetas
7.
•
Puertos utilizados habitualmente: seleccione el o los
puertos de la lista.
•
Puertos utilizados habitualmente por los troyanos:
son unos 40 (o incluso más) los puertos conocidos que
suelen utilizar los troyanos.
•
Un número de puerto o intervalo de puertos entre 1 y
65535: define el puerto o el intervalo de puertos.
•
Protocolo ping (ICMP)
Seleccione esta opción para denegar el acceso de escritura a
carpetas y archivos específicos. Elija una de las siguientes
opciones:
•
Archivos para proteger en directorios específicos:
escriba la ruta del directorio y especifique si desea denegar
el acceso de escritura a todos los archivos o tan solo a
algunos tipos de archivo específicos.
•
Archivos para proteger en todos los directorios:
escriba el nombre del archivo o los archivos específicos
que desea proteger (incluida la extensión de archivo).
10-3
Estado actual de Defensa frente a epidemias
Vaya a Estado de actividad > Defensa frente a epidemias para ver el estado de la
defensa frente a epidemias.
Defensa frente a epidemias para las alertas amarillas
Esta sección de la página muestra información sobre la defensa frente a epidemias para
las alertas amarillas:
•
Hora de inicio: hora en la que un administrador ha activado una alerta amarilla.
•
Defensa frente a epidemias activada: número de equipos en los que se ha
activado la defensa frente a epidemias. Haga clic en el enlace numerado para ir a la
página Defensa frente a epidemias.
•
Defensa frente a epidemias desactivada: número de equipos en los que se ha
desactivado la defensa frente a epidemias. Haga clic en el enlace numerado para ir a
la página Defensa frente a epidemias.
Acción necesaria
Esta sección de la página muestra información sobre los equipos vulnerables y aquellos
que deben limpiarse:
•
Equipos vulnerables: número de equipos con vulnerabilidades.
•
Equipos para limpiar: número de equipos que deben limpiarse.
Valoración de vulnerabilidades
La herramienta Valoración de vulnerabilidades ofrece a los administradores del sistema o
a otro personal de seguridad de la red una valoración de los riesgos de seguridad de la
red. La información generada con la valoración de vulnerabilidades les ofrece una guía
clara para resolver vulnerabilidades conocidas y proteger las redes.
Use la valoración de vulnerabilidades para:
•
10-4
Buscar vulnerabilidades en los equipos de la red.
•
Identificar vulnerabilidades según unas convenciones estándar de nomenclatura.
Para obtener más información sobre la vulnerabilidad y cómo solucionarla, haga
clic en su nombre.
•
Visualizar las vulnerabilidades por equipo y dirección IP. Entre los resultados se
incluye el nivel de riesgo que suponen las vulnerabilidades para el equipo y toda la
red.
•
Comunicar las vulnerabilidades de equipos individuales y describir los riesgos de
seguridad que esos equipos suponen para toda la red.
•
Configurar tareas que exploren alguno o todos los equipos conectados a la red. En
las exploraciones se pueden buscar vulnerabilidades concretas o una lista de todas
las vulnerabilidades conocidas.
•
Ejecutar tareas de valoración manual o configurar tareas según un programa.
•
Solicitar el bloqueo de los equipos que presentan un nivel inaceptable de riesgo
para la seguridad de la red.
•
Crear informes que identifiquen las vulnerabilidades de equipos individuales y
describan los riesgos de seguridad que esos equipos suponen para toda la red. Los
informes identifican las vulnerabilidades según unas convenciones de nombres
estándar para que los administradores puedan seguir investigando para solucionar
las vulnerabilidades y proteger la red.
•
Puede ver historiales de valoraciones y comparar informes para comprender mejor
las vulnerabilidades y modificar los factores de riesgo para la seguridad de la red.
Configurar la valoración de vulnerabilidades
Procedimiento
1.
2.
En la sección Equipos con vulnerabilidades, haga clic en Configurar la
valoración programada.
3.
Para activar las valoraciones de vulnerabilidades programadas, seleccione Activar la
prevención programada de vulnerabilidades.
10-5
4.
5.
6.
En la sección Programa, seleccione la frecuencia de las valoraciones de
vulnerabilidades:
•
Diariamente
•
Semanalmente
•
Mensualmente
•
Hora de inicio
En la sección Destino, seleccione el o los grupos en los que desea evaluar las
vulnerabilidades:
•
Todos los grupos: todos los grupos del árbol Grupos de seguridad.
•
Grupos especificados: grupos de equipos de sobremesa o servidores del
árbol Grupos de seguridad.
Ejecutar valoraciones de vulnerabilidades bajo petición
Procedimiento
1.
2.
En la sección Equipos con vulnerabilidades, haga clic en Buscar
vulnerabilidades ahora.
3.
Haga clic en Aceptar para ejecutar la exploración de vulnerabilidades.
Aparecerá el diálogo Progreso de la notificación para buscar vulnerabilidades.
Cuando se complete la exploración, aparecerá el diálogo Resultados de la
notificación para buscar vulnerabilidades.
4.
10-6
Revise los resultados de la exploración en el diálogo Resultados de la
notificación para buscar vulnerabilidades y haga clic en Cerrar.
Damage Cleanup
Los Security Agents utilizan Damage Cleanup Services para proteger los clientes frente a
los troyanos. Para hacer frente a las amenazas y problemas que causan los troyanos y
otros tipos de malware, los Damage Cleanup Services llevan a cabo las siguientes
acciones:
•
Detecta y elimina troyanos activos y otras aplicaciones de malware.
•
Elimina los procesos creados por los troyanos y otras aplicaciones de malware.
•
Repara los archivos del sistema modificados por los troyanos y las aplicaciones de
malware.
•
Elimina los archivos y las aplicaciones que crean los troyanos y otras aplicaciones
de malware.
Para efectuar estas tareas, los Damage Cleanup Services utilizan los componentes que se
indican a continuación:
•
Motor de Damage Cleanup: el motor que utilizan los Damage Cleanup Services
para buscar y eliminar los troyanos y sus procesos, gusanos y spyware.
•
Patrón de limpieza de virus: utilizado por el motor de Damage Cleanup. Esta
plantilla ayuda a identificar los troyanos y sus procesos, los gusanos y el spyware
para que el motor de Damage Cleanup pueda eliminarlos.
Ejecutar limpieza bajo petición
Procedimiento
1.
2.
En la sección Equipos para limpiar, haga clic en Limpiar ahora.
Si Security Agent no está conectado o se produce alguna situación inesperada
(como la interrupción de la conexión con la red), se generará un resultado de error.
3.
Haga clic en Aceptar para iniciar la limpieza.
10-7
Aparecerá el diálogo Progreso de la notificación para limpiar. Cuando se
complete la limpieza, aparecerá el diálogo Resultados de la notificación para
limpiar.
4.
10-8
Revise los resultados de la limpieza en el diálogo Resultados de la notificación
para limpiar y haga clic en Cerrar.
Capítulo 11
Administrar la configuración general
En este capítulo se describe la configuración general de los agentes y los sistemas para el
Security Server.
11-1
Desde la consola Web, puede establecer configuraciones globales para el Security Server
y los Security Agents.
Proxy
Si la red utiliza un servidor proxy para conectarse a Internet, defina la configuración del
proxy con el fin de llevar a cabo los siguientes servicios:
•
Actualizaciones de componentes y notificaciones de licencia
•
Reputación Web, Supervisión de comportamiento y Smart Scan
Para obtener más información, consulte Configurar el proxy de Internet en la página 11-3.
SMTP
La configuración del servidor SMTP se aplicará a todas las notificaciones y los informes
que genere Worry-Free Business Security.
Para obtener más información, consulte Definir la configuración del servidor SMTP en la
página 11-4.
Equipo de sobremesa o servidor
Las opciones Equipo de sobremesa/Servidor pertenecen a la configuración general de
Worry-Free Business Security.
Para obtener más información, consulte Definir la configuración de los equipos de sobremesa/
servidores en la página 11-5.
Sistema
La sección Sistema de la pantalla Configuración general contiene opciones para
eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y
mantener la carpeta de cuarentena.
Para obtener más información, consulte Definir la configuración de sistemas en la página
11-11.
11-2
Configurar el proxy de Internet
Si el Security Server y los agentes utilizan un servidor proxy para conectarse a Internet,
defina la configuración del servidor proxy con el fin de utilizar las siguientes funciones y
servicios de Trend Micro:
•
Security Server: actualizaciones de componentes y mantenimiento de licencia
•
Security Agents: Reputación Web, Filtrado de URL, Supervisión de
comportamiento, Comentarios inteligentes y Smart Scan.
•
Messaging Security Agents (Advanced solo): Reputación Web y antispam
Procedimiento
1.
Acceda a Preferencias > Configuración general.
2.
En la pestaña Proxy, actualice la siguiente información según sea necesario:
•
Proxy de Security Server
Nota
Los Messaging Security Agents también utilizan la configuración del proxy del
Security Server.
•
•
Usar un servidor proxy para las actualizaciones y las notificaciones sobre
la licencia
•
Utilizar el protocolo de proxy SOCKS 4/5
•
Dirección: Nombre de host o dirección IPv4/IPv6
•
Puerto
•
Autenticación del servidor proxy
•
Usuario
•
Contraseña
Proxy de Security Agent
11-3
•
Usar las credenciales especificadas para el proxy de actualizaciones
Nota
Los Security Agents usan el servidor proxy de Internet Explorer y el
puerto para conectarse a Internet. Seleccione esta opción solo si el
Internet Explorer de los clientes y el Security Server comparten las
mismas credenciales de autenticación.
3.
•
Usuario
•
Contraseña
Definir la configuración del servidor SMTP
La configuración del servidor SMTP se aplicará a todas las notificaciones y los informes
que genere Worry-Free Business Security.
Procedimiento
1.
2.
Haga clic en la pestaña SMTP y actualice la siguiente información según sea
necesario:
3.
11-4
•
Servidor SMTP: La dirección IP4 o el nombre del servidor SMTP.
•
Puerto
•
Habilitar autenticación de servidor SMTP
•
Nombre de usuario
•
Contraseña
Para verificar que la configuración es correcta, haga clic en Enviar correo
electrónico de prueba. Si el envío no fue correcto, modifique la configuración o
compruebe el estado del servidor SMTP.
4.
Definir la configuración de los equipos de
sobremesa/servidores
Las opciones Equipo de sobremesa/Servidor pertenecen a la configuración general de
Worry-Free Business Security. La configuración de los grupos individuales prevalece
sobre esta configuración. Si no ha configurado una opción determinada para un grupo,
se utilizarán las opciones de Equipo de sobremesa/Servidor. Por ejemplo, si no hay
ninguna URL permitida para un determinado grupo, todas las URL permitidas de esta
pantalla serán aplicables para el grupo.
Procedimiento
1.
2.
Haga clic en la pestaña Equipo de sobremesa o servidor y actualice la siguiente
información según sea necesario:
11-5
CONFIGURACIÓN
Conocimiento de
ubicación
DESCRIPCIÓN
Conocimiento de ubicación permite a los administradores
controlar la configuración de seguridad en función de cómo
se conecte el cliente a la red.
Conocimiento de ubicación controla la configuración de
conexión En la oficina/Fuera de la oficina.
El Security Agent identifica automáticamente la ubicación del
cliente en función de la información del gateway configurada
en la consola Web y, a continuación, controla los sitios Web a
los que pueden acceder los usuarios. Las restricciones varían
según la ubicación del usuario:
•
Activar la función Conocimiento de ubicación: Esta
opción puede afectar a la configuración de conexión En
la oficina/Fuera de la oficina del Cortafuegos, la
reputación Web y la frecuencia de las actualizaciones
programadas.
•
Información del gateway: Los clientes y conexiones de
esta lista utilizarán la configuración de conexión interna
mientras se conectan remotamente a la red (mediante
VPN) y Conocimiento de ubicación está activado.
•
Dirección IP de gateway
•
Dirección MAC: la adición de una dirección MAC
mejora considerablemente la seguridad porque solo
permite la conexión del dispositivo configurado.
Haga clic en el icono de papelera correspondiente para
eliminar una entrada.
Aviso del servicio
de atención al
cliente
11-6
El aviso del servicio de atención al cliente envía una
notificación al agente de seguridad informando al usuario con
quién tiene que ponerse en contacto para obtener asistencia.
•
Etiqueta del servicio de atención al cliente
•
Dirección de correo electrónico del servicio de
atención al cliente
•
Información adicional: aparecerá cuando el usuario
pase el ratón sobre la etiqueta
CONFIGURACIÓN
Configuración de
la exploración
general
DESCRIPCIÓN
•
Desactivación del servicio de Smart Scan: cambia
todos los Security Agents al modo de exploración
convencional. La exploración inteligente dejará de estar
disponible hasta que se vuelva a activar con esta opción.
Para cambiar uno o varios grupos de Security Agent,
vaya a Configuración de seguridad > {Grupo} >
Configurar > Método de exploración.
Nota
Para obtener directrices sobre cómo hacer que los
Security Agents alternen entre los distintos
métodos de exploración, consulte Configurar los
métodos de exploración en la página 5-5.
•
Activar la exploración retardada en operaciones de
archivos: active esta configuración para mejorar
temporalmente el rendimiento del sistema.
¡ADVERTENCIA!
Si activa la exploración retardada pueden
generarse riesgos de seguridad.
•
Excluir secciones de Shadow Copy: Los servicios
Shadow Copy o Instantáneas de volumen realizan de
forma manual o automática copias de seguridad o
instantáneas de un archivo o carpeta de un volumen
específico.
•
Excluir la carpeta de la base de datos de Security
Server: impide que los agentes instalados en el Security
Server exploren su propia base de datos solo durante las
exploraciones en tiempo real.
De forma predeterminada, WFBS no explora su propia
base de datos. Trend Micro recomienda conservar esta
selección para evitar una posible corrupción de la base
de datos durante la exploración.
•
Excluir las carpetas del servidor Microsoft Exchange
cuando se instala en servidor de Microsoft
Exchange: impide que los agentes instalados en el
servidor Microsoft Exchange exploren las carpetas de
Microsoft Exchange.
•
11-7
Excluir las carpetas del controlador de dominios de
Microsoft: impide que los agentes instalados en el
controlador de dominios exploren las carpetas del
controlador de dominios. En estas carpetas se almacena
información de usuario, nombres de usuarios,
contraseñas y otra información importante.
CONFIGURACIÓN
Configuración de
la exploración
antivirus
Configuración de
la exploración
antispyware y
antigrayware
Configuración del
cortafuegos
DESCRIPCIÓN
•
Definir la configuración de la exploración para
archivos comprimidos de gran tamaño: especifique el
tamaño máximo del archivo extraído y el número de
archivos del archivo comprimido que el agente debería
explorar.
•
Limpiar archivos comprimidos: los agentes intentarán
limpiar los archivos infectados dentro de un archivo
comprimido.
•
Explorar hasta {} capas OLE: los agentes explorarán el
número especificado de capas OLE (Incrustación y
vinculación de objetos). OLE permite a los usuarios crear
objetos con una aplicación y enlazarlos posteriormente
con otra, o incrustarlos. Por ejemplo, un archivo .xls
incrustado en un archivo .doc.
•
Añadir la exploración manual al menú de accesos
directos de Windows en los clientes: agrega un enlace
Explorar con Security Agent al menú contextual. Esta
opción permite a los usuarios hacer clic con el botón
derecho del ratón en un archivo o carpeta (en el
escritorio o en el Explorador de Windows) y explorar
manualmente el archivo o la carpeta.
•
Buscar cookies: Security Agent busca cookies.
•
Agregar detecciones de cookies al registro de
spyware: Agrega cada cookie de spyware detectada al
registro de spyware.
Marque la casilla de verificación Desactivar cortafuegos y
desinstalar controladores para desinstalar el cortafuegos
de cliente del servicio WFBS y eliminar los controladores
asociados a él.
Nota
Si desactiva el cortafuegos, los ajustes de
configuración asociados a él no volverán a estar
disponibles hasta que no vuelva a activar el
cortafuegos.
11-8
CONFIGURACIÓN
Reputación Web y
Filtrado de URL
DESCRIPCIÓN
•
Lista de permitidos: excluye los sitios Web (y a sus
subdominios) de las verificaciones de reputación Web y
filtrado de URL.
Nota
La lista de permitidos tiene preferencia sobre la
lista de bloqueados. Cuando una URL coincide
con una entrada de la lista de permitidos, los
agentes siempre permiten el acceso a dicha URL,
incluso si está también en la lista de bloqueados.
Si se activan las listas de permitidos/bloqueados
de un grupo específico, se anulará la configuración
general de los permitidos y las bloqueados del
grupo.
•
Lista de bloqueados: los sitios Web (y sus
subdominios) se bloquean siempre en las verificaciones
de reputación Web y filtrado de URL.
•
Lista de excepción de procesos: procesos excluidos
de las verificaciones del filtrado de URL y de la
reputación Web. Especifique los procesos críticos que su
organización considera de confianza.
Consejo
Cuando actualice la lista de excepción de
procesos y el servidor implemente la lista
actualizada en los agentes, todas las conexiones
HTTP activas del equipo del cliente (puertos 80, 81
u 8080) se desconectarán durante varios
segundos. Se recomienda actualizar la lista de
excepciones de procesos durante las horas de
poco trabajo.
•
Lista de excepciones de IP: excluye las direcciones IP
(p. ej., 192.168.0.1) de las verificaciones de reputación
Web y filtrado de URL. Escriba las direcciones IP críticas
que su organización considera de confianza.
•
Envío de los registros de filtrado de URL y de la
reputación Web al Security Server
11-9
CONFIGURACIÓN
DESCRIPCIÓN
Configuración de
las alertas
Mostrar el icono de alerta en la barra de tareas de
Windows si el archivo de patrones no está actualizado
después de {} días: muestra un icono de alerta en los
clientes cuando un archivo de patrones no se actualiza
transcurrido un determinado número de días.
Contraseña de
desinstalación de
Security Agent
•
Permitir al usuario del cliente desinstalar el agente
de seguridad sin contraseña.
•
Exigir una contraseña al usuario del cliente para
desinstalar el agente de seguridad:
Contraseña de
salida y
desbloqueo del
programa Security
Agent
•
Permitir a los usuarios del cliente cerrar y
desbloquear Security Agent en sus equipos sin
contraseña.
•
Exigir a los usuarios del cliente que introduzcan una
contraseña para cerrar y desbloquear Security Agent.
Nota
Al desbloquear el Security Agent, se permite al usuario
anular los parámetros configurados en Configuración
de seguridad > {grupo} > Configurar > Derechos
del cliente.
11-10
CONFIGURACIÓN
Dirección IP
preferida
DESCRIPCIÓN
Esta configuración solo está disponible para Security Servers
de doble pila y solo la aplican agentes de doble pila.
Después de instalar o actualizar los agentes, estos se
registran en el Security Server mediante una dirección IP.
Seleccione una de estas opciones:
3.
•
IPv4 en primer lugar y, después, IPv6: los agentes
utilizan primero la dirección IPv4. Si el agente no puede
registrarse mediante la dirección IPv4, utilizará la
dirección IPv6. Si el registro no se realiza correctamente
con ninguna de las direcciones IP, el agente vuelve a
intentarlo mediante la prioridad de dirección IP para esta
selección.
•
IPv6 en primer lugar y, después, IPv4: los agentes
utilizan primero la dirección IPv6. Si el agente no puede
registrarse mediante la dirección IPv6, utilizará la
dirección IPv4. Si el registro no se realiza correctamente
con ninguna de las direcciones IP, el agente vuelve a
intentarlo mediante la prioridad de dirección IP para esta
selección.
Definir la configuración de sistemas
La sección Sistema de la pantalla Configuración general contiene opciones para
eliminar automáticamente los agentes inactivos, comprobar la conexión de los agentes y
mantener la carpeta de cuarentena.
Procedimiento
1.
2.
Haga clic en la pestaña Sistema y actualice la siguiente información según sea
necesario:
11-11
CONFIGURACIÓN
Eliminación de
agentes de
seguridad
inactivos
DESCRIPCIÓN
Cuando se utiliza el programa de desinstalación del agente
de seguridad en el cliente para eliminar los agentes de un
cliente, el programa envía automáticamente una notificación a
Security Server. Cuando Security Server recibe esta
notificación, elimina el icono del árbol Grupos de seguridad
para indicar que el cliente ya no existe.
No obstante, si se utilizan otros métodos para eliminar el
agente de seguridad, como volver a formatear el disco duro
del equipo o borrar manualmente los archivos del cliente, el
servidor Security Server no tendrá conocimiento de la
eliminación y mostrará al agente de seguridad como inactivo.
Si un usuario descarga o desactiva el agente durante un
periodo largo de tiempo, Security Server mostrará también el
agente de seguridad como inactivo.
Para asegurarse de que el árbol Grupos de seguridad
muestre solo los clientes activos, puede configurar Security
Server para que elimine automáticamente los agentes
Security Agent inactivos del árbol Grupos de seguridad.
11-12
•
Activar eliminación automática del Security Agent
inactivo: activa la eliminación automática de los clientes
que no hayan contactado con el Security Server durante
un número de días especificado.
•
Eliminar automáticamente un Security Agent si está
inactivo durante {} días: días que un cliente puede
estar inactivo antes de eliminarlo de la consola Web.
CONFIGURACIÓN
Comprobación de
la conexión del
agente
DESCRIPCIÓN
WFBS refleja el estado de la conexión del cliente en el árbol
Grupos de seguridad mediante iconos. Sin embargo,
determinadas circunstancias pueden impedir que el árbol
Grupos de seguridad muestre el estado correcto de la
conexión del agente. Por ejemplo, si el cable de red de un
cliente se desconecta por accidente, el agente no podrá
notificar a Trend Micro Security Server que ahora está
desconectado. Este agente seguirá apareciendo como
conectado en el árbol Grupos de seguridad.
Puede comprobar la conexión entre el agente y el servidor
manualmente o programar una comprobación desde la
consola Web.
Nota
La función Comprobación de la conexión no permite
seleccionar grupos o agentes específicos. Se limita a
comprobar la conexión de todos los agentes
registrados con el Security Server.
•
•
Activar la comprobación programada: permite la
comprobación programada de la conexión entre el
agente y el servidor.
•
Cada hora
•
Diariamente
•
Semanalmente, cada
•
Hora de inicio: La hora a la que se inicia la
comprobación.
Comprobar ahora: prueba la conectividad en el
momento.
11-13
CONFIGURACIÓN
Mantenimiento de
la cuarentena
DESCRIPCIÓN
De forma predeterminada, los Security Agents envían
archivos infectados en cuarentena al siguiente directorio del
Security Server:
<Carpeta de instalación del Security Server>
\PCCSRV\Virus
Si necesita cambiar de directorio (por ejemplo, si no hay
espacio de disco suficiente), escriba una ruta absoluta, como
D:\Quarantined Files, en el campo Directorio de
cuarentena. Si lo hace, asegúrese de aplicar los mismos
cambios en Configuración de seguridad > {grupo} >
Configurar > Poner en cuarentena o los agentes
continuarán enviando los archivos a <Carpeta de
instalación del Security Server>\PCCSRV\Virus.
Además, defina las siguientes configuraciones de
mantenimiento:
•
Capacidad de la carpeta de cuarentena: tamaño de la
carpeta de cuarentena en MB.
•
Tamaño máximo para un único archivo: el tamaño
máximo, en MB, de un archivo almacenado en la carpeta
de cuarentena.
•
Eliminar todos los archivos puestos en cuarentena:
elimina todos los archivos de la carpeta Poner en
cuarentena. Si cuando se carga un archivo nuevo la
carpeta está llena, el archivo no se almacenará.
Si no desea que los agentes envíen archivos en cuarentena
al Security Server, configure el nuevo directorio en
Configuración de seguridad > Configurar > Poner en
cuarentena y haga caso omiso de la configuración de
mantenimiento. Consulte Directorio de cuarentena en la
página 5-31 para obtener instrucciones.
11-14
CONFIGURACIÓN
Instalación del
Security Agent
DESCRIPCIÓN
Directorio de instalación del Security Agent: Durante la
instalación, se le solicitará que especifique el directorio de
instalación del Security Agent, que es donde el programa de
instalación instala cada Security Agent.
Si es necesario, cambie el directorio escribiendo una ruta
absoluta. Solo los agentes futuros se instalarán en este
directorio. Los agentes existentes mantendrán su directorio
actual.
Utilice una de las variables siguientes para definir la ruta de
instalación:
3.
•
$BOOTDISK: la letra de la unidad del disco de arranque
•
$WINDIR: la carpeta de instalación de Windows
•
$ProgramFiles: la carpeta de programas
11-15
Capítulo 12
Usar los registros y los informes
En este capítulo se describe cómo utilizar los registros y los informes para supervisar el
sistema y analizar la protección.
12-1
Registros
Worry-Free Business Security guarda registros completos de los incidentes de virus,
malware y spyware/grayware, sucesos y actualizaciones. Puede utilizar estos registros
para valorar las políticas de protección de la organización, identificar los clientes que
tienen un mayor riesgo de infección y comprobar que las actualizaciones se han
implementado correctamente.
Nota
Utilice aplicaciones de hoja de cálculo, como Microsoft Excel, para ver los archivos de
registro CSV.
WFBS mantiene registros de las siguientes categorías:
•
Registros de sucesos de la consola Web
•
Registros de equipos de sobremesa/servidores
•
Registros de servidor Microsoft Exchange Server (Advanced solo)
TABLA 12-1. Tipo de registro y contenido
TIPO (ENTIDAD QUE GENERÓ
LA ENTRADA DE REGISTRO)
Sucesos de la consola de
administración
12-2
CONTENIDO (TIPO DE REGISTRO DEL QUE SE OBTIENE EL
CONTENIDO)
•
Exploración manual (iniciada desde la consola Web)
•
Actualización (actualizaciones de Security Server)
•
Sucesos de defensa frente a epidemias
•
Sucesos de la consola
Equipo de sobremesa o
servidor
CONTENIDO)
•
•
Registros de virus
•
Exploración manual
•
•
•
Limpieza
Registros de spyware y grayware
•
Exploración manual
•
•
•
Registros de reputación Web
•
Registros del filtrado de URL
•
Registros de supervisión de comportamiento
•
Registros de actualización
•
Registros de virus de red
•
Registros de defensa frente a epidemias
•
Registros de sucesos
•
Registros de control de dispositivos
•
Registros de implementación de archivos de
corrección (Hotfix)
12-3
Servidor Exchange
(Advanced solo)
CONTENIDO)
•
Registros de virus
•
Registros de bloqueo de archivos adjuntos
•
Filtrado de contenido / Registros de prevención de
pérdida de datos
•
Registros de actualización
•
Registros de copia de seguridad
•
Registros de archivado
•
Registros de defensa frente a epidemias
•
Registros de sucesos de exploración
•
Registros de partes de mensajes que no se pueden
explorar
•
Registros de reputación Web
•
Registros de sucesos móviles
Utilizar la consulta al registro
Realice consultas de registro para recopilar información de la base de datos de registro.
Puede utilizar la pantalla Consulta al registro para diseñar y efectuar sus consultas. Los
resultados se pueden exportar a un archivo CSV e imprimir.
Un Messaging Security Agent (Advanced solo) envía sus registros al Security Server cada
cinco minutos (independientemente de cuándo se genere el registro).
Procedimiento
1.
Acceda a Informes > Consulta al registro.
2.
Actualice las siguientes opciones si es necesario:
•
Intervalo de tiempo
•
12-4
Intervalo predefinido
•
•
•
Intervalo especificado: Para limitar la consulta a unas fechas
determinadas.
Tipo: consulte Registros en la página 12-2 para ver el contenido de cada tipo de
registro.
•
Sucesos de la consola de administración
•
Equipo de sobremesa o servidor
•
Exchange Server (Advanced solo)
Contenido: Las opciones disponibles dependen del tipo de registro.
3.
Haga clic en Mostrar registros.
4.
Para guardar el registro como un archivo de datos de valores separados por comas
(CSV), haga clic en Exportar. Utilice aplicaciones de hoja de cálculo para ver los
archivos CSV.
Informes
Puede generar informes puntuales manualmente o bien configurar el Security Server
para que genere informes programados.
Estos informes se pueden imprimir o enviar por correo electrónico a un administrador o
a otras personas.
Los datos disponibles en un informe dependen de la cantidad de registros que estén
disponibles en el Security Server en el momento de generar el informe. La cantidad de
registros cambia a medida que se agregan registros nuevos o se eliminan otros existentes.
En Informes > Mantenimiento, puede eliminar manualmente los registros o
configurar una programación de eliminación de registros.
12-5
Uso de informes puntuales
Procedimiento
1.
Acceda a Informes > Informes puntuales.
2.
TAREA
Generar un
informe
PASOS
a.
b.
c.
12-6
Configure la siguiente información:
•
Nombre del informe
•
Intervalo de tiempo: Limita el informe a ciertas
fechas.
•
Contenido: Para seleccionar todas las amenazas,
active la casilla de verificación Seleccionar todo.
Para seleccionar amenazas individuales, haga clic en
la casilla de verificación correspondiente. Haga clic en
el icono de signo más (+) para expandir la selección.
•
Enviar el informe a
•
Destinatarios: escriba las direcciones de correo
electrónico de los destinatarios, separándolas con
punto y coma (;).
•
Formato: elija PDF o un enlace a un informe
HTML. Si elige PDF, el archivo PDF se adjuntará
al correo electrónico.
TAREA
Ver el informe
PASOS
En la columna Nombre del informe, haga clic en los enlaces del
informe. El primer enlace abre un informe en PDF, mientras
que el segundo abre un informe en formato HTML.
Los datos disponibles en un informe dependen de la cantidad
de registros que estén disponibles en el Security Server en el
momento de generar el informe. La cantidad de registros
cambia a medida que se agregan registros nuevos o se
eliminan otros existentes. En Informes > Mantenimiento,
puede eliminar manualmente los registros o configurar una
programación de eliminación de registros.
Para obtener información detallada acerca del contenido del
informe, consulte Interpretar informes en la página 12-12.
Eliminar informes
a.
Seleccione la fila que contiene los enlaces a los informes.
b.
Nota
Para eliminar automáticamente los informes, vaya a
Informes > Mantenimiento > Informes (pestaña) y
establezca el número máximo de informes puntuales que
WFBS debe conservar. El valor predeterminado es 10
informes puntuales. Cuando se supera este número, el
Security Server elimina informes empezando por el más
antiguo.
Trabajar con informes programados
Procedimiento
1.
Acceda a Informes > Informes programados.
2.
12-7
TAREA
Crear una plantilla
de informe
programado
PASOS
a.
b.
Configure la siguiente información:
•
Nombre de la plantilla del informe
•
Programa: el informe puede ser diario, semanal o
mensual. Hay que especificar la hora a la que se
debe generar el informe.
Para los informes mensuales, si selecciona los días
29, 30 o 31 y el mes tiene una cantidad de días
inferior, WFBS no generará ningún informe ese mes.
c.
12-8
•
Contenido: Para seleccionar todas las amenazas,
active la casilla de verificación Seleccionar todo.
Para seleccionar amenazas individuales, haga clic
en la casilla de verificación correspondiente. Haga
clic en el icono de signo más (+) para expandir la
selección.
•
Enviar el informe a
•
Destinatarios: escriba las direcciones de correo
electrónico de los destinatarios, separándolas
con punto y coma (;).
•
Formato: elija PDF o un enlace a un informe
HTML. Si elige PDF, el archivo PDF se
adjuntará al correo electrónico.
TAREA
Ver informes
programados
PASOS
a.
En la fila que contiene la plantilla desde la que se
generan los informes programados, haga clic en
Historial de informes.
b.
En la columna Mostrar, haga clic en los enlaces del
informe. El primer enlace abre un informe en PDF,
mientras que el segundo abre un informe en formato
HTML.
Los datos disponibles en un informe dependen de la cantidad
de registros que estén disponibles en el Security Server en el
momento de generar el informe. La cantidad de registros
cambia a medida que se agregan registros nuevos o se
eliminan otros existentes. En Informes > Mantenimiento,
puede eliminar manualmente los registros o configurar una
programación de eliminación de registros.
Para obtener información detallada acerca del contenido del
informe, consulte Interpretar informes en la página 12-12.
Tareas de mantenimiento de las plantillas
Editar la
configuración de
una plantilla
Haga clic en la plantilla y edite la configuración en la nueva
pantalla que aparece.
Activar/desactivar
una plantilla
Los informes generados después de guardar los cambios
usarán la nueva configuración.
Desactive una plantilla si desea interrumpir temporalmente la
generación de informes programados. Por el contrario, si
necesita generar informes de nuevo, actívela.
12-9
TAREA
Eliminar una
plantilla
PASOS
Seleccione una plantilla y haga clic en Eliminar.
Al eliminar una plantilla, no se eliminan los informes
programados que se hayan generado a partir de ella, pero los
enlaces a los informes ya no estarán disponibles desde la
consola Web. Puede acceder a los informes directamente
desde el equipo del Security Server. Los informes solo se
eliminarán si se borran manualmente del equipo o si el
Security Server elimina automáticamente los informes en
virtud de una configuración de eliminación automática de
informes que se haya programado en Informes >
Mantenimiento > pestaña Informes.
Para eliminar automáticamente las plantillas, vaya a
establezca el número máximo de plantillas que debe
conservar WFBS. El valor predeterminado es 10 plantillas.
Cuando se supera este número, Security Server elimina
plantillas empezando por la más antigua.
Tareas de mantenimiento de informes
12-10
TAREA
Enviar un enlace
de los informes
programados
PASOS
Se puede enviar un enlace de los informes programados a
través del correo electrónico (en formato PDF). Los
destinatarios hacen clic en el enlace del mensaje de correo
electrónico para acceder al archivo PDF. Asegúrese de que
los destinatarios puedan conectarse al equipo del Security
Server; de lo contrario, el archivo no se mostrará.
Nota
En el correo electrónico solo se proporciona un enlace
al archivo PDF. El PDF real no se adjunta.
a.
b.
Seleccione los informes y haga clic en Enviar.
Se abre el cliente de correo electrónico predeterminado y
se muestra un mensaje nuevo que contiene un enlace al
informe.
12-11
TAREA
Eliminar informes
programados
PASOS
a.
b.
Seleccione los informes y haga clic en Eliminar.
Nota
Para eliminar automáticamente los informes, vaya a
establezca el número máximo de informes
programados que WFBS debe conservar en cada
plantilla. El valor predeterminado es 10 informes
programados. Cuando se supera este número, el
Security Server elimina informes empezando por el
más antiguo.
Interpretar informes
Los informes de Worry-Free Business Security contienen la siguiente información: La
información mostrada puede variar en función de las opciones seleccionadas.
12-12
TABLA 12-2. Contenido de un informe
ELEMENTO
Antivirus
DESCRIPCIÓN
Resumen de virus de equipos de sobremesa/servidores
Los informes de virus muestran información detallada sobre la
cantidad y los tipos de virus/malware que ha detectado el motor
de exploración y las acciones realizadas. El informe también
contiene los nombres de los virus/malware más frecuentes. Haga
clic en los nombres de los virus/malware para abrir una nueva
página del explorador Web y acceder a la Enciclopedia de virus
de Trend Micro para conocer más información sobre ese virus/
malware.
Los 5 equipos de sobremesa/servidores con más
detecciones de virus
Muestra los cinco equipos de sobremesa o servidores que
presentan más detecciones de virus/malware. Si observa
frecuentes incidentes de virus/malware en el mismo cliente, esto
puede representar un elevado riesgo de seguridad al que se le
deberá prestar especial atención.
Historial de defensa
frente a epidemias
Historial de defensa frente a epidemias
Muestra las epidemias recientes, su gravedad e identifica los
spyware/grayware que las provocaron y cómo se introdujeron
(mediante correo electrónico o un archivo).
12-13
ELEMENTO
Antispyware
DESCRIPCIÓN
Resumen de spyware/grayware de equipos de sobremesa/
servidores
El informe de spyware/grayware contiene información detallada
sobre las amenazas de spyware/grayware detectadas en los
clientes, incluidos el número de detecciones y las acciones que
WFBS ha emprendido contra ellos. Dicho informe incluye un
gráfico de sectores que muestra el porcentaje correspondiente a
cada acción de exploración antispyware que se ha llevado a
cabo.
Los 5 equipos de sobremesa/servidores con más
detecciones de spyware/grayware
El informe también indica las cinco amenazas de spyware/
grayware más detectadas y los cinco equipos de sobremesa/
servidores con el mayor número de detecciones de spyware/
grayware. Si desea saber más acerca de las amenazas de
spyware/grayware detectadas, haga clic en los distintos nombres
de spyware/grayware. Se abrirá una nueva página del explorador
Web que mostrará la información relacionada con el spyware/
grayware en el sitio web de Trend Micro.
Resumen de
antispam
(Advanced solo)
Resumen de spam
Reputación Web
Los 10 equipos que más infringen las políticas de reputación
Web
Categoría de URL
Las 5 políticas de categoría de URL más infringidas
Los informes de antispam contienen información sobre el número
de spam y phish detectado en todos los mensajes explorados.
Muestra también los falsos positivos.
Muestra las categorías de sitio Web a las que se accede con más
frecuencia que han infringido las políticas.
Los 10 equipos que más infringen las políticas de categoría
de URL
12-14
ELEMENTO
Supervisión del
comportamiento
DESCRIPCIÓN
Los 5 programas que más infringen las políticas de
supervisión de comportamiento
Los 10 equipos que más infringen las políticas de
supervisión de comportamiento
Control del
dispositivo
Los 10 equipos que más infringen las políticas de control de
dispositivos
Resumen del
filtrado de contenido
(Advanced solo)
Resumen del filtrado de contenido
Los informes de filtrado de contenido contienen información sobre
el número de mensajes que ha filtrado Messaging Security Agent.
Las 10 reglas de filtrado de contenido más infringidas
Una lista de las diez reglas de filtrado de contenido que más se
han infringido. Use este informe para ajustar con mayor precisión
las reglas de filtrado.
Virus de red
Los 10 virus de red más detectados
Indica los diez virus de red más detectados por el controlador del
cortafuegos habitual.
Haga clic en los nombres de los virus para abrir una nueva
página del explorador Web e ir a la Enciclopedia de virus de
Trend Micro para conocer más información sobre ese virus.
Los 10 equipos más atacados
Muestra los equipos de la red que han sufrido más incidentes de
virus.
Realizar tareas de mantenimiento para
informes y registros
Procedimiento
1.
Desplácese a Informes > Mantenimiento.
12-15
2.
3.
12-16
TAREA
PASOS
Definir el número
máximo de informes
y plantillas
Puede limitar el número de informes puntuales, informes
programados (por plantilla) y plantillas disponibles en el
Security Server. Cuando se supera este número, el Security
Server elimina informes o plantillas empezando por el más
antiguo.
a.
Haga clic en la pestaña Informes.
b.
Escriba el número máximo de informes puntuales,
informes programados y plantillas de informe que se
deben conservar.
Configurar la
eliminación
automática de
registros
a.
Haga clic en Eliminación automática de registros.
b.
Seleccione los tipos de registro y especifique la
máxima antigüedad que puede tener un registro. Los
registros cuya antigüedad sea mayor, se eliminarán.
Eliminar registros
manualmente
a.
Haga clic en Eliminación automática de registros.
b.
Para cada tipo de registro, especifique la antigüedad
máxima de los registros. Los registros cuya antigüedad
sea mayor, se eliminarán. Para eliminar todos los
registros, escriba 0.
c.
Capítulo 13
Realizar tareas administrativas
En este capítulo se explica cómo se realizan tareas de administración adicionales, por
ejemplo, ver la licencia del producto, trabajar con Plug-in Manager o desinstalar el
Security Server.
13-1
Cambiar la contraseña de la consola Web
Trend Micro recomienda utilizar contraseñas seguras para la consola Web. Una
contraseña segura debe tener como mínimo ocho caracteres de longitud, algunas letras
en mayúsculas (A – Z), algunas letras en minúsculas (a – z), algún número (0-9) y
caracteres especiales o signos de puntuación (!@#$%^&,.:;?). Una contraseña segura
nunca debe ser igual al nombre de inicio de sesión del usuario ni contenerlo dentro de la
contraseña. No deben contener el apellido del usuario, las fechas de nacimiento ni otra
información fácilmente relacionada con el usuario.
Procedimiento
1.
Acceda a Preferencias > Contraseña.
2.
Actualice las siguientes opciones si es necesario:
3.
•
Contraseña anterior
•
Contraseña nueva
•
Confirmar contraseña: Vuelva a escribir la contraseña nueva para
confirmarla.
Trabajar con Plug-in Manager
Plug-in Manager muestra los programas tanto para el Security Server como para los
agentes en la consola Web en cuanto están disponibles. Una vez disponibles, puede
instalarlos y administrarlos desde la consola Web, e incluso implementar los programas
de complementos de cliente en los agentes. Descargue e instale el Plug-in Manager desde
Preferencias > Complementos. Después de la instalación, podrá buscar los programas
de complementos disponibles. Consulte la documentación de Plug-in Manager y los
programas de complementos para obtener más información.
13-2
Gestionar la licencia del producto
En la pantalla Licencia del producto puede renovar, actualizar o ver los detalles de la
licencia del producto.
La pantalla Licencia del producto muestra los detalles de la licencia. En función de las
opciones que haya elegido durante la instalación, tendrá una versión con licencia o una
versión de evaluación. En ambos casos, la licencia le otorga derecho a un contrato de
mantenimiento. Cuando dicho contrato de mantenimiento caduca, los clientes de la red
tendrán protección muy limitada. Utilice la pantalla Licencia del producto para
determinar cuándo expirará la licencia y asegurarse de que la renovará antes de que
caduque.
Nota
Es posible que las licencias de los distintos componentes de los productos de Trend Micro
varíen según la región. Una vez finalizada la instalación, verá un resumen de los
componentes a los que concede derecho su clave de registro/código de activación. Póngase
en contacto con su proveedor o distribuidor para comprobar los componentes para los que
ha recibido la licencia.
Renovación de licencia
Puede renovar la versión de licencia completa de WFBS o realizar la actualización a ella
mediante el pago de la cuota de renovación de mantenimiento. Para la versión con
licencia completa se requiere un código de activación.
La licencia de un producto se puede renovar de dos formas:
•
En la consola Web, acceda a la pantalla Estado de actividad y siga las instrucciones
que aparezcan en ella. Estas instrucciones aparecen 60 días antes y 30 días después
de que caduque la licencia.
•
Póngase en contacto con su representante de ventas o distribuidor de Trend Micro
para renovar el contrato de licencia.
Los distribuidores pueden dejar su información de contacto en un archivo en el
Security Server. Compruebe el archivo en:
{Carpeta de instalación de Security Server}\PCCSRV\Private
\contact_info.ini
13-3
Nota
Por lo general, {Carpeta de instalación de Security Server} se
encuentra en C:\Archivos de programa\Trend Micro\Security Server.
Un representante de Trend Micro actualizará su información de registro mediante
el registro de productos de Trend Micro.
Security Server sondea el servidor de registro de productos y recibe la nueva fecha
de caducidad directamente del servidor de registro de productos. Al renovar la
licencia no tendrá que introducir manualmente el nuevo código de activación.
Activar una licencia nueva
El tipo de licencia determina el código de activación de Worry-Free Business Security.
TABLA 13-1. Código de activación según el tipo de licencia
TIPO DE LICENCIA
CÓDIGO DE ACTIVACIÓN
Versión de licencia completa de
WFBS (edición Standard)
CS-xxxx-xxxxx-xxxxx-xxxxx-xxxxx
Versión de licencia completa de
WFBS (edición Advanced)
CM-xxxx-xxxxx-xxxxx-xxxxx-xxxxx
Nota
Si tiene alguna pregunta sobre el código de activación, consulte el sitio Web de soporte de
Trend Micro en la siguiente dirección:
http://esupport.trendmicro.com/support/viewxml.do?ContentID=en-116326
Use la pantalla Licencia del producto para cambiar el tipo de licencia escribiendo un
nuevo código de activación.
1.
Desplácese a Preferencias > Licencia del producto.
2.
Haga clic en Escribir un código nuevo.
3.
Escriba el nuevo código de activación en el campo correspondiente.
13-4
4.
Haga clic en Activar.
Participar en el programa Smart Feedback
Para obtener información detallada acerca del Feedback Inteligente, consulte Comentarios
inteligentes en la página 1-7.
Procedimiento
1.
Acceda a Preferencias > Smart Protection Network.
2.
Haga clic en Activar la función Comentarios inteligentes de Trend Micro.
3.
Para enviar información sobre posibles amenazas de seguridad en los archivos de
sus equipos cliente, active la casilla de verificación Activar comentarios sobre
archivos de programas sospechosos.
Nota
Los archivos enviados a Feedback Inteligente no contienen datos de los usuarios y se
envían sólo para el análisis de amenazas.
4.
Para ayudar a Trend Micro a entender su organización, seleccione el tipo Sector.
5.
Cambiar el idioma de la interfaz del agente
De forma predeterminada, el idioma utilizado en la interfaz del agente se corresponderá
con la configuración regional definida en el sistema operativo del cliente. Los usuarios
pueden cambiar el idioma desde la interfaz del agente.
13-5
Guardar y restaurar la configuración del
programa
Puede guardar una copia de la base de datos del Security Server y los archivos de
configuración importantes para recuperar el Security Server. Esta acción puede resultar
necesaria si tiene problemas y desea reinstalar el Security Server o si desea recuperar una
configuración anterior.
Procedimiento
1.
Detenga el servicio maestro de Trend Micro Security Server.
2.
Copie manualmente los siguientes archivos y carpetas desde la carpeta a una
ubicación alternativa:
¡ADVERTENCIA!
no utilice ninguna herramienta o aplicación de copia de seguridad para esta tarea.
C:\Archivos de programa\Trend Micro\Security Server\PCCSRV
•
13-6
ofcscan.ini:contiene la configuración general.
•
ous.ini: Contiene la tabla de orígenes de actualización para la
implementación de componentes antivirus.
•
Carpeta Private: Contiene la configuración de cortafuegos y de origen de
actualización.
•
Carpeta Web\TmOPP: Configuración de la defensa frente a epidemias.
•
Pccnt\Common\OfcPfw.dat: Contiene la configuración del cortafuegos.
•
Download\OfcPfw.dat: Contiene la configuración de implementación del
cortafuegos.
•
Carpeta Log: Contiene el registro de sucesos del sistema y de Comprobar
conexión.
•
Carpeta Virus: carpeta en la que WFBS pone en cuarentena los archivos
infectados.
•
Carpeta HTTDB: contiene la base de datos de WFBS.
3.
Desinstalar el Security Server. Consulte el apartado Desinstalar Security Server en la
página 13-8.
4.
Realice una instalación nueva. Consulte el Manual de instalación y actualización de
WFBS.
5.
Cuando finalice el instalador maestro, detenga el servicio maestro de Trend Micro
Security Server en el equipo de destino.
6.
Actualice la versión del patrón de virus desde el archivo de copia de seguridad:
a.
Obtenga la versión actual del patrón de virus del nuevo servidor.
\Trend Micro\Security Server\PCCSRV\Private
\component.ini. [6101]
ComponentName=Virus pattern
Version=xxxxxx 0 0
b.
Actualice la versión del archivo de patrones de virus en el archivo copiado:
\Private\component.ini
13-7
Nota
Si cambia la ruta de instalación del Security Server, tendrá que actualizar la
información de la ruta en los archivos de copia de seguridad ofcscan.ini y
\private\ofcserver.ini.
7.
Con las copias de seguridad que ha creado, sobrescriba la base de datos de WFBS y
los archivos y carpetas relevantes en la carpeta PCCSRV del equipo de destino.
8.
Reinicie el servicio maestro de Trend Micro Security Server.
Desinstalar Security Server
Si desinstala el Security Server también se desinstalará el servidor de exploración.
Worry-Free Business Security utiliza un programa de desinstalación para eliminar de
forma segura Trend Micro Security Server del equipo. Elimine el agente de todos los
clientes antes de eliminar Security Server.
La desinstalación de Trend Micro Security Server no desinstala los agentes. Antes de
desinstalar Trend Micro Security Server, los administradores deben desinstalar o mover
todos los agentes a otro Security Server. Consulte el apartado Eliminar agentes en la página
3-42.
Procedimiento
1.
En el equipo que ha utilizado para instalar el servidor, haga clic en Inicio > Panel
de control > Agregar o quitar programas.
2.
Haga clic en Trend Micro Security Server y, a continuación, seleccione
Cambiar/Quitar.
Aparecerá una pantalla de confirmación.
3.
El Desinstalador maestro, el programa de desinstalación del servidor, le solicitará la
contraseña de administrador.
13-8
4.
Escriba la contraseña de administrador en el cuadro de texto y haga clic en
Aceptar.
El programa Desinstalador maestro empezará a eliminar los archivos del servidor.
Cuando Security Server se ha desinstalado aparece un mensaje de confirmación.
5.
Haga clic en Aceptar para cerrar el programa de desinstalación.
13-9
Capítulo 14
Usar las herramientas de gestión
En este capítulo se explica cómo utilizar las herramientas administrativas y de cliente y
los complementos.
14-1
Tipos de herramientas
Worry-Free Business Security incluye un conjunto de herramientas que pueden ayudarle
a realizar con facilidad varias tareas, incluidas la configuración del servidor y la
administración de los clientes.
Nota
Las herramientas administrativas y de cliente no se puede ejecutar desde la consola Web.
Los complementos se pueden descargar desde la consola Web.
Si desea conocer instrucciones para utilizar las herramientas, consulte los apartados
correspondientes más abajo.
Estas herramientas se clasifican en tres categorías:
•
•
14-2
Herramientas administrativas
•
Configuración de inicio de sesión (SetupUsr.exe): Automatiza la
instalación del agente de seguridad. Consulte el apartado Instalar con
Configuración de secuencia de comandos de inicio de sesión en la página 3-13.
•
Vulnerability Scanner (TMVS.exe): detecta los equipos sin protección de la
red. Consulte el apartado Instalar con Vulnerability Scanner en la página 3-23.
•
Remote Manager Agent: habilita a los distribuidores para administrar WFBS
a través de una consola Web centralizada. Consulte el apartado Instalar el Trend
Micro Worry-Free Remote Manager Agent en la página 14-4.
•
Trend Micro Disk Cleaner: elimina los archivos innecesarios de copia de
seguridad de WFBS, los archivos de registro y los archivos de patrón sin usar.
Consulte el apartado Ahorrar espacio en disco en la página 14-6.
•
Scan Server Database Mover: desplaza la base de datos del servidor de
exploración de forma segura a otra unidad de disco. Consulte el apartado
Desplazamiento de la base de datos de Scan Server en la página 14-9.
Herramientas de cliente
•
•
Client Packager (ClnPack.exe): crea un archivo autoextraíble que
contiene el programa agente de seguridad y sus componentes. Consulte el
apartado Instalar con Client Packager en la página 3-15.
•
Restaurar spyware y virus cifrados (VSEncode.exe): abre los archivos
infectados que cifró WFBS. Consulte el apartado Restaurar archivos cifrados en la
página 14-9.
•
Herramienta Client Mover (IpXfer.exe): transfiere un agente desde un
Security Server a otro. Consulte el apartado Mover agentes en la página 4-12.
•
Regenerar ClientID de Security Agent (regenid.exe): use la utilidad
ReGenID para regenerar el identificador ClientID del Security Agent, en
función de si el agente está en un equipo clonado o una máquina virtual.
Consulte el apartado Utilizar la herramienta ReGenID en la página 14-14.
•
Desinstalación del Security Agent (SA_Uninstall.exe): quita
automáticamente todos los componentes del agente de seguridad del equipo
cliente. Consulte el apartado Usar la herramienta de desinstalación de SA en la
página 3-46.
Complementos: permiten que los administradores vean información sobre el
sistema y la seguridad en directo desde las consolas de los sistemas operativos
Windows compatibles. Se trata de la misma información de nivel elevado visible en
la pantalla Estado de actividad. Consulte el apartado Gestionar los complementos de SBS
y EBS en la página 14-15.
Nota
Algunas herramientas de versiones anteriores de WFBS no están disponibles en esta
versión. Si necesita estas herramientas, póngase en contacto con la asistencia técnica de
Trend Micro.
14-3
Instalar el Trend Micro Worry-Free Remote
Manager Agent
Worry-Free Remote Manager Agent permite a los distribuidores administrar WFBS con
Worry-Free Remote Manager (WFRM). WFRM Agent (versión 3.0) se instala en
Security Server 8.0.
Si es socio certificado de Trend Micro, puede instalar el agente de Trend Micro WorryFree Remote Manager (WFRM). Si opta por no instalar WFRM Agent una vez finalizada
la instalación de Security Server, puede hacerlo más tarde.
Requisitos de la instalación:
•
GUID de WFRM Agent
Para obtener el GUID, abra la consola de WFRM y acceda a Clientes (pestaña) >
Todos los clientes (en el árbol) > {cliente} > WFBS/CSM > Detalles del
servidor/agente (panel derecho) > Detalles de WFRM Agent
•
Una conexión a Internet activa
•
50 MB de espacio libre en disco
Procedimiento
1.
Diríjase al servidor de seguridad y desplácese hasta la siguiente carpeta de
instalación: PCCSRV\Admin\Utility\RmAgent e inicie la aplicación
WFRMAgentforWFBS.exe.
Por ejemplo: C:\Archivos de programa\Trend Micro\Security
Server\PCCSRV\Admin\Utility\RmAgent\WFRMAgentforWFBS.exe
Nota
Omita este paso si está realizando la instalación desde la pantalla de instalación del
Security Server.
2.
14-4
En el Asistente de instalación de Worry-Free Remote Manager Agent, lea el
acuerdo de licencia. Si acepta los términos del contrato, seleccione Acepto los
términos del contrato de licencia y haga clic en Siguiente.
3.
Haga clic en Sí para confirmar que usted es un socio con certificación.
4.
Seleccione Ya tengo una cuenta de Worry-Free Remote Manager y deseo
instalar el agente. Haga clic en Siguiente.
5.
Determine su situación.
Escenario
Pasos
Cliente nuevo
a.
Seleccione Asociar a un nuevo cliente.
b.
Haga clic en Siguiente. Introduzca la información del
cliente.
Nota
Si el cliente ya existe en la consola de WFRM y utiliza la
opción anterior para asociar a un nuevo cliente, aparecerán
dos clientes con el mismo nombre en el árbol de red de
WFRM. Para que esto no ocurra, utilice el siguiente
método.
Cliente
existente
a.
Seleccione Este producto ya existe en Remote Manager.
Nota
WFBS ya debe haberse agregado a la consola de WFRM.
Consulte la documentación de WFRM para conocer más
instrucciones.
b.
Escriba el GUID.
6.
7.
Seleccione la Región y el Protocolo, y escriba la información del proxy, si es
necesario.
8.
Aparecerá la pantalla Ubicación de la instalación.
9.
Para utilizar la ubicación predeterminada, haga clic en Siguiente.
14-5
Si la instalación se lleva a cabo con éxito y la configuración es correcta, el agente
WFRM debería registrarse automáticamente en el servidor de Worry-Free Remote
Manager. El agente debe mostrarse con el estado En línea en la consola de WFRM.
Ahorrar espacio en disco
Ahorre espacio en disco en el Security Server y en los clientes ejecutando la herramienta
Disk Cleaner.
Ejecutar Disk Cleaner en el Security Server
Antes de empezar
Para ahorrar espacio en disco, la herramienta Disk Cleaner (TMDiskCleaner.exe)
identifica y elimina los archivos de copia de seguridad, registro y patrones no utilizados
de los siguientes directorios:
•
{Security Agent}\AU_Data\AU_Temp\*
•
{Security Agent}\Reserve
•
{Security Server}\PCCSRV\TEMP\* (excepto archivos ocultos)
•
{Security Server}\PCCSRV\Web\Service\AU_Data\AU_Temp\*
•
{Security Server}\PCCSRV\wss\*.log
•
{Security Server}\PCCSRV\wss\AU_Data\AU_Temp\*
•
{Security Server}\PCCSRV\Backup\*
•
{Security Server}\PCCSRV\Virus\* (elimina archivos en
cuarentena que tengan más de dos semanas de antigüedad,
excepto el archivo NOTVIRUS)
•
{Security Server}\PCCSRV\ssaptpn.xxx (mantiene solo el
último patrón)
14-6
•
{Security Server}\PCCSRV\lpt$vpn.xxx (mantiene solo los
tres últimos patrones)
•
{Security Server}\PCCSRV\icrc$oth.xxx (mantiene solo los
tres últimos patrones)
•
{Security Server}\DBBackup\* (mantiene solo las dos últimas
subcarpetas)
•
{Messaging Security Agent}\AU_Data\AU_Temp\*
•
{Messaging Security Agent}\Debug\*
•
{Messaging Security Agent}\engine\vsapi\latest\pattern\*
Procedimiento
1.
En Security Server, vaya a este directorio:
{Carpeta de instalación del servidor}\PCCSRV\Admin\Utility\
2.
Haga doble clic en TMDiskCleaner.exe.
Aparece el Disk Cleaner de Trend Micro Worry-Free Business Security.
Nota
Los archivos no se pueden restaurar.
3.
Haga clic en Eliminar archivos para explorar y eliminar los archivos de patrón,
registro y copia de seguridad no utilizados.
Ejecutar Disk Cleaner en el Security Server mediante la
interfaz de línea de comandos
Procedimiento
1.
En el Security Server, abra una ventana de símbolo del sistema.
2.
En el símbolo del sistema, ejecute el siguiente comando:
14-7
TMDiskCleaner.exe [/hide] [/log] [/allowundo]
•
/hide: ejecuta la herramienta como un proceso en segundo plano.
•
/log: guarda un registro de la operación en DiskClean.log que se encuentra
en la carpeta actual.
Nota
/log está disponible solo cuando se usa /hide.
•
/allowundo: mueve los archivos a la Papelera de reciclaje y no los elimina
de forma permanente.
3.
Para ejecutar la herramienta Disk Cleaner de forma frecuente, configure una nueva
tarea usando las tareas programadas de Windows. Consulte la documentación de
Windows para obtener más información.
Ahorrar espacio de disco en los clientes
Procedimiento
•
•
14-8
En los equipos de sobremesa o en los servidores con Security Agents:
•
Limpie los archivos en cuarentena.
•
Limpie los archivos de registro.
•
Ejecute la utilidad de Liberador de espacio en disco de Windows
En los servidores Microsoft Exchange con Messaging Security Agents:
•
Limpie los archivos en cuarentena.
•
Limpie los archivos de registro.
•
Ejecute la utilidad de Liberador de espacio en disco de Windows
•
Limpie los registros de archivo.
•
Limpie los archivos de copia de seguridad.
•
Compruebe el tamaño de los registros de transacciones o de la base de datos
de Microsoft Exchange.
Desplazamiento de la base de datos de Scan
Server
Si la unidad de disco en la que está instalado Scan Server no tiene suficiente espacio,
utilice la herramienta Scan Server Database Mover Tool para mover la base de datos de
Scan Server de forma segura a otra unidad de disco.
Asegúrese de que el equipo con Security Server disponga de más de una unidad de disco
y de que la nueva unidad de disco tenga 3 GB de espacio disponible como mínimo. No
se aceptarán las unidades asignadas. No mueva la base de datos manualmente ni utilice
otras herramientas.
Procedimiento
1.
En el equipo con Security Server, vaya a <carpeta de instalación de
Security Server>\PCCSRV\Admin\Utility.
2.
Inicie ScanServerDBMover.exe.
3.
Haga clic en Cambiar.
4.
Haga clic en Examinar y, a continuación, vaya al directorio de destino en la otra
unidad de disco.
5.
Haga clic en Aceptar y, a continuación, en Completar cuando se haya movido la
base de datos.
Restaurar archivos cifrados
Para evitar que se abra un archivo infectado, Worry-Free Business Security lo cifra en las
siguientes circunstancias:
14-9
•
Antes de ponerlo en cuarentena
•
Al realizar una copia de seguridad de él anterior a su limpieza
WFBS proporciona una herramienta que descifra y restaura el archivo si es necesario
recuperar la información que contiene. WFBS puede descifrar y restaurar los siguientes
archivos:
TABLA 14-1. Archivos que WFBS puede descifrar y restaurar
ARCHIVO
Archivos en
cuarentena en el
cliente
DESCRIPCIÓN
Estos archivos se encuentran en los siguientes directorios:
•
<Carpeta de instalación del Security Agent>
\SUSPECT\Backup
o <Carpeta de instalación del Security Agent>
\quarantine, según lo que esté disponible.
•
<Carpeta de instalación del Messaging Security
Agent>\storage\quarantine
Estos archivos se cargan en el directorio de cuarentena
designado, que suele ser un directorio en el Security Server.
Archivos en
cuarentena del
directorio de
cuarentena designado
De forma predeterminada, este directorio se encuentra en el
equipo del Security Server (<Carpeta de instalación del
Security Server>\PCCSRV\Virus). Para cambiar el
directorio, acceda a Preferencias > Configuración general >
pestaña Sistema y acceda a la sección Mantenimiento de la
cuarentena.
Copias de seguridad
de los archivos
cifrados
Estas son las copias de seguridad de los archivos infectados
que los agentes han podido limpiar. Estos archivos se
encuentran en las siguientes carpetas:
•
<Carpeta de instalación del Security Agent>
\Backup
•
<Carpeta de instalación del Messaging Security
Agent>\storage\backup
Para restaurar estos archivos, es necesario que los usuarios
los muevan al directorio de cuarentena en el cliente.
14-10
¡ADVERTENCIA!
Si se restaura un archivo infectado, el virus o malware podría propagarse a otros archivos y
clientes. Antes de restaurar el archivo, aísle el cliente infectado y mueva los archivos
importantes de este cliente a una ubicación de copia de seguridad.
Descifrar y restaurar archivos en el Security Agent
Procedimiento
1.
Abra el símbolo del sistema y vaya a la <Carpeta de instalación del
Security Agent>.
2.
Ejecute el archivo VSEncode.exe escribiendo lo siguiente:
VSEncode.exe /u
Este parámetro hace que se abra una pantalla en la que aparece una lista de los
archivos que se encuentran en <Carpeta de instalación del Security
Agent>\SUSPECT\Backup.
Los administradores pueden restaurar archivos clasificados como spyware o
grayware desde la pestaña Spyware/grayware. Esta pantalla muestra una lista de los
archivos que se encuentran en: <Carpeta de instalación de Security
Agent>\BackupAS.
3.
Seleccione un archivo para restaurar y haga clic en Restaurar. La herramienta sólo
puede restaurar los archivos de uno en uno.
4.
En la pantalla que se abre, especifique la carpeta en la que desea restaurar el
archivo.
5.
Haga clic en Aceptar. El archivo se restaurará en la carpeta especificada.
Nota
Es posible que en cuanto el archivo se restaure, el agente lo explore de nuevo y lo
trate como si estuviera infectado. Para evitar que esto ocurra, agréguelo a la Lista de
Exclusiones de la exploración. Consulte el apartado Explorar destinos y acciones para los
14-11
6.
Haga clic en Cerrar cuando haya terminado de restaurar los archivos.
Descifrar y restaurar archivos en el Security Server, el
directorio de cuarentena personalizado o el Messaging
Security Agent
Procedimiento
1.
Si el archivo está en el equipo del Security Server, abra el símbolo del sistema y
acceda a <Carpeta de instalación del servidor>\PCCSRV\Admin
\Utility\VSEncrypt.
Si el archivo está en un cliente del Messaging Security Agent o en un directorio de
cuarentena personalizado, acceda a <Carpeta de instalación del
servidor>\PCCSRV\Admin\Utility y copie la carpeta VSEncrypt en el
cliente o en el directorio de cuarentena personalizado.
2.
Cree un archivo de texto y escriba a continuación la ruta completa de los archivos
que desee cifrar o descifrar.
Por ejemplo, para restaurar los archivos de C:\Mis documentos\Informes,
escriba C:\Mis documentos\Informes\*.* en el archivo de texto.
Los archivos en cuarenta del equipo del Security Server se encuentran en
<Carpeta de instalación del servidor>\PCCSRV\Virus.
3.
Guarde el archivo de texto con una extensión INI o TXT. Por ejemplo, guárdelo
con el nombre ParaCifrar.ini en la unidad C: .
4.
Abra el símbolo del sistema y vaya al directorio en el que se encuentra la carpeta
VSEncrypt.
5.
Ejecute el archivo VSEncode.exe escribiendo lo siguiente:
VSEncode.exe /d /i <location of the INI or TXT file>
Donde:
<Ubicación del archivo INI o TXT> es la ruta del archivo INI o TXT que
ha creado (por ejemplo, C:\ForEncryption.ini).
14-12
6.
Utilice los otros parámetros para emitir varios comandos.
TABLA 14-2. Restaurar parámetros
PARÁMETRO
DESCRIPCIÓN
Ninguno (sin
parámetros)
Cifrar archivos
/d
Descifrar archivos
/debug
Cree un registro de depuración y guárdelo en el equipo.
En el cliente, el registro de depuración VSEncrypt.log
se crea en la <Carpeta de instalación del
agente>.
/o
Sobrescribe un archivo cifrado o descifrado si ya existe.
/f <filename>
cifra o descifra un solo archivo.
/nr
No restaura el nombre del archivo original
/v
Muestra información acerca de la herramienta
/u
Inicia la interfaz de usuario de la herramienta
/r <Destination
folder>
La carpeta en la que se restaurará un archivo
/s <Original file
name>
El nombre del archivo cifrado original
Por ejemplo, escriba VSEncode [/d] [/debug] para descifrar los archivos de
la carpeta Suspect y crear un registro de depuración. Cuando se descifra o cifra
un archivo, WFBS crea el archivo descifrado o cifrado en la misma carpeta. Antes
de descifrar o cifrar un archivo, asegúrese de que no está bloqueado.
Restaurar mensajes con formato de transporte por
encapsulación neutral
El formato de transporte por encapsulación neutral (TNEF) es un formato para la
encapsulación de mensajes que utiliza Microsoft Exchange/Outlook. Normalmente este
14-13
formato se envía como archivo adjunto de correo con el nombre Winmail.dat y
Outlook Express lo oculta de forma automática. Consulte http://
support.microsoft.com/kb/241538/es-es.
Si el Messaging Security Agent archiva este tipo de mensaje y la extensión del archivo se
cambia a .EML, Outlook Express mostrará únicamente el cuerpo del mensaje.
Utilizar la herramienta ReGenID
La instalación de cada Security Agent necesita un GUID (identificador exclusivo global)
para que el Security Server pueda identificar a los agentes de forma individual. Los
GUID duplicados se suelen producir en máquinas virtuales o clientes clonados.
Si dos o más agentes indican el mismo GUID, ejecute la herramienta ReGenID para
generar un GUID único para cada cliente.
Procedimiento
1.
En Security Server, vaya a este directorio: <Carpeta de instalación del
servidor>\PCCSRV\Admin\Utility.
2.
Copie WFBS_80_WIN_All_ReGenID.exe en una carpeta temporal en el cliente
donde esté instalado el Security Agent.
Ejemplo: C:\temp
3.
Haga doble clic en WFBS_80_WIN_All_ReGenID.exe.
La herramienta detiene el Security Agent y elimina el GUID del cliente.
4.
Reinicie el Security Agent.
El Security Agent genera un nuevo GUID de cliente.
14-14
Gestionar los complementos de SBS y EBS
Worry-Free Business Security Advanced ofrece complementos que permiten a los
administradores visualizar en vivo información de seguridad y del estado del sistema
desde las consolas de los siguientes sistemas operativos Windows:
•
Windows Small Business Server (SBS) 2008
•
Windows Essential Business Server (EBS) 2008
•
Windows SBS 2011 Standard/Essentials
•
Windows Server 2012 Essentials
Instalar manualmente los complementos de SBS y EBS
Tanto el complemento de SBS como el de EBS se instalan automáticamente al instalar
Security Server en un equipo con Windows SBS 2008, EBS 2008, SBS 2011 Standard/
Essentials o Server 2012 Essentials. Para utilizar el complemento en otro equipo con
estos sistemas operativos, deberá instalarlo manualmente.
Procedimiento
1.
En la consola Web, haga clic en Preferencias > Herramientas de
administración y, a continuación, haga clic en la pestaña Complementos.
2.
Haga clic en el enlace Descargar correspondiente para obtener el archivo de
instalación.
3.
Copie e inicie el archivo de instalación en el equipo de destino.
Usar los complementos de SBS o EBS
Procedimiento
1.
Abra la consola de SBS o EBS.
14-15
2.
14-16
En la pestaña Seguridad, haga clic en Trend Micro Worry-Free Business
Security para ver la información sobre el estado.
Apéndice A
Iconos del Security Agent
En este apéndice se describen los distintos iconos del Security Agent que se muestran en
los clientes.
A-1
Comprobar el estado del Security Agent
En la siguiente imagen se muestra la consola del Security Agent con todos los elementos
actualizados y funcionando correctamente:
En la siguiente tabla se muestran los iconos de la interfaz de usuario principal de la
consola del Security Agent y su significado:
A-2
TABLA A-1. Iconos de la interfaz de usuario principal de la consola del Security Agent
ICONO
ESTADO
EXPLICACIÓN Y ACCIÓN
Protección activada: Está
protegido y su programa está
actualizado
El software está actualizado y se
ejecuta correctamente. No es
necesario realizar ninguna
acción.
Reiniciar el equipo: Reinicie el
equipo para terminar de
solucionar las amenazas de
seguridad
Security Agent ha encontrado
amenazas que no puede
solucionar inmediatamente.
Protección en riesgo: Póngase
en contacto con el administrador
La exploración en tiempo real
está desactivada o la protección
está en riesgo por otro motivo.
Reinicie el equipo para terminar
de solucionar estas amenazas.
Active la Exploración en tiempo
real y, si esto no resuelve el
problema, póngase en contacto
con el servicio de asistencia.
Actualizar ahora: hace (número)
días que no recibe una
actualización.
El patrón de virus tiene más de 3
días.
Actualice el Security Agent de
forma inmediata.
A-3
ICONO
ESTADO
EXPLICACIÓN Y ACCIÓN
Smart Scan no está disponible:
Compruebe su conexión a
Internet
Security Agent no ha tenido
acceso al servidor de exploración
durante más de 15 minutos.
Asegúrese de que dispone de
conexión a la red con el fin de
poder explorar con los patrones
más recientes.
Reiniciar el equipo: Reinicie el
equipo para finalizar de instalar
una actualización
Reinicie el equipo para completar
una actualización.
Actualizando programa: Su
programa de seguridad se está
actualizando
Actualización en curso. No se
desconecte de la red hasta que
haya finalizado.
Ver los iconos del Security Agent en la barra
de tareas de Windows
Los siguientes iconos del Security Agent se mostrarán en la barra de tareas de Windows
del cliente:
ICONO
SIGNIFICADO
El estado es normal.
(En movimiento) Se está ejecutando una Exploración manual o una
Exploración programada. El agente está usando la exploración
convencional o smart scan.
El agente está realizando una actualización.
A-4
ICONO
SIGNIFICADO
Es necesario realizar una acción:
•
La exploración en tiempo real está desactivada.
•
Es necesario reiniciar para limpiar por completo el malware.
•
Es necesario reiniciar debido a la actualización de un motor.
•
La actualización es necesaria.
Nota
Abra la consola principal del agente para ver qué acción
debe realizarse.
Acceder a la ventana emergente de la consola
La ventana emergente de la consola del Security Agent se abrirá al pasar el puntero del
ratón sobre el icono pequeño situado en la parte inferior derecha de la consola del
Security Agent.
A-5
En la siguiente tabla se muestran los iconos de la ventana emergente de la consola y su
significado:
A-6
TABLA A-2. Iconos de la ventana emergente de la consola
CARACTERÍSTICA
Conexión
ICONO
SIGNIFICADO
Conectado con Security Server
No se ha conectado a Security Server,
pero se sigue ejecutando la exploración
en tiempo real. Es posible que el
archivo de patrones no esté actualizado.
Haga clic con el botón derecho en la
barra de tareas de Windows y elija
Actualizar ahora.
Ubicación
En la oficina
Fuera de la oficina
Activado
Desactivado
A-7
CARACTERÍSTICA
Smart Scan
ICONO
SIGNIFICADO
Conectado a Scan Server
Conectado a Trend Micro Smart
Protection Network
No se puede conectar con Scan Server
ni con Smart Protection Network; la
protección se reduce, ya que los
Security Agents no pueden enviar
consultas de exploración.
Nota
Compruebe que
TMiCRCScanService del Smart
Scan Service se esté ejecutando
y que los Security Agents estén
conectados a Security Server.
La Smart Scan está desactivada. Usar
la exploración convencional
A-8
•
Cortafuegos
•
Reputación Web
•
Filtrado de URL
•
Supervisión del
comportamiento
•
Activado
Desactivado
Apéndice B
Compatibilidad con IPv6 en WorryFree Business Security
Es necesario que los usuarios que vayan a implementar Worry-Free Business Security en
un entorno que sea compatible con el direccionamiento IPv6 lean este apéndice. Este
apéndice contiene información acerca de la amplitud de compatibilidad de IPv6 en
Worry-Free Business Security.
Trend Micro asume que el lector está familiarizado con los conceptos de IPv6 y las
tareas que implica la configuración de una red compatible con el direccionamiento IPv6.
B-1
Compatibilidad con IPv6 en Worry-Free
Business Security
IPv6 se puede usar con Worry-Free Business Security a partir de la versión 8.0. Las
versiones anteriores de Worry-Free Business Security no son compatibles con las
direcciones IPv6. La compatibilidad con IPv6 se habilita de forma automática tras la
instalación o la actualización del Security Server, los Security Agents y los Messaging
Security Agents que cumplen los requisitos de IPv6.
Requisitos del Security Server IPv6
Los requisitos de IPv6 para el Security Server son los siguientes:
B-2
•
El servidor debe estar instalado en Windows Server 2008/2012, SBS 2008/2011, 7,
8 o en Vista. No se puede instalar en Windows XP ni Server/SBS 2003, ya que
estos sistemas operativos solo son parcialmente compatibles con las direcciones
IPv6.
•
El servidor debe utilizar un servidor Web IIS. El servidor Web de Apache no es
compatible con las direcciones IPv6.
•
Si el servidor va a administrar agentes IPv4 e IPv6, este debe tener direcciones
tanto IPv4 como IPv6 e identificarse mediante su nombre de host. Si un servidor
se identifica por su dirección IPv4, los agentes que solo usan IPv6 no se podrán
conectar con el servidor. Lo mismo ocurre si los clientes IPv4 se conectan a un
servidor identificado mediante su dirección IPv6.
•
Si el servidor va a administrar solo agentes IPv6, el requisito mínimo es una
dirección IPv6. El servidor se puede identificar mediante su nombre de host o su
dirección IPv6. Cuando el servidor se identifica por su nombre de host, es
preferible utilizar el nombre de dominio completo (FQDN). Esto se debe que, en
un entorno en el que solo se utilice IPv6, un servidor WINS no puede convertir un
nombre de host en la dirección IPv6 correspondiente.
•
Compruebe que la dirección IPv6 o IPv4 del equipo host se puede recuperar
utilizando, por ejemplo, los comandos ping o nslookup.
•
Si instala el Security Server en un equipo que solo utilice IPv6, configure un
servidor proxy de doble pila que pueda convertir las direcciones IPv4 e IPv6 (como
Compatibilidad con IPv6 en Worry-Free Business Security
DeleGate). Coloque el servidor proxy entre el Security Server e Internet de forma
que el servidor se conecte correctamente a los servicios alojados de Trend Micro,
como el servidor ActiveUpdate, el sitio Web de registro en línea y la Smart
Protection Network.
Requisitos del Security Agent
El Security Agent debe estar instalado en:
•
Windows Vista (todas las ediciones)
•
•
•
Windows SBS 2011
•
•
No se puede instalar en Windows Server/SBS 2003 y Windows XP, ya que estos
sistemas operativos solo son parcialmente compatibles con las direcciones IPv6.
Es preferible que el Security Agent tenga direcciones tanto IPv4 como IPv6, ya que
algunas de las entidades a las que se conecta solo son compatibles con las direcciones
IPv4.
Requisitos del Messaging Security Agent
Messaging Security Agent (Advanced solo) debe estar instalado en un servidor de doble
pila o servidor Microsoft Exchange que solo use IPv6.
Es preferible que el Messaging Security Agent tenga direcciones tanto IPv4 como IPv6,
ya que algunas de las entidades a las que se conecta solo son compatibles con las
direcciones IPv4.
B-3
Limitaciones de los servidores que solo utilizan IPv6
En la siguiente tabla se muestran las limitaciones de un Security Server con direcciones
IPv6 únicamente.
TABLA B-1. Limitaciones de los servidores que solo utilizan IPv6
EVENTO
Gestión de
agentes
Actualizaciones y
administración
centralizada
LIMITACIÓN
Un servidor que solo utilice IPv6 no puede:
•
Implementar agentes en clientes que solo usen IPv4.
•
Administrar agentes que solo utilicen IPv4.
Un servidor que solo utilice IPv6 no puede actualizarse desde
fuentes de actualización que solo utilicen IPv4, como:
•
•
Una fuente de actualización personalizada que solo utilice IPv4.
Registro,
activación y
renovación del
producto
Un servidor que solo utilice IPv6 no se puede conectar al servidor de
registro en línea de Trend Micro para registrar el producto, y obtener
y activar o renovar la licencia.
Conexión proxy
Un servidor que solo utilice IPv6 no se puede conectar a través de
un servidor proxy que solo utilice IPv4.
Soluciones de
complemento
Un servidor que solo utilice IPv6 contará con Plug-in Manager, pero
no podrá implementar ninguna de las soluciones de complemento
en:
•
Los agentes o los hosts que solo utilicen IPv4 (debido a la
ausencia de una conexión directa)
•
Los agentes o los hosts que solo utilicen IPv6, ya que ninguna
de las soluciones de complemento es compatible con IPv6.
La mayoría de estas limitaciones se pueden subsanar estableciendo un servidor proxy
con doble pila que pueda realizar conversiones entre las direcciones IPv4 e IPv6 (como
DeleGate). Coloque el servidor proxy entre el Security Server y las entidades a las que se
conecta o para las que ejerce de servidor.
B-4
Limitaciones de los agentes que solo utilizan IPv6
En la siguiente tabla se enumeran las limitaciones cuando los agentes (tanto los Security
Agents como los Messaging Security Agents) solo tienen una dirección IPv6.
TABLA B-2. Limitaciones de los agentes que solo utilizan IPv6
EVENTO
LIMITACIÓN
Security Server principal
Un Security Server que solo utilice IPv4 no puede administrar
agentes que solo utilicen IPv6.
Actualizaciones
Un agente que solo utilice IPv6 no puede actualizarse desde
fuentes de actualización que solo utilicen IPv4, como:
•
•
Un Security Server que solo utilice IPv4
•
Un agente de actualización que solo utilice IPv4
•
Una fuente de actualización personalizada que solo
utilice IPv4.
Consultas sobre
exploraciones y
Comentarios inteligentes
Un Security Agent que solo use IPv6 no puede enviar
consultas a Trend Micro Smart Protection Network y no
puede usar Comentarios inteligentes.
Soluciones de
complemento
Los agentes que solo utilicen IPv6 no pueden instalar
soluciones de complemento, ya que ninguna de ellas es
compatible con IPv6.
Conexión proxy
Un agente que solo utilice IPv6 no se puede conectar a
través de un servidor proxy que solo utilice IPv4.
La mayoría de estas limitaciones se pueden subsanar estableciendo un servidor proxy
con doble pila que pueda realizar conversiones entre las direcciones IPv4 e IPv6 (como
DeleGate). Coloque el servidor proxy entre los agentes y las entidades a las que se
conectan.
B-5
Configuración de direcciones IPv6
La consola Web permite configurar una dirección IPv6 o un intervalo de direcciones
IPv6. A continuación se recogen algunas directrices de configuración.
•
Worry-Free Business Security acepta presentaciones de direcciones IPv6
estándares.
Por ejemplo:
2001:0db7:85a3:0000:0000:8a2e:0370:7334
2001:db7:85a3:0:0:8a2e:370:7334
2001:db7:85a3::8a2e:370:7334
::ffff:192.0.2.128
•
Worry-Free Business Security también admite direcciones IPv6 locales vinculadas,
como:
fe80::210:5aff:feaa:20a2
¡ADVERTENCIA!
Tenga cuidado al especificar una dirección IPv6 local vinculada ya que, aunque
Worry-Free Business Security puede admitir la dirección, puede que no funcione
como se espera en ciertas circunstancias. Por ejemplo, los agentes no pueden realizar
actualizaciones desde una fuente de actualización si esta se encuentra en otro
segmento de red y se identifica por medio de su dirección IPv6 local vinculada.
B-6
•
Cuando la dirección IPv6 forme parte de la URL, escriba la dirección entre
corchetes.
•
Normalmente, en el caso de los intervalos de direcciones IPv6, se necesitan un
prefijo y una longitud de prefijo. En el caso de las configuraciones que requieren
que el servidor solicite direcciones IP, se aplican restricciones en la longitud de
prefijo para evitar problemas de rendimiento que podrían surgir cuando el servidor
realiza consultas en una cantidad significativa de direcciones IP.
•
Algunas configuraciones que utilizan intervalos de direcciones o direcciones IPv6
se implementarán en los agentes, pero estos harán caso omiso de ellas. Por
ejemplo, si ha configurado la lista del Agente de actualización y ha incluido un
agente de actualización identificado por su dirección IPv6, los agentes que solo
usen IPv4 harán caso omiso de este agente de actualización y conectarán con los
agentes de actualización de doble pila o los IPv4, en caso de que los haya.
Pantallas que muestran direcciones IP
En este tema se recogen las ubicaciones de la consola Web en las que se muestran las
direcciones IP.
•
Árbol Grupos de seguridad
Siempre que aparezca el árbol Grupos de seguridad, aparecerán las direcciones
IPv6 de los agentes que solo utilicen IPv6 en la columna Dirección IP. En el caso
de los agentes de doble pila, las direcciones IPv6 se mostrarán siempre que las
hayan utilizado para registrarse en el servidor.
Nota
La dirección IP que usan los agentes de doble pila cuando se registran en el servidor
se puede controlar mediante la sección Dirección IP preferida, en Preferencias >
Configuración general > pestaña Equipo de sobremesa/servidor.
Cuando se exporta la configuración de un agente a un archivo, las direcciones IPv6
también aparecen en el archivo exportado.
•
Registros
Las direcciones IPv6 de los agentes de doble pila y que solo utilizan IPv6 aparecen
en los registros.
B-7
Apéndice C
Obtener ayuda
En este apéndice se explica cómo obtener ayuda, buscar más información y ponerse en
contacto con Trend Micro.
C-1
La Base de conocimientos de Trend Micro
La base de conocimientos de Trend Micro, ubicada en el sitio Web de Trend Micro,
cuenta con las respuestas más actualizadas a las preguntas sobre nuestros productos.
También puede utilizar la Base de conocimientos para enviar una pregunta si no
encuentra la respuesta en la documentación del producto. Puede acceder a la Base de
conocimientos desde:
http://esupport.trendmicro.com/en-us/business/default.aspx
Trend Micro actualiza el contenido de la Base de conocimientos continuamente y agrega
nuevas soluciones cada día. Si a pesar de todo no consigue encontrar una respuesta a su
problema, puede describirlo en un mensaje de correo electrónico y enviarlo directamente
a los ingenieros de Trend Micro para que investiguen el problema y le comuniquen la
respuesta tan pronto como sea posible.
Ponerse en contacto con el equipo de
asistencia técnica
Antes de ponerse en contacto con la asistencia técnica de Trend Micro, se recomienda
ejecutar en primer lugar la Herramienta de diagnóstico de casos (consulte Herramienta de
diagnóstico de casos en la página C-3).
Trend Micro ofrece a todos los usuarios registrados asistencia técnica, descargas de
patrones y actualizaciones de los programas durante un año, periodo tras el cual se debe
adquirir una renovación del servicio. Puede ponerse en contacto con nosotros si necesita
ayuda o tiene cualquier duda. No dude en enviarnos también sus comentarios.
•
Asistencia técnica:
http://esupport.trendmicro.com/en-us/business/pages/technical-support.aspx
•
Envío de un caso de asistencia a través de Internet:
http://esupport.trendmicro.com/srf/srfmain.aspx
•
C-2
Si prefiere comunicarse con un mensaje de correo electrónico, envíe una consulta a
la siguiente dirección:
Obtener ayuda
[email protected]
•
En los Estados Unidos también puede llamar al siguiente número gratuito:
(877) TRENDAV o 877-873-6328
•
Documentación de productos de Trend Micro:
http://docs.trendmicro.com/es-es/smb.aspx
Herramienta de diagnóstico de casos
Trend Micro Case Diagnostic Tool (CDT) recopila la información de depuración
necesaria de un producto de cliente siempre que se originan problemas. Activa y
desactiva automáticamente el estado de depuración del producto y recopila los archivos
necesarios de acuerdo con las categorías de problemas. Trend Micro utiliza esta
información para solucionar problemas relacionados con el producto.
Ejecute la herramienta en todas las plataformas compatibles con Worry-Free Business
Security. Para obtener esta herramienta y la documentación relacionada, visite http://
www.trendmicro.com/download/emea/product.asp?productid=25&lng=es.
Agilizar la llamada al servicio de asistencia
Cuando se ponga en contacto con Trend Micro, compruebe que dispone de los detalles
siguientes para agilizar la resolución del problema:
•
Versiones de Microsoft Windows y Service Pack
•
Tipo de red
•
Marca y modelo del equipo informático, junto con el hardware adicional conectado
al mismo
•
Memoria y espacio disponible en disco del equipo
•
Descripción detallada del entorno de instalación
•
Texto exacto de cualquier mensaje de error
C-3
•
Pasos para reproducir el problema
Información de contacto
En España, puede ponerse en contacto con los representantes de Trend Micro por
teléfono, fax o correo electrónico:
TREND MICRO España Plaza de las Cortes, 4 – 8º Izq. Madrid, 28014 España
Teléfono: +34 91 369 70 30 Fax: +34 91 369 70 31
Dirección Web: www.trendmicro.com
Correo electrónico: [email protected]
Enviar archivos sospechosos a Trend Micro
Si cree que tiene un archivo que está infectado, pero el motor de exploración no lo
detecta o no puede limpiarlo, Trend Micro le invita a que nos envíe un caso de asistencia
en línea.
•
Envíe un caso de asistencia en línea a la siguiente URL y especifique Detección de
amenazas como la categoría de problemas:
http://esupport.trendmicro.com/srf/srfmain.aspx
•
Uso de Anti-Threat Toolkit de Trend Micro:
http://esupport.trendmicro.com/solution/en-us/1059565.aspx
Centro de información de seguridad
En el sitio Web de Trend Micro puede encontrar abundante información de seguridad:
C-4
•
Lista de virus y código móvil malicioso actualmente en circulación
•
Bulos sobre virus informáticos
Obtener ayuda
•
Advertencias sobre amenazas Web
•
Informe de virus semanal
•
Enciclopedia de amenazas, con una extensa lista de los nombres y los síntomas de
los virus y el código móvil malicioso conocidos
http://about-threats.trendmicro.com/threatencyclopedia.aspx
•
Glosario de términos
TrendLabs
TrendLabsSM es el centro mundial de investigación antivirus y de asistencia técnica de
Trend Micro. Con presencia en tres continentes, TrendLabs cuenta con una plantilla de
más de 250 investigadores e ingenieros que trabajan continuamente para ofrecer servicio
técnico a todos los clientes de Trend Micro.
Siempre puede contar con nuestro servicio de posventa:
•
Actualizaciones de patrones de virus informáticos comunes y códigos maliciosos
•
Ayuda de emergencia ante epidemias de virus
•
Posibilidad de contacto por correo electrónico con los ingenieros de antivirus
•
Base de conocimientos, la base de datos en línea de Trend Micro sobre cuestiones
de asistencia técnica
TrendLabs ha obtenido la certificación de calidad ISO 9002.
Evaluación de la documentación
Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda,
comentario o sugerencia con relación a este documento u otros de Trend Micro, vaya al
sitio Web siguiente:
http://www.trendmicro.com/download/documentation/rating.asp
C-5
Apéndice D
Terminología del producto y
conceptos
Los elementos incluidos en este apéndice proporcionan más información acerca de las
tecnologías y los productos de Trend Micro.
D-1
Revisión
Un archivo hotfix es una solución para un problema específico que los usuarios han
comunicado. Los archivos Hotfix son específicos para un problema y, por lo tanto, no
se publican para todos los clientes. Los archivos Hotfix de Windows incluyen programas
de instalación, mientras que los archivos Hotfix que no son de Windows no suelen
facilitarlos (generalmente es necesario detener los demonios de programas, copiar el
archivo para sobrescribir el archivo correspondiente de la instalación y reiniciar los
demonios).
De forma predeterminada, los Security Agents pueden instalar archivos Hotfix. Si no
desea que los agentes de Security Agent instalen archivos Hotfix, cambie la
configuración de actualización de la consola Web. Para ello, vaya a Configuración de
seguridad > {Grupo} > Definir la configuración > Derechos del cliente. En
Derechos de actualización, seleccione Desactivar la actualización del Security
Agent y la instalación de archivos Hotfix.
IntelliScan
IntelliScan es un método para identificar los archivos que se exploran. Cuando se trata
de archivos ejecutables (como, por ejemplo, .exe), el tipo de archivo verdadero se
determina en función del contenido del archivo. Cuando se trata de archivos no
ejecutables (por ejemplo, .txt), el tipo de archivo verdadero se determina en función
del encabezado del archivo.
Utilizar IntelliScan ofrece las siguientes ventajas:
D-2
•
Optimización del rendimiento: IntelliScan no interfiere en las aplicaciones del
cliente porque utiliza unos recursos del sistema mínimos.
•
Período de exploración más corto: IntelliScan utiliza la identificación de tipo de
archivo verdadero, lo que permite explorar únicamente los archivos vulnerables a
infecciones. Por lo tanto, el tiempo de exploración es considerablemente inferior al
que se invierte para explorar todos los archivos.
Terminología del producto y conceptos
IntelliTrap
IntelliTrap es una tecnología heurística que Trend Micro utiliza para detectar amenazas
que utilizan la compresión en tiempo real en combinación con otras características del
malware, como los packers. Entre los packers se incluyen virus/malware, gusanos,
troyanos, puertas traseras y programas robot. Los autores de virus suelen intentar evitar
el filtrado de virus/malware mediante distintos esquemas de compresión de archivos.
IntelliTrap es una tecnología de motor de exploración basada en reglas de
reconocimiento de patrones que actúa en tiempo real para detectar y eliminar virus/
malware conocidos de archivos comprimidos hasta seis capas con los 16 tipos de
compresión más populares.
Nota
IntelliTrap utiliza el mismo motor de exploración que la exploración antivirus. Por este
motivo, la gestión de los archivos y las reglas de exploración de IntelliTrap serán las mismas
que defina el administrador para la exploración antivirus.
Los agentes graban las detecciones de programas robot y malware en el registro de
IntelliTrap. Es posible exportar el contenido del registro de IntelliTrap para utilizarlo en
informes.
IntelliTrap utiliza los siguientes componentes cuando busca programas robot y otros
programas maliciosos:
•
Motor de exploración antivirus
•
Patrón de IntelliTrap
•
Patrón de excepciones de IntelliTrap
Tipo de archivo verdadero
Cuando se configura para explorar el "tipo de archivo verdadero", el motor de
exploración examina el encabezado del archivo, en lugar del nombre de archivo, para
comprobar cuál es el tipo de archivo real. Por ejemplo, si el motor de exploración está
configurado para explorar todos los archivos ejecutables y detecta un archivo
denominado “family.gif”. no presupone que se trata de un archivo gráfico. En su lugar,
el motor de exploración abre el encabezado del archivo y examina el tipo de datos
registrado internamente para determinar si se trata realmente de un archivo gráfico o si
es un ejecutable al que se le ha cambiado el nombre para evitar ser detectado.
D-3
La exploración de tipos de archivo verdadero funciona junto con IntelliScan para
explorar solo los tipos de archivo potencialmente peligrosos. Estas tecnologías pueden
reducir hasta dos tercios el número de archivos que examina el motor; esta reducción
también crea algún riesgo de que un archivo dañino pueda entrar en la red.
Por ejemplo, los archivos .gif suponen un gran volumen del total del tráfico en Internet
pero es improbable que alberguen virus/malware, inicien código ejecutable o
aprovechen cualquier vulnerabilidad conocida o teórica. Pero, ¿significa eso que son
seguros? No del todo. Es posible que un hacker malintencionado asigne un nombre de
archivo “seguro” a un archivo dañino para que eluda el motor de exploración y pase a la
red. Este archivo podría causar daños si alguien le cambiara el nombre y lo ejecutara.
Consejo
para obtener el mayor nivel de seguridad, Trend Micro recomienda explorar todos los
archivos.
Sistema de detección de intrusiones
El cortafuegos también incluye un sistema de detección de intrusiones (IDS). Cuando
está activado, el sistema IDS ayuda a identificar patrones de los paquetes de red que
pueden indicar un ataque al punto final. El cortafuegos evita que se produzcan las
siguientes intrusiones conocidas:
D-4
•
Fragmento demasiado grande: un ataque de denegación de servicio en que un
hacker envía un paquete TCP/UDP de gran tamaño al punto final de destino.
Como consecuencia, se produce un desbordamiento del búfer del punto final que
puede colapsar o reiniciar el punto final.
•
Ping de la muerte: un ataque de denegación de servicio en el que un hacker envía
un paquete ICMP/ICMPv6 de gran tamaño a un punto final de destino. Como
consecuencia, se produce un desbordamiento del búfer del punto final que puede
colapsar o reiniciar el punto final.
•
ARP en conflicto: un tipo de ataque en el que un hacker envía una solicitud ARP
(Protocolo de resolución de direcciones) con la misma dirección IP de origen y de
destino al punto final objetivo. El punto final de destino se envía a sí mismo
ininterrumpidamente una respuesta ARP (la dirección MAC), lo que provoca el
colapso o bloqueo de este.
•
Desbordamiento SYN: un ataque de denegación de servicio en el que un
programa envía numerosos paquetes TCP de sincronización (SYN) a un punto
final de destino, lo que provoca que el punto final envíe de forma continua
respuestas de confirmación de sincronización (SYN/ACK). Este ataque puede
desbordar la memoria del punto final y, finalmente, llegar a colapsar el punto final.
•
Solapamiento de fragmentos: similar a un ataque Teardrop, este ataque de
denegación de servicio envía fragmentos TCP solapados al punto final de destino.
Sobrescribe la información de encabezado del primer fragmento TCP y puede
atravesar un cortafuegos. El cortafuegos permite entonces que los fragmentos
posteriores, con contenido malicioso, entren en el punto final.
•
Teardrop: Similar a un ataque de solapamiento de fragmentos, este ataque de
denegación de servicio utiliza fragmentos IP. Un valor de compensación confuso
en el segundo fragmento de IP, o en otro posterior, puede provocar que el sistema
operativo del punto final receptor se bloquee al intentar volver a unir los
fragmentos.
•
Ataque de fragmentos pequeños: Un tipo de ataque en el que un tamaño
reducido de un fragmento TCP obliga a introducir la información de
encabezamiento del primer paquete TCP en el siguiente fragmento. Esto puede
hacer que los enrutadores que filtran el tráfico ignoren los siguientes fragmentos,
los cuales pueden contener información maliciosa.
•
IGMP fragmentado: un ataque de denegación de servicio en el que se envían
paquetes IGMP fragmentados al punto final de destino que no los puede procesar
correctamente. Esto puede ocasionar el colapso y la ralentización del punto final.
•
Ataque LAND: un tipo de ataque que envía paquetes IP de sincronización (SYN)
con la misma dirección de origen y destino al punto final y que provoca que punto
final se envíe a sí mismo la respuesta de confirmación de sincronización (SYN/
ACK). Esto puede ocasionar el colapso y la ralentización del punto final.
Palabras clave
En WFBS, pueden usarse las siguientes palabras clave para filtrar mensajes:
D-5
•
Palabras (pistolas, bombas, etc.)
•
Números (1, 2, 3, etc.)
•
Caracteres especiales (&,#,+, etc.)
•
Frases cortas (pez azul, teléfono rojo, casa grande, etc.)
•
Palabras o frases conectadas mediante operadores lógicos (manzanas .AND.
naranjas)
•
Palabras o frases que usan expresiones regulares (.REG. a.*e devuelve “apetece”,
“amanece” y “ante”, pero no “antes”, “añadir” ni “antónimo”)
WFBS puede importar una lista existente de palabras clave a partir de un archivo de
texto (.txt). Las palabras clave importadas aparecen en la lista de palabras clave.
Operadores en palabras clave
Los operadores son comandos que sirven para combinar varias palabras clave. Pueden
ampliar o restringir los resultados de un criterio. Los operadores deben ir incluidos entre
puntos (.). Por ejemplo:
apples .AND. oranges and apples .NOT. oranges
Nota
el operador tiene un punto inmediatamente antes y después. Hay un espacio entre el punto
final y la palabra clave.
TABLA D-1. Uso de los operadores
OPERADOR
Cualquier
palabra clave
D-6
FUNCIONAMIENTO
El Messaging Security Agent
busca contenido que coincida
con la palabra
EJEMPLO
Escriba la palabra y añádala a la
lista de palabras clave
OPERADOR
OR
FUNCIONAMIENTO
busca cualquiera de las palabras
clave separadas por OR.
Por ejemplo, manzana OR
naranja. El agente busca
manzana o naranja. Si el
contenido contiene una de las
dos frutas, hay una coincidencia.
AND
busca todas las palabras clave
separadas por AND.
Por ejemplo, manzana AND
naranja. El agente busca tanto
manzana como naranja. Si el
contenido no contiene ambas
frutas, no habrá ninguna
coincidencia.
NOT
excluye de la búsqueda las
palabras clave seguidas de NOT.
Por ejemplo, .NOT. zumo. El
agente busca contenido que no
incluya la palabra zumo. Si el
mensaje contiene "refresco de
naranja", habrá coincidencia,
pero si contiene "zumo de
naranja", no la habrá.
EJEMPLO
Escriba ".OR." entre todas las
palabras que desea incluir.
Por ejemplo:
"manzana .OR. naranja"
Escriba ".AND." entre todas las
palabras que desea incluir.
Por ejemplo:
"manzana .AND. naranja"
Escriba ".NOT." antes de la
palabra que desea excluir.
Por ejemplo:
“.NOT. zumo”
D-7
OPERADOR
WILD
FUNCIONAMIENTO
Este símbolo sustituye a una
parte que falta de la palabra.
Todas las palabras que se
escriban con la parte restante del
comodín se consideran
coincidencias.
Nota
El Messaging Security
Agent no admite el uso del
carácter "?" en el comodín
".WILD.".
REG
Para especificar una expresión
regular, añada el operador .REG.
antes de ese patrón (por
ejemplo, .REG. a.*e).
Consulte el apartado
Expresiones regulares en la
página D-11.
EJEMPLO
Escriba ".WILD." antes de las
partes de la palabra que desea
incluir.
Por ejemplo, si desea buscar
todas las palabras que
contengan "mes", escriba
".WILD.valu". Las palabras
mesa, mesías y meseta serían
coincidencias.
Escriba ".REG." antes del patrón
de palabra que desea detectar.
Por ejemplo, “.REG. a.*e”
devolvería: “apetece”, “amanece”
y “ante”, pero no “antes”, “añadir”
ni “antónimo”.
Uso eficaz de las palabras clave
Messaging Security Agent ofrece unas funciones sencillas aunque potentes para crear
filtros muy específicos. Tenga en cuenta los siguientes puntos al crear las reglas de
filtrado de contenidos:
D-8
•
De forma predeterminada Messaging Security Agent busca coincidencias exactas
con las palabras clave. Utilice expresiones regulares para buscar coincidencias
parciales con las palabras clave. Consulte el apartado Expresiones regulares en la página
D-11.
•
El Messaging Security Agent analiza varias palabras clave en una línea, varias
palabras clave con cada palabra en una línea distinta y varias palabras clave
separadas por comas, puntos, guiones y otros signos de puntuación de forma
diferente. Para obtener más información acerca del uso de las palabras claves en
varias líneas, consulte la siguiente tabla.
•
También se puede configurar Messaging Security Agent para que busque sinónimos
de las palabras clave.
TABLA D-2. Cómo utilizar palabras clave
SITUACIÓN
EJEMPLO
Dos palabras en
la misma línea
pistolas bombas
COINCIDENCIA/NO COINCIDENCIA
Coincide:
“Haga clic aquí para comprar pistolas bombas y
otras armas”.
No coincide:
“Haga clic aquí para comprar pistolas y bombas”.
Dos palabras
separadas por
una coma
pistolas,
bombas
Coincide:
“Haga clic aquí para comprar pistolas, bombas y
otras armas.”
No coincide:
“Haga clic aquí para comprar pistolas usadas,
bombas nuevas y otras armas”.
D-9
SITUACIÓN
Varias palabras
en varias líneas
EJEMPLO
pistolas
bombas
armas y
munición
COINCIDENCIA/NO COINCIDENCIA
Cuando se selecciona Cualquier palabra clave
especificada
Coincide:
“Se venden pistolas”
También coincide:
“Compre pistolas, bombas y otras armas”
Cuando se selecciona Todas las palabras clave
especificadas
Coincide:
“Compre pistolas bombas armas y munición”
No coincide:
“Compre pistolas bombas armas balas”
Tampoco coincide:
“Compre pistolas, bombas, armas y munición”
Varias palabras
clave en la
misma línea
pistolas bombas
armas munición
Coincide:
“Compre pistolas bombas armas munición”
No coincide:
“Compre munición para sus pistolas y armas y
bombas nuevas”
Parche
Un parche es un grupo de archivos hotfix y revisiones de seguridad que solucionan
numerosos problemas del programa. Trend Micro publica parches periódicamente. Los
parches de Windows incluyen un programa de instalación, mientras que los parches que
no son de Windows suelen disponer de una secuencia de comandos de instalación.
D-10
Expresiones regulares
Las expresiones regulares se utilizan para realizar la coincidencia de cadenas. Consulte
las tablas siguientes para conocer algunos ejemplos habituales de las expresiones
regulares. Para especificar una expresión regular, añada un operador “.REG.” antes del
patrón.
Hay una serie de sitios Web y tutoriales en línea donde puede consultar más
información. Uno de ellos es el sitio PerlDoc, que puede encontrar en:
http://www.perl.com/doc/manual/html/pod/perlre.html
¡ADVERTENCIA!
Las expresiones regulares son una poderosa herramienta de coincidencia de cadenas. Por
este motivo, Trend Micro recomienda que los administradores que eligen utilizar las
expresiones regulares estén familiarizados con la sintaxis de expresiones regulares. Una
expresión regular escrita incorrectamente puede tener nefastos resultados en su
funcionamiento. Trend Micro aconseja comenzar con expresiones regulares sencillas que
no utilicen una sintaxis compleja. Cuando introduzca nuevas reglas, use la acción de
archivado y observe cómo el Messaging Security Agent gestiona los mensajes con su regla.
Cuando esté seguro de que la regla no tiene consecuencias inesperadas podrá cambiar la
acción.
Ejemplos de expresiones regulares
Consulte las tablas siguientes para conocer algunos ejemplos habituales de las
expresiones regulares. Para especificar una expresión regular, añada un operador
“.REG.” antes del patrón.
TABLA D-3. Contar y agrupar
ELEMENTO
.
SIGNIFICADO
El carácter de punto representa
cualquier carácter excepto el
carácter de nueva línea.
EJEMPLO
do. coincide con dolor, domingo,
don, dos, doce, etc.
d.r coincide con domador,
decorador, etc.
D-11
ELEMENTO
SIGNIFICADO
EJEMPLO
*
El carácter de asterisco significa
cero o más instancias del
elemento anterior.
do* coincide con d, do, doo,
dooo, doooo, etc.
+
El signo más significa una o más
instancias del elemento anterior.
do+ coincide con do, doo, dooo,
doooo, etc. pero no con d.
?
El signo de interrogación significa
cero o una instancia del
elemento anterior.
do?s coincide con ds o dos, pero
no con doos, dooos, etc.
()
Los paréntesis hacen que el
contenido que se encuentre entre
ellos se considere como una
única entidad.
d(os)+ coincide con dos o doos o
dooooos, etc. El signo + se
aplica a la subcadena entre
paréntesis, por lo que el regex
busca por una d seguida de uno
o más grupos de "os".
[]
Los corchetes indican un
conjunto o rango de caracteres.
d[aeiou]+ coincide con da, de, di,
do, du, daa, dae, dai, etc. El
signo + se aplica al conjunto
situado entre los corchetes, por
lo que regex busca una d
seguida de uno o varios de los
caracteres del conjunto [aeiou].
d[A-Z] coincide con dA, dB, dC,
etc. hasta dZ. El conjunto situado
entre los corchetes representa el
rango de todas las letras
mayúsculas de la A a la Z.
[^]
D-12
El carácter de acento circunflejo
entre corchetes niega
lógicamente el conjunto o rango
especificado, por lo que el regex
coincidirá con cualquier carácter
que no esté incluido en el
conjunto o rango.
d[^aeiou] coincide con db, dc o
dd, d9, d# (es decir, d seguido de
cualquier carácter excepto una
vocal).
ELEMENTO
{}
SIGNIFICADO
EJEMPLO
Las llaves definen un número
específico de ocurrencias del
elemento anterior. Un solo valor
dentro de las llaves significa que
solo se dará una coincidencia
cuando se produzca ese número
de ocurrencias. Un par de
números separados por una
coma significa un conjunto de
recuentos válidos del carácter
anterior. Un solo dígito seguido
de una coma significa que no hay
límite superior.
da{3} coincide con daaa (d
seguida por 3 y solo 3
ocurrencias de “a”). da{2,4}
coincide con daa, daaa, daaaa y
daaaa (pero no con daaaaa) (d
seguida por 2, 3 ó 4 ocurrencias
de “a”). da{4,} coincide con
daaaa, daaaaa, daaaaaa, etc. (d
seguida por 4 o más ocurrencias
de “a”).
TABLA D-4. Clases de caracteres (resumen)
ELEMENTO
SIGNIFICADO
EJEMPLO
\d
Cualquier carácter de dígito;
funcionalmente equivalente a
[0-9] o [[:digit:]]
\d coincide con 1, 12, 123, etc.,
pero no con 1b7 (uno o varios
caracteres de dígito).
\D
Cualquier carácter que no sea de
dígito; funcionalmente
equivalente a [^0-9] o [^[:digit:]]
\D coincide con a, ab, ab&, pero
no con 1 (uno o varios caracteres
cualquiera excepto 0, 1, 2, 3, 4,
5, 6, 7, 8 o 9).
\w
Cualquier carácter de “"palabra”,
es decir, cualquier carácter
alfanumérico; funcionalmente
equivalente a [_A-Za-z0-9] o
[_[:alnum:]]
\w coincide con a, ab, a1, pero
no con !& (una o varias letras en
mayúsculas o minúsculas o
dígitos, pero no caracteres de
puntuación o especiales).
\W
Cualquier carácter que no sea
equivalente a [^_A-Za-z0-9] o
[^_[:alnum:]]
\W coincide con *, &, pero no con
as o a1 (uno o varios caracteres
cualquiera excepto letras es
mayúsculas o minúsculas y
dígitos).
D-13
ELEMENTO
SIGNIFICADO
EJEMPLO
\s
Cualquier carácter de espacio en
blanco; espacio, nueva línea,
tabulación, espacio de no
separación, etc.; funcionalmente
equivalente a [[:space]]
verdura\s coincide con “verdura”
seguido de cualquier carácter de
espacio en blanco. Por este
motivo, la frase "Me gusta la
verdura en la sopa" activaría el
regex, pero no "Me gustan las
verduras en la sopa".
\S
Cualquier carácter que no sea
espacio en blanco; carácter
distinto a espacio, nueva línea,
equivalente a [^[:space]]
verdura\S coincide con “verdura”
seguido de cualquier carácter
que no sea un espacio en
blanco. Por este motivo, la frase
"Me gusta la verdura en la sopa"
activaría el regex, pero no "Me
gustan las verduras en la sopa".
TABLA D-5. Clases de caracteres
ELEMENTO
D-14
SIGNIFICADO
EJEMPLO
[:alpha:]
Cualquier carácter alfabético
.REG. [[:alpha:]] coincide con
abc, def, xxx, pero no con 123 o
@#$.
[:digit:]
Cualquier carácter de dígito;
funcionalmente equivalente a \d
.REG. [[:digit:]] coincide con 1,
12, 123, etc.
[:alnum:]
Cualquier carácter de “palabra”,
es decir, cualquier carácter
equivalente a \w
.REG. [[:alnum:]] coincide con
abc, 123, pero no con ~!@.
[:space:]
Cualquier carácter de espacio en
blanco; espacio, nueva línea,
equivalente a \s
.REG. (verdura)[[:space:]]
coincide con “verdura” seguido
de cualquier carácter de espacio
en blanco. Por este motivo, la
frase "Me gusta la verdura en la
sopa" activaría el regex, pero no
"Me gustan las verduras en la
sopa".
ELEMENTO
SIGNIFICADO
EJEMPLO
[:graph:]
Cualquier carácter excepto
caracteres de espacio y control y
similares
.REG. [[:graph:]] coincide con
123, abc, xxx, ><", pero no con
caracteres de espacio o control.
[:print:]
Cualquier carácter (similar a
[:graph:]) pero incluye el carácter
de espacio
.REG. [[:print:]] coincide con 123,
abc, xxx, ><" y caracteres de
espacio.
[:cntrl:]
Cualquier carácter de control (por
ej. CTRL + C, CTRL + X)
.REG. [[:cntrl:]] coincide con
0x03, 0x08, pero no con abc,
123, !@#.
[:blank:]
Caracteres de espacio y
tabulación
.REG. [[:blank:]] coincide con
caracteres de espacio y
tabulación, pero no con 123,
abc, !@#
[:punct:]
Caracteres de puntuación
.REG. [[:punct:]] coincide
con ; : ? ! ~ @ # $ % & * ‘ “ , etc.,
pero no con 123, abc
[:lower:]
Cualquier carácter alfabético en
minúscula (Nota: la opción
‘Activar coincidencia con
diferenciación de mayúsculas y
minúsculas’ debe estar activada
o, de lo contrario, funcionará
como [:alnum:])
.REG. [[:lower:]] coincide con
abc, Def, sTress, Do, etc., pero
no con ABC, DEF, STRESS, DO,
123, !@#.
[:upper:]
Cualquier carácter alfabético en
mayúscula (Nota: la opción
‘Activar coincidencia con
diferenciación de mayúsculas y
minúsculas’ debe estar activada
o, de lo contrario, funcionará
como [:alnum:])
.REG. [[:upper:]] coincide con
ABC, DEF, STRESS, DO, etc.,
pero no con abc, Def, Stress, Do,
123, !@#.
[:xdigit:]
Dígitos permitidos en un número
hexadecimal (0-9a-fA-F)
.REG. [[:xdigit:]] coincide con 0a,
7E, 0f, etc.
D-15
TABLA D-6. Delimitadores de patrones
ELEMENTO
SIGNIFICADO
EJEMPLO
^
Indica el comienzo de una
cadena.
^(a pesar de que) coincide con
cualquier bloque de texto que
comenzara con “a pesar de que”,
por lo que la frase “a pesar de
que me gustan las verduras en la
sopa” activaría el regex, pero no
“me gustan las verduras en la
sopa a pesar de que”.
$
Indica el final de una cadena.
(a pesar de que)$ coincide con
finalizara con “a pesar de que”,
por lo que la frase “a pesar de
que me gustan las verduras en la
sopa” no activaría el regex, pero
“me gustan las verduras en la
sopa a pesar de que” sí lo haría.
TABLA D-7. Secuencias de escape y cadenas literales
ELEMENTO
\
\t
D-16
SIGNIFICADO
Para coincidir con algunos
caracteres que tienen un
significado especial en una
expresión regular (por ejemplo,
“+”).
Indica un carácter de tabulación.
EJEMPLO
(1) .REG. C\\C\+\+ coincide con
‘C\C++’.
(2) .REG. \* coincide con *.
(3) .REG. \? coincide con ?.
(fuerza)\t coincide con cualquier
bloque de texto que contenga la
subcadena “fuerza”
inmediatamente seguida de un
carácter de tabulación (ASCII
0x09).
ELEMENTO
\n
SIGNIFICADO
Indica el carácter de nueva línea.
Nota
El carácter de nueva línea
se representa de distinta
manera según la
plataforma. En Windows,
una nueva línea es un par
de caracteres, un retorno
de carro seguido de un
avance de línea. En Unix y
Linux, una nueva línea es
solo un avance de línea,
mientras que en Macintosh
una nueva línea es solo un
retorno de carro.
\r
Indica un carácter de retorno de
carro.
EJEMPLO
(fuerza)\n\n coincide con
contenga la subcadena fuerza
inmediatamente seguida de los
dos caracteres de nueva línea
(ASCII 0x0A).
(fuerza)\r coincide con cualquier
carácter de retorno de carro
(ASCII 0x0D).
D-17
ELEMENTO
\b
SIGNIFICADO
Indica un carácter de retroceso.
OR
Determina los límites.
EJEMPLO
(fuerza)\b coincide con cualquier
carácter de retroceso (ASCII
0x08).
Los límites de palabra (\b) se
definen como un espacio entre
dos caracteres, con \w en un
lado y \W en el otro
(independientemente del orden),
contando los caracteres
imaginarios desde el principio y
el final de la cadena como
coincidentes con una \W. (Dentro
de las clases de caracteres una
\b representa un retroceso en
lugar de un límite de palabra.)
Por ejemplo, la siguiente
expresión regular puede coincidir
con el número de la seguridad
social: .REG. \b\d{3}-\d{2}-\d{4}\b
\xhh
Indica un carácter ASCII con un
código hexadecimal determinado
(donde hh representa cualquier
valor hexadecimal de dos
dígitos).
\x7E(\w){6} coincide con
contenga una palabra de
exactamente seis caracteres
alfanuméricos precedidos por un
carácter ~ (tilde). Por lo tanto, las
palabras "~ab12cd", "~Pa3499"
coincidirían, pero no "~oops".
Generador de expresiones regulares
Al decidir cómo configurar las reglas para la prevención de pérdida de datos, tenga en
cuenta que el generador de expresiones regulares sólo puede crear expresiones sencillas
en función de las siguientes reglas y limitaciones:
•
D-18
Las variables sólo pueden ser caracteres alfanuméricos.
•
Todos los demás caracteres como, por ejemplo, [-], [/], entre otros, solo pueden ser
constantes.
•
Los rangos de variables sólo pueden ser de A-Z y 0-9; no se pueden limitar los
rangos a, por ejemplo, A-D.
•
Las expresiones regulares generadas por esta herramienta distinguen entre
mayúsculas y minúsculas.
•
Las expresiones regulares generadas por esta herramienta solo pueden realizar
coincidencias positivas, no negativas ("si no coincide").
•
Las expresiones basadas en el ejemplo solo pueden obtener coincidencias con el
número exacto de caracteres y espacios del ejemplo; la herramienta no puede
generar patrones que coincidan con "una o varias" instancias de un determinado
carácter o cadena.
Sintaxis en expresiones complejas
Una expresión de palabra clave está formada por testigos, que es la unidad más pequeña
usada para hacer coincidir la expresión con el contenido. Un testigo puede ser un
operador, un símbolo lógico o el operando, es decir, el argumento o el valor sobre el que
actúa el operador.
Los operadores son: .AND., .OR., .NOT., .NEAR., .OCCUR., .WILD., “.(.” and “ .).”
El operando y el operador deben estar separados por un espacio. Un operando también
puede contener varios testigos. Consulte el apartado Palabras clave en la página D-5.
Expresiones regulares en el trabajo
En el siguiente ejemplo se describe cómo funciona el filtro de contenido Seguridad
Social, uno de los filtros predeterminados:
[Format] .REG. \b\d{3}-\d{2}-\d{4}\b
La expresión anterior utiliza \b, un carácter de retroceso, seguido de \d, cualquier dígito
y, a continuación, {x}, que indica el número de dígitos y, por último, -, que indica un
guion. Esta expresión coincide con el número de seguridad social. En la tabla siguiente
se describen las cadenas que coinciden con la expresión regular del ejemplo:
D-19
TABLA D-8. Números que coinciden con la expresión regular Seguridad Social
.REG. \b\d{3}-\d{2}-\d{4}\b
333-22-4444
Coincidencia
333224444
No coincide
333 22 4444
No coincide
3333-22-4444
No coincide
333-22-44444
No coincide
Si la expresión se modifica de la siguiente forma,
[Format] .REG. \b\d{3}\x20\d{2}\x20\d{4}\b
la nueva expresión coincidirá con la siguiente secuencia:
333 22 4444
Listas de exclusión de la exploración
Lista de exclusión de la exploración para los Security Agents
Esta lista de exclusión contiene todos los productos Trend Micro que se excluyen de la
exploración de forma predeterminada.
TABLA D-9. Lista de exclusión del Security Agent
NOMBRE DEL PRODUCTO
InterScan eManager
3.5x
UBICACIÓN DE LA RUTA DE INSTALACIÓN
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\InterScan
eManager\CurrentVersion
ProgramDirectory=
ScanMail eManager
(ScanMail for
Microsoft Exchange
eManager) 3.11, 5.1,
5.11, 5.12
D-20
Microsoft Exchange eManager\CurrentVersion
ProgramDirectory=
NOMBRE DEL PRODUCTO
ScanMail for Lotus
Notes (SMLN)
eManager NT
Lotus Notes\CurrentVersion
AppDir=
DataDir=
IniDir=
InterScan Web
Security Suite (IWSS)
HKEY_LOCAL_MACHINE\Software\TrendMicro\Interscan Web
Security Suite
Directorio del programa= C:\Archivos de programa
\Trend Micro\IWSS
InterScan WebProtect
HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\InterScan
WebProtect\CurrentVersion
ProgramDirectory=
InterScan FTP
VirusWall
HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan
FTP VirusWall\CurrentVersion
ProgramDirectory=
InterScan Web
VirusWall
Web VirusWall\CurrentVersion
ProgramDirectory=
InterScan E-Mail
VirusWall
HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan EMail VirusWall\CurrentVersion
ProgramDirectory={Unidad de instalación}:\INTERS~1
Complemento
InterScan NSAPI
NSAPI Plug-In\CurrentVersion
ProgramDirectory=
InterScan E-Mail
VirusWall
HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan EMail VirusWall \CurrentVersion
ProgramDirectory=
D-21
NOMBRE DEL PRODUCTO
IM Security (IMS)
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\IM Security
\CurrentVersion
HomeDir=
VSQuarantineDir=
VSBackupDir=
FBArchiveDir=
FTCFArchiveDir=
D-22
NOMBRE DEL PRODUCTO
ScanMail for Microsoft
Exchange (SMEX)
Microsoft Exchange\CurrentVersion
TempDir=
DebugDir=
Microsoft Exchange\RealTimeScan\ScanOption
BackupDir=
MoveToQuarantineDir=
Microsoft Exchange\RealTimeScan\ScanOption\Advance
QuarantineFolder=
Microsoft Exchange\RealTimeScan\IMCScan\ScanOption
BackupDir=
Microsoft Exchange\RealTimeScan\IMCScan\ScanOption
\Advance
QuarantineFolder=
D-23
NOMBRE DEL PRODUCTO
ScanMail for Microsoft
Exchange (SMEX)
Microsoft Exchange\ManualScan\ScanOption
BackupDir=
Microsoft Exchange\QuarantineManager
QMDir=
Consiga la ruta del archivo exclusion.txt desde
Microsoft Exchange\CurrentVersion\HomeDir
Vaya a la ruta de HomeDir (por ejemplo, C:\Archivos
de programa\Trend Micro\Messaging Security Agent\)
Abra exclusion.txt
C:\Archivos de programa\Trend Micro\Messaging
Security Agent\Temp\
Security Agent\storage\quarantine\
Security Agent\storage\backup\
Security Agent\storage\archive\
Security Agent\SharedResPool
Listas de exclusión de exploración para el Messaging Security Agent
(Advanced solo)
De forma predeterminada, cuando el Messaging Security Agent se instala en un servidor
Microsoft Exchange (2000 o posterior), no explorará las bases de datos de Microsoft
D-24
Exchange, los archivos de registro de Exchange, las carpetas del servidor virtual ni la
unidad M:\. La lista de exclusión se guarda en:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
\CurrentVersion\Misc.
ExcludeExchangeStoreFiles=C:\Program Files\Exchsrvr\mdbdata\
priv1.stm|C:\Program Files\Exchsrvr\mdbdata\
priv1.edb|C:\Program Files\Exchsrvr\mdbdata\
pub1.stm|C:\Archivos de programa\Exchsrvr\mdbdata\pub1.edb
ExcludeExchangeStoreFolders=C:\Archivos de programa\Exchsrvr
\mdbdata\
|C:\Archivos de programa\Exchsrvr\Mailroot\vsi 1\Queue\
|C:\Archivos de programa\Exchsrvr\Mailroot\vsi 1\PickUp\
|C:\Archivos de programa\Exchsrvr\Mailroot\vsi 1\BadMail\
Agregue manualmente a la lista de exclusión de la exploración las demás carpetas
recomendadas por Microsoft Exchange. Consulte http://support.microsoft.com/kb/
245822/.
Exclusiones de SBS 2003
Para SBS 2003, agregue manualmente lo siguiente:
Exclusiones de Microsoft Exchange
Base de datos de servidores
Microsoft Exchange
C:\Archivos de programa\Exchsrvr\MDBDATA
Archivos MTA de Microsoft
Exchange
C:\Archivos de programa\Exchsrvr\Mtadata
Archivos de registro de seguimiento
de mensajes de Microsoft
Exchange
C:\Archivos de programa\Exchsrvr
\server_name.log
Microsoft Exchange SMTP Mailroot
C:\Archivos de programa\Exchsrvr\Mailroot
D-25
Archivos de trabajo de Microsoft
Exchange
C:\Archivos de programa\Exchsrvr\MDBDATA
Servicio de replicación de sitios
C:\Archivos de programa\Exchsrvr\srsdata
C:\Archivos de programa\Exchsrvr\conndata
Exclusiones de IIS
Archivos de sistema IIS
C:\WINDOWS\system32\inetsrv
Carpeta de compresión IIS
C:\WINDOWS\IIS Temporary Compressed Files
Exclusiones de controladores de dominio
Archivos de base de datos de
Active Directory
C:\WINDOWS\NTDS
SYSVOL
C:\WINDOWS\SYSVOL
Archivos de base de datos de
NTFRS
C:\WINDOWS\ntfrs
Exclusiones de servicios de Windows SharePoint
Carpeta temporal de SharePoint
C:\windows\temp\FrontPageTempDir
Exclusiones de la carpeta de escritorio del cliente
Almacén de Windows Update
C:\WINDOWS\SoftwareDistribution\DataStore
Exclusiones adicionales
Base de datos de almacenamiento
extraíble (utilizada por SBS
Backup)
D-26
C:\Windows\system32\NtmsData
Conector POP3 SBS de correo
erróneo
C:\Archivos de programa\Microsoft Windows
Small Business Server\Networking
\POP3\Failed Mail
Conector POP3 SBS de correo
entrante
C:\Archivos de programa\Microsoft Windows
Small Business Server\Networking
\POP3\Incoming Mail
Almacén de Windows Update
C:\WINDOWS\SoftwareDistribution\DataStore
Almacén de bases de datos DHCP
C:\WINDOWS\system32\dhcp
Almacén de bases de datos WINS
C:\WINDOWS\system32\wins
Revisión de seguridad
Una revisión de seguridad se centra en problemas de seguridad que se puedan
implementar en todos los clientes. Los parches de seguridad de Windows incluyen un
programa de instalación, mientras que los parches que no son de Windows suelen
disponer de una secuencia de comandos de instalación.
Service Pack
Un Service Pack es un conjunto de archivos hotfix, revisiones y mejoras funcionales
suficientes para considerarse una actualización del producto. Tanto los Service Pack de
Windows como los de otros fabricantes incluyen un programa y una secuencia de
comandos de instalación.
Puerto de troyano
Los programas de caballos de Troya suelen utilizar puertos de troyanos para conectarse
a un equipo. Durante una epidemia, el Security Agent bloquea los siguientes números de
puerto que es posible que usen los programas troyanos.
D-27
TABLA D-10. Puertos de troyanos
NÚMERO DE PUERTO
D-28
PROGRAMA DE
TROYA
CABALLO DE
NÚMERO DE PUERTO
PROGRAMA DE
TROYA
CABALLO DE
23432
Asylum
31338
Net Spy
31337
Back Orifice
31339
Net Spy
18006
Back Orifice 2000
139
Nuker
12349
Bionet
44444
Prosiak
6667
Bionet
8012
Ptakks
80
Codered
7597
Qaz
21
DarkFTP
4000
RA
3150
Deep Throat
666
Ripper
2140
Deep Throat
1026
RSM
10048
Delf
64666
RSM
23
EliteWrap
22222
Rux
6969
GateCrash
11000
Senna Spy
7626
Gdoor
113
Shiver
10100
Gift
1001
Silencer
21544
Girl Friend
3131
SubSari
7777
GodMsg
1243
Sub Seven
6267
GW Girl
6711
Sub Seven
25
Jesrto
6776
Sub Seven
25685
Moon Pie
27374
Sub Seven
68
Mspy
6400
Thing
1120
Net Bus
12345
Valvo line
NÚMERO DE PUERTO
7300
PROGRAMA DE
TROYA
CABALLO DE
Net Spy
NÚMERO DE PUERTO
1234
PROGRAMA DE
TROYA
CABALLO DE
Valvo line
Archivos que no se pueden limpiar
El motor de exploración antivirus no consigue limpiar los archivos siguientes:
TABLA D-11. Soluciones para archivos que no se pueden limpiar
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Archivos infectados
con troyanos
EXPLICACIÓN Y SOLUCIÓN
Los troyanos son programas que ejecutan acciones imprevistas o
no autorizadas, por lo general malintencionadas como, por
ejemplo, mostrar mensajes, eliminar archivos o formatear discos.
Los troyanos no infectan los archivos, por lo que no es necesario
limpiarlos.
Solución: El motor de limpieza de virus y la plantilla de limpieza
de virus eliminan troyanos.
Archivos infectados
con gusanos
Un gusano es un programa (o conjunto de programas) completo
capaz de propagar a otros sistemas punto final copias funcionales
de sí mismo o de sus segmentos. La propagación suele
efectuarse mediante conexiones de red o archivos adjuntos de
correo electrónico. Los gusanos no se pueden limpiar porque el
archivo en sí es un programa completo.
Solución: Trend Micro recomienda eliminar los gusanos.
Archivos protegidos
contra escritura
Solución: Elimine la protección contra escritura para que se
pueda limpiar el archivo.
Archivos protegidos
mediante
contraseña
Entre los archivos protegidos mediante contraseña se incluyen
los archivos comprimidos o archivos de Microsoft Office
protegidos con contraseña.
Solución: elimine la protección contra contraseña para que se
pueda limpiar el archivo.
D-29
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Copia de seguridad
de los archivos
WFBS INI
Los archivos con la extensión RB0~RB9 son copias de seguridad
de los archivos infectados. El proceso de limpieza crea una copia
de seguridad del archivo infectado por si el virus/malware daña el
archivo original durante el proceso de limpieza.
Solución: si se consigue limpiar el archivo infectado
correctamente, no es necesario conservar la copia de seguridad.
Si el punto final funciona con normalidad, puede borrar el archivo
de copia de seguridad.
D-30
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Archivos infectados
de la Papelera de
reciclaje
Si el sistema está en funcionamiento, es posible que el sistema
no permita eliminar los archivos infectados de la Papelera de
reciclaje.
Solución para Windows XP o Windows Server 2003 con un
sistema de archivos NTFS:
1.
Inicie sesión en el punto final con derechos de administrador.
2.
Cierre todas las aplicaciones en ejecución para evitar que
bloqueen el archivo, lo que podría impedir que Windows
eliminara los archivos infectados.
3.
Abra el símbolo del sistema.
4.
Escriba lo siguiente para eliminar los archivos:
cd \
cd recycled
del *.* /S
El último comando elimina todos los archivos de la Papelera
de reciclaje.
5.
Compruebe si se han eliminado los archivos.
Solución para otros sistemas operativos (o aquellos sin NTFS):
1.
Reinicie el punto final en modo MS-DOS.
2.
Abra el símbolo del sistema.
3.
cd \
cd recycled
del *.* /S
El último comando elimina todos los archivos de la Papelera
de reciclaje.
D-31
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Archivos infectados
de la carpeta
temporal de
Windows o de
Internet Explorer
D-32
Es posible que el sistema no permita limpiar los archivos
infectados en la carpeta temporal de Windows o de Internet
Explorer debido a que el punto final esté usando estos archivos.
Los archivos que intenta limpiar pueden ser archivos temporales
necesarios para el funcionamiento de Windows.
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Solución para Windows XP o Windows Server 2003 con un
sistema de archivos NTFS:
1.
Inicie sesión en el punto final con derechos de administrador.
2.
Cierre todas las aplicaciones en ejecución para evitar que
bloqueen el archivo, lo que podría impedir que Windows
eliminara los archivos infectados.
3.
En caso de que el archivo infectado se encuentre en la
carpeta temporal de Windows:
a.
Abra el símbolo del sistema y vaya a la carpeta temporal
de Windows (ubicada de forma predeterminada en C:
\Windows\Temp en el caso de equipos con puntos
finales Windows XP o Windows Server 2003).
b.
cd temp
attrib -h
del *.* /S
El último comando elimina todos los archivos de la
carpeta temporal de Windows.
4.
carpeta temporal de Internet Explorer:
a.
de Internet Explorer (ubicada de forma predeterminada
en C:\Documents and Settings\<su nombre de
usuario>\Configuración local\Archivos
temporales de Internet en el caso de los equipos
con puntos finales Windows XP o Server 2003).
b.
cd tempor~1
attrib -h
del *.* /S
carpeta temporal de Internet Explorer.
c.
Compruebe si se han eliminado los archivos.
D-33
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Solución para otros sistemas operativos (o aquellos sin NTFS):
1.
Reinicie el punto final en modo MS-DOS.
2.
carpeta temporal de Windows:
a.
de Windows (ubicada de forma predeterminada en C:
\Windows\Temp en el caso de equipos con puntos
finales Windows XP o Windows Server 2003).
b.
cd temp
attrib -h
del *.* /S
carpeta temporal de Windows.
c.
3.
Reinicie el punto final en modo normal.
carpeta temporal de Internet Explorer:
a.
de Internet Explorer (ubicada de forma predeterminada
en C:\Documents and Settings\<su nombre de
usuario>\Configuración local\Archivos
temporales de Internet en el caso de los equipos
con puntos finales Windows XP o Server 2003).
b.
cd tempor~1
attrib -h
del *.* /S
carpeta temporal de Internet Explorer.
c.
D-34
Reinicie el punto final en modo normal.
ARCHIVO QUE NO SE
PUEDE LIMPIAR
Archivos
comprimidos con un
formato de
compresión no
admitido
Solución: descomprima los archivos.
Archivos
bloqueados o
archivos
actualmente en
ejecución
Solución: desbloquee los archivos o espere hasta que se hayan
ejecutado.
Archivos dañados
Solución: borre los archivos.
D-35
Índice
A
acciones de exploración
spyware/grayware, 7-16
ActiveAction, 7-17
actualización del servidor
actualización manual, 8-14
actualización programada, 8-15
Duplicación de componentes, 8-12
Agente de actualización, 3-5
archivos cifrados, 14-9
Archivos Hotfix, 8-10
archivos sospechosos, C-4
ARP en conflicto, D-4
Ataque con fragmentos pequeños, D-5
Ataque LAND, D-5
AutoPcc.exe, 3-9, 3-10, 3-13, 3-14
B
Base de conocimientos, C-2
C
Centro de información de seguridad, C-4
Client Packager, 3-10, 3-15, 3-17
configuración, 3-16
implementación, 3-18
Código malicioso ActiveX, 1-10
Código malicioso Java, 1-10
Compatibilidad con IPv6, B-2
limitaciones, B-4, B-5
visualización de direcciones IPv6, B-7
complejidad de la contraseña, 6-59
componentes, 8-4
configuración de DHCP, 3-27
Configuración de inicio de sesión, 3-9, 3-10,
3-13, 3-14
Consola Web, 2-4, 2-5
acerca de, 2-4
requisitos, 2-5
Controlador de la supervisión de
comportamiento, 8-8
Controlador del cortafuegos habitual, 8-8
Cortafuegos
ventajas, 5-11
D
Damage Cleanup Services, 3-4
Desbordamiento SYN, D-5
desinstalación
uso del programa de desinstalación, 3-45
Detección de rootkits, 8-9
directorio de cuarentena, 5-31, 14-10
documentación, xii
Duplicación de componentes, 8-12
E
Enciclopedia de virus, 1-10
Evaluación de la documentación, C-5
exploración convencional, 5-4, 5-5
Exploración de spyware/grayware
acciones, 7-16
F
file reputation, 1-5
Fragmento demasiado grande, D-4
funciones nuevas, 1-2
G
Gusanos, 1-11
H
Herramienta de diagnóstico de casos, C-3
IN-1
I
IDS, D-4
IGMP fragmentado, D-5
Infector de archivos COM, 1-10
Infector de archivos EXE, 1-10
instalación del cliente
Client Packager, 3-15
Configuración de inicio de sesión, 3-13
desde la consola Web, 3-19
mediante Vulnerability Scanner, 3-23
instalación remota, 3-9
M
método de exploración, 3-16
Métodos de instalación del Security Agent,
3-8
motor de Damage Cleanup, 8-7
Motor de exploración antispyware, 8-7
Motor de exploración antivirus, 8-5
P
packer, 1-11
página Web de instalación, 3-8, 3-9
Patrón de aplicación de políticas, 8-9
Patrón de configuración de la supervisión de
comportamiento, 8-9
Patrón de detección de la supervisión de
comportamiento, 8-8
Patrón de excepciones de IntelliTrap, 8-7
Patrón de firmas digitales, 8-9
Patrón de IntelliTrap, 8-7
Patrón de spyware, 8-8
Patrón de virus, 8-6, 8-16
patrones incrementales, 8-12
Ping de la muerte, D-4
Plantilla de limpieza de virus, 8-7
Plug-in Manager, 3-5
IN-2
políticas de seguridad
complejidad de la contraseña
requisitos, 6-59
ponerse en contacto, C-2–C-5
enviar archivos sospechosos, C-4
Evaluación de la documentación, C-5
servicio de asistencia técnica, C-2
Trend Micro, C-2–C-5
probable virus/malware, 1-10
Programa de broma, 1-9
Programa de caballo de Troya, 1-10, 8-7
programas, 8-4
protección de los dispositivos externos, 8-9
protección inteligente, 1-4, 1-5
Servicios de File Reputation, 1-5
Servicios de Reputación Web, 1-5
Smart Protection Network, 1-4
R
reputación Web, 1-5, 3-4
Revisiones, 8-10
Revisiones de seguridad, 8-10
riesgos de seguridad, 1-12
S
Secuencia de comandos de prueba EICAR,
1-11
Servicio básico de la supervisión de
comportamiento, 8-9
servicio de asistencia técnica, C-2
Sistema de detección de intrusiones, D-4
Smart Protection Network, 1-4
smart scan, 5-4, 5-5
Solapamiento de fragmentos, D-5
Índice
adware, 1-12
aplicaciones de robo de contraseñas,
1-12
herramienta de acceso remoto, 1-12
herramientas de piratería, 1-12
programas de broma, 1-12
programas de marcación, 1-12
spyware, 1-12
T
tareas previas a la instalación, 3-11, 3-20, 3-24
Teardrop, D-5
tipos de exploración, 3-4
TrendLabs, C-5
Trend Micro
Centro de información de seguridad,
Virus de macro, 1-10
Virus de prueba, 1-11
virus de red, 5-11
Virus de sector de arranque, 1-10
Virus HTML, 1-11
Virus JavaScript, 1-11
Virus VBScript, 1-11
Vulnerability Scanner, 3-10, 3-23
configuración de DHCP, 3-27
configuración del comando ping, 3-35
recuperación de la descripción del
equipo, 3-33
W
WFBS
documentación, xii
C-4
información de contacto, C-4
TrendLabs, C-5
V
virus/malware, 1-9–1-11
Código malicioso ActiveX, 1-10
Código malicioso Java, 1-10
Gusanos, 1-11
infector de archivos COM y EXE, 1-10
packer, 1-11
probable virus/malware, 1-10
Programa de broma, 1-9
Programa de caballo de Troya, 1-10
tipos, 1-9–1-11
Virus de macro, 1-10
Virus de prueba, 1-11
Virus de sector de arranque, 1-10
Virus de VBScript, JavaScript o
HTML, 1-11
IN-3
TREND MICRO INCORPORATED
TREND MICRO España Plaza de las Cortes, 4 – 8º Izq. Madrid, 28014 España
Teléfono: +34 91 369 70 30 Fax: +34 91 369 70 31 [email protected]
www.trendmicro.com
Código de elemento: WFSM96274/140108

Worry-Free™ p

Transcripción

Documentos relacionados

G DATA CLIENT SECURITY BUSINESS

Cámara Tipo Lápiz de alta resolución

Descargar como PDF

CON NOSOTROS ESTARÁ SIEMPRE SEGURO

pruebas y entrevistas de seguridad