Descripción de la empresa
Empresa centralizada, establecida físicamente en diferentes plantas, con un mínimo de 100 equipos, agrupados en diferentes dominios. La empresa está estructurada en cuatro departamentos: Contabilidad, Comercial, Almacén y Recursos Humanos. Existe un servidor en el departamento de Contabilidad, configurado para:
-correo electrónico -servicio web
- carpetas compartidas en diferentes unidades de red.
Se quiere permitir acceso libre a Internet a los usuarios del departamento Comercial. Se desea bloquear el acceso a Internet a los usuarios del departamento Almacén. En Contabilidad y Recursos Humanos se quiere bloquear la utilización de determinada aplicación de mensajería instantánea.
Recomendaciones de configuración
En este caso la recomendación pasa por la creación de tres perfiles: - uno para el servidor situado en el departamento de Contabilidad, - otro con el acceso a Internet restringido para Almacén,
- y otro más con la aplicación de mensajería instantánea bloqueada para Contabilidad y Recursos Humanos.
En el caso del departamento Comercial, se habilitaría para los equipos de este grupo la opción de administración de firewall desde cliente (desde Endpoint).
En primer lugar, es necesario crear un perfil para el servidor (llámelo, por ejemplo, perfil_servidor).
Panda Cloud Office Protection – Guía avanzada de administración 168
Configuración general
En este caso puede optar por desactivar la opción Mostrar alerta local en caso de detectar software malintencionado, en la pestaña Alertas.
También es conveniente configurar las actualizaciones, pero recuerde que al tratarse de un servidor es recomendable que el proceso de actualizaciones –y consiguiente reinicio del servidor si fuera necesario para dicho proceso- se realice dentro de una franja horaria en la que no se obstaculice el normal funcionamiento de la red informática de la empresa.
Teniendo en cuenta lo anterior, haga clic en Opciones avanzadas de actualización, en la pestaña Principal, ventana Edición de perfil. Especifique la franja horaria y si desea permitir el reinicio automático del servidor si fuera necesario para finalizar la actualización. A continuación haga clic en Aceptar.
Ahora, como es lógico, habrá que configurar las protecciones anti-malware y firewall para que este perfil que se está creando sea el adecuado a un servidor de estas características.
Protección anti-malware
Pestaña Archivos: por defecto la protección antivirus protege todo tipo de archivos en el servidor. Si desea excluir de la protección alguno de ellos, puede hacerlo utilizando las opciones avanzadas para la protección de archivos.
Pestaña Heurístico: al tratarse de un equipo que actúa como servidor de directorios compartidos en unidades de red, esto supone que normalmente son muchos los usuarios que pueden acceder y gestionar en mayor o menor grado los archivos y aplicaciones compartidos, siempre en función de los permisos que posean. Si el permiso de los usuarios es de sólo lectura no hay problema, pero cuando los permisos permiten a los usuarios copiar, editar y modificar los archivos, la situación cambia. El análisis heurístico realiza un estudio a fondo del comportamiento de los archivos y aplicaciones, en busca de malware.
Protección firewall
Es importante que la configuración de la protección firewall en un servidor se lleve a cabo con cuidado, y que la persona a cargo de la misma sea un administrador conocedor de los servicios para los que dicho servidor ha sido configurado y de los puertos utilizados. Esto evitará que cualquier modificación en la configuración de la protección firewall del servidor entre en conflicto con los servicios que éste proporciona a las estaciones de trabajo.
En lo que a las estaciones de trabajo se refiere, en este caso de uso, al tratarse de empresas de tamaño considerable y al contrario de lo que sucedía en el caso de uso número uno, se van a crear dos grupos de equipos por departamento. A estos grupos se les asignarán los perfiles previamente creados y configurados. Esto permite asignar a cada grupo un tipo de perfil –abierto o restringido- y posibilita gestionar mejor los
Panda Cloud Office Protection – Guía avanzada de administración 169 equipos, moverlos de un grupo a otro e instalar la protección en los equipos a medida que se necesita.
1. Cree un perfil abierto por cada departamento (comercial_abierto, contabilidad_abierto, etc.)
2. Cree el perfil almacén_restringido y utilice la pestaña Programas de la configuración de la protección firewall para bloquear el acceso a Internet.
Para ello, haga clic en el botón Añadir y en la ventana Edición de perfil – Nueva regla de programa haga clic en el botón Examinar. Vaya a la ubicación en la que se encuentra el navegador de Internet que desea bloquear, seleccione el archivo ejecutable de dicho navegador y haga clic en Abrir. A continuación, en el desplegable Comunicación seleccione el tipo de comunicación que desea aplicar a la nueva regla que está creando (por defecto se mostrará ninguna conexión), y haga clic en Aceptar. En la ventana Edición de perfil aparecerá el nombre del navegador y la comunicación que tiene asignada.
3. Cree los perfiles contabilidad_restringido y rrhh_restringido y utilice la pestaña Programas de la configuración de la protección firewall para bloquear el acceso a la aplicación de mensajería instantánea en ambos perfiles.
Para ello, haga clic en el botón Añadir y en la ventana Edición de perfil – Nueva regla de programa haga clic en el botón Examinar. Vaya a la ubicación en la que se encuentra la aplicación de mensajería instantánea, seleccione el archivo ejecutable de dicha aplicación y haga clic en Abrir. Después, en el desplegable Comunicación seleccione el tipo de comunicación que desea aplicar a la nueva regla que está creando (por defecto se mostrará ninguna conexión), y haga clic en Aceptar. En la ventanaEdición de perfil aparecerá el nombre de la aplicación y la comunicación que tiene asignada.
4. Cree dos grupos de equipos por departamento. Si lo desea puede llamarlos
comercial_abierto, comercial_restringido, almacén_abierto, almacén_restringido, etc.…). Asigne a cada grupo los equipos correspondientes.
Para ello:
-Seleccione Grupo.
-Haga clic en el vínculo Crear nuevo grupo.
-Especifique el nombre del grupo y el perfil que desea asignarle.
-Seleccione de entre los equipos disponibles los que quiere que formen parte del grupo, y haga clic en Asignar.
Al haber creado dos grupos por departamento, nos encontramos con que en el caso del departamento Comercial no hay grupos asignados al perfil comercial_restringido, lo cual no quiere decir que en un futuro no los vaya a haber. De esta manera todas las opciones básicas de configuración de perfiles para los diferentes departamentos quedan cubiertas, y a partir de ahí es el criterio del administrador de la protección el
Panda Cloud Office Protection – Guía avanzada de administración 170 que decide qué grupos crear, eliminar, modificar y qué equipos mover de un grupo a otro, etc.
En cuanto a la instalación, lo ideal en este caso es utilizar la herramienta de distribución de Panda Cloud Office Protection para desplegar la protección. Una vez descargada la herramienta e instalada en el equipo desde el que va a realizar el despliegue, puede seleccionar los equipos destinatarios de la protección en base al dominio al que pertenecen o de manera individual por dirección IP o nombre.
Una vez que la protección se ha instalado en los equipos, éstos se pueden mover de un grupo a otro. También es posible eliminar un equipo, haciendo clic sobre su nombre y seleccionando la opción Eliminar de la base de datos, en la pantalla Detallas de equipo.
Es muy importante que se asegure de que tiene derechos de administrador sobre los dominios en los que están los equipos a los que va a distribuir la protección. Esto facilitará la tarea a la hora de instalar, ya que le evitará tener que identificarse individualmente en cada uno de los equipos. En cualquier caso, antes de instalar la protección consulte siempre los requisitos que los diferentes equipos deben reunir.