Guía del cliente para Symantec Endpoint Protection y Symantec Network Access Control

(1)

Guía del cliente para

Symantec™ Endpoint

Protection y Symantec

Network Access Control

(2)

Guía del cliente para Symantec Endpoint Protection y

Symantec Network Access Control

El software que se describe en este manual se suministra con acuerdo de licencia y sólo puede utilizarse según los términos de dicho acuerdo.

Versión de la documentación 11.00.05.00.00

Aviso legal

Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comerciales registradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros países. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios.

Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec está obligado a reconocer a estos terceros (“Programas de terceros”). Algunos de los programas de otros fabricantes están disponibles mediante licencias de código abierto o software gratuito. El acuerdo de licencia que acompaña el software no altera ningún derecho u obligación que pueda tener en virtud de esas licencias de código abierto o software gratuito. Para obtener más información sobre los Programas de otros fabricantes, consulte el apéndice de esta documentación Aviso legal sobre otros fabricantes, o bien el archivo Léame TPIP que acompaña este producto de Symantec.

El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribución y descompilación o ingeniería inversa. Está prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorización previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos.

LA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y NO SE OFRECE NINGÚN TIPO DE GARANTÍA EN RELACIÓN CON CONDICIONES EXPRESAS O IMPLÍCITAS,

REPRESENTACIONES Y GARANTÍAS, INCLUSO GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIÓN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIÓN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE DAÑOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO.

El Software y la Documentación con licencia se consideran programas informáticos comerciales según lo definido en la sección 12.212 de la normativa de adquisiciones de la Administración Federal de los EE. UU. (FAR) y conforme a derechos restringidos según lo definido en la sección 52.227-19 de la FAR sobre derechos restringidos de los programas informáticos comerciales, y en la sección 227.7202 de la normativa de adquisiciones de la Defensa de la Administración Federal de los EE. UU. (DFARS), sobre los derechos de los programas informáticos comerciales y la documentación de programas informáticos

(3)

comerciales, según corresponda, y cualquier normativa siguiente. Cualquier uso,

modificación, versión de reproducción, rendimiento, visualización o divulgación del Software y de la Documentación con licencia por parte del Gobierno de los EE. UU. se realizará exclusivamente de acuerdo con los términos de este acuerdo.

Symantec Corporation 350 Ellis Street

Mountain View, CA 94043 http://www.symantec.com.mx

(4)

Soporte técnico

El soporte técnico de Symantec cuenta con centros de soporte global. El rol principal del soporte técnico es responder a las consultas específicas sobre funciones del producto y funcionalidad. El grupo de soporte técnico, además, elabora el contenido para nuestra Base de conocimientos en línea. El grupo de soporte técnico trabaja con otras áreas funcionales dentro de Symantec para contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte técnico trabaja con el Departamento de Ingeniería y Symantec Security Response para

proporcionar servicios de alertas y actualizaciones de definiciones de virus. Las ofertas de mantenimiento de Symantec incluyen lo siguiente:

■ Una gama de opciones de soporte que brindan flexibilidad para seleccionar la cantidad adecuada de servicio para organizaciones de cualquier tamaño

■ Soporte telefónico y basado en Web que proporciona respuesta rápida e información actualizada

■ Garantía de actualización que brinda protección automática para la actualización de software

■ Soporte global disponible 24 horas al día, 7 días a la semana

■ Funciones avanzadas, incluso servicios de administración de cuentas Para obtener información sobre los Programas de mantenimiento de Symantec, puede visitar el sitio web en la siguiente URL:

http://www.symantec.com/techsupp

Contactar al soporte técnico

Los clientes con un acuerdo de mantenimiento existente pueden acceder a la información del soporte técnico en la siguiente URL:

Antes de contactar al soporte técnico, asegúrese de haber cumplido con los requisitos de sistema que se enumeran en la documentación del producto. Además, es necesario que esté en el equipo en el cual ocurrió el problema, en caso de que sea necesario replicar el problema.

Cuando contacte al soporte técnico, tenga a mano la siguiente información:

■ Nivel de versión de producto

■ Información de hardware

■ Memoria disponible, espacio libre en el disco e información de la NIC

(5)

■ Número de versión y parche

■ Topología de red

■ Router, gateway e información de la dirección IP

■ Descripción del problema:

■ Mensajes de error y archivos de registro

■ Sesión de resolución de problemas llevada a cabo antes de contactar a Symantec

■ Cambios recientes en la configuración del software y en la red

Concesión de licencia y registro

Si su producto de Symantec requiere registro o clave de licencia, acceda a nuestra página web de soporte técnico en la siguiente URL:

Servicio al cliente

La información del servicio al cliente está disponible en la siguiente URL:

El servicio al cliente está disponible para ayudar con los siguientes tipos de problemas:

■ Preguntas relacionadas con la concesión de licencias o la serialización de productos

■ Actualizaciones del registro del producto, como cambio de dirección o de nombre

■ Información general de producto (funciones, disponibilidad de idioma, distribuidores locales)

■ La información más reciente sobre actualizaciones del producto

■ Información sobre garantía de actualización y contratos de mantenimiento

■ Información sobre los Programas de compras de Symantec

■ Sugerencia sobre las opciones de soporte técnico de Symantec

■ Preguntas no técnicas previas a las ventas

(6)

Recursos del acuerdo de mantenimiento

Si desea contactar a Symantec con respecto a un acuerdo de mantenimiento existente, contacte al equipo de administración del acuerdo de mantenimiento correspondiente a su región:

[email protected] Asia Pacífico y Japón

[email protected] Europa, Oriente Medio y África

[email protected] Norteamérica y América Latina

Servicios empresariales adicionales

Symantec ofrece un conjunto completo de servicios que permiten que se maximice la inversión en productos de Symantec y que se desarrolle el conocimiento, la experiencia y la penetración global, lo que permite administrar los riesgos del negocio de forma proactiva.

Los servicios empresariales disponibles incluyen lo siguiente:

Estas soluciones proporcionan detección temprana de ataques cibernéticos, análisis integrales de amenazas y contramedidas para evitar ataques. Soluciones de alerta temprana de

Symantec

Estos servicios quitan la carga de administrar y supervisar los dispositivos de seguridad y los sucesos, lo que garantiza una respuesta rápida ante amenazas reales.

Servicios de seguridad administrada

Los Servicios de consultoría de Symantec brindan experiencia técnica presencial de Symantec y de sus partners de confianza. Los Servicios de consultoría de Symantec ofrecen una variedad de opciones preembaladas y personalizables que incluyen funcionalidades de evaluación, diseño, implementación, supervisión y administración. Cada uno se centra en establecer y mantener la integridad y la disponibilidad de los recursos informáticos.

Servicios de consultoría

Los Servicios educativos proporcionan una gama completa de aprendizaje técnico, educación sobre la seguridad, certificación de seguridad y programas de comunicación del conocimiento.

Servicios educativos

Para acceder a más información sobre los servicios empresariales, visite nuestro sitio web en la siguiente URL:

www.symantec.com

(7)

Soporte técnico

... 4

Sección 1

Guía de inicio en el cliente

... 13

Capítulo 1

Conceptos generales del cliente

... 15

Acerca del cliente ... 15

Acerca del cliente de Symantec Endpoint Protection ... 16

Acerca del cliente de Symantec Network Access Control ... 17

Recursos de soporte técnico ... 17

Capítulo 2

Respuesta al cliente

... 19

Acerca de la interacción con el cliente ... 19

Acciones sobre los archivos infectados ... 20

Acerca del daño provocado por virus ... 21

Acerca de las notificaciones y alertas ... 22

Respuesta a las notificaciones relacionadas con aplicaciones ... 22

Respuesta a las alertas de seguridad ... 25

Respuesta a las notificaciones de Network Access Control ... 25

Capítulo 3

Configuración de la protección

... 27

Cómo se mantiene actualizada la protección de su equipo ... 28

Cómo se actualiza la protección en clientes administrados ... 29

Cómo se actualiza la protección en clientes no administrados ... 29

Acerca de los clientes administrados centralmente y los clientes autoadministrados ... 29

Convertir un cliente no administrado en un cliente administrado ... 31

Acerca de las políticas de seguridad ... 32

Cómo actualizar el archivo de políticas manualmente ... 32

Verificar que las políticas se han actualizado ... 33

Cómo habilitar y deshabilitar las tecnologías de protección ... 33

Habilitación o deshabilitación de Auto-Protect ... 36

(8)

Cómo habilitar o deshabilitar Protección contra amenazas de

red ... 37

Habilitar y deshabilitar Protección proactiva contra amenazas ... 38

Actualización de la protección del cliente ... 38

Cómo actualizar su protección de forma inmediata ... 39

Actualización de su protección en una programación ... 40

Probar la seguridad del equipo ... 41

Acerca de las ubicaciones ... 41

Modificar ubicaciones ... 42

Acerca de la Protección contra intervenciones ... 43

Habilitar, deshabilitar y configurar Protección contra intervenciones ... 44

Acerca de evitar que un administrador reinicie su equipo ... 45

Acerca del icono del área de notificación ... 45

Ocultar y visualizar el icono del área de notificación ... 47

Sección 2

Administración del cliente de Symantec

Endpoint Protection

... 49

Capítulo 4

Administración del cliente de Symantec Endpoint

Protection

... 51

De qué forma protege Symantec Endpoint Protection el sistema ... 51

Acerca de la Protección antivirus y contra software espía ... 52

Acerca de la protección contra amenazas de red ... 52

Acerca de la protección proactiva contra amenazas ... 53

Acerca de los virus y los riesgos de seguridad ... 53

Respuesta del cliente ante virus y riesgos de seguridad ... 57

Usar el cliente con Windows Security Center ... 58

Cómo analizar su equipo de forma inmediata ... 59

Interrupción y retraso de análisis ... 60

Capítulo 5

Administración de la Protección antivirus y contra

software espía

... 63

Acerca de la configuración antivirus y contra software espía ... 64

Acerca del análisis de archivos ... 64

Si la aplicación de correo electrónico utiliza un solo archivo de bandeja de entrada ... 64

Acerca de los análisis por extensión ... 65

Acerca del análisis de todos los tipos de archivos ... 66

Contenido 8

(9)

Acerca de excluir elementos del análisis ... 66

Acerca de la prevención de infecciones causadas por virus de macro ... 67

Cuando el cliente detecta un virus o un riesgo de seguridad ... 68

Acerca de Auto-Protect ... 69

Acerca de Auto-Protect y los riesgos de seguridad ... 69

Acerca de los análisis de correo electrónico de Auto-Protect ... 70

Deshabilitar el uso de Auto-Protect con conexiones de correo electrónico cifradas ... 71

Ver estadísticas de análisis de Auto-Protect ... 72

Ver la lista de riesgos ... 72

Configurar Auto-Protect para determinar tipos de archivo ... 72

Habilitar y deshabilitar el bloqueo y análisis de riesgos de seguridad de Auto-Protect ... 73

Configuración del análisis de red ... 74

Usar análisis antivirus y de software espía ... 77

Cómo funcionan los análisis antivirus y contra software espía ... 77

Acerca de los archivos de definiciones ... 79

Acerca del análisis de archivos comprimidos ... 79

Configurar análisis antivirus y de software espía ... 80

Programación de un análisis definido por el usuario ... 80

Cómo programar un análisis para que se ejecute manualmente o cuando se inicia el equipo ... 82

Editar y eliminar análisis al iniciar, definidos por el usuario y programados ... 84

Interpretar los resultados de los análisis ... 84

Acerca de la interacción con los resultados del análisis o los resultados de Auto-Protect ... 85

Cómo enviar la información sobre las detecciones del análisis a Symantec Security Response ... 87

Configurar acciones para virus y riesgos de seguridad ... 88

Consejos para asignar segundas acciones para virus ... 91

Consejos para asignar segundas acciones para riesgos de seguridad ... 92

Acerca de la clasificación de impacto del riesgo ... 92

Configurar notificaciones para virus y riesgos de seguridad ... 93

Exclusión de elementos del análisis ... 96

Acerca de la administración de archivos en cuarentena ... 97

Acerca de los archivos infectados en la cuarentena ... 98

Acerca del tratamiento de los archivos infectados en la cuarentena ... 98

9 Contenido

(10)

Acerca del tratamiento de los archivos infectados por riesgos de

seguridad ... 99

Administración de la cuarentena ... 99

Ver archivos y detalles en el área de cuarentena ... 100

Nuevo análisis de los archivos en cuarentena en busca de virus ... 100

Cuando un archivo reparado no se puede devolver a su ubicación original ... 101

Limpiar elementos de copia de seguridad ... 101

Eliminar archivos de la cuarentena ... 102

Borrar automáticamente archivos de la cuarentena ... 102

Enviar un archivo potencialmente infectado a Symantec Security Response para su análisis ... 103

Capítulo 6

Administrar la protección proactiva contra

amenazas

... 105

Acerca de los análisis de amenazas proactivos TruScan ... 105

Procesos y aplicaciones examinados por los análisis de amenazas proactivos TruScan ... 106

Acerca de las excepciones para los análisis de amenazas proactivos TruScan ... 107

Acerca de las detecciones del análisis de amenazas proactivo TruScan ... 108

Acerca de la actuación sobre falsos positivos ... 109

Configurar la frecuencia de los análisis de amenazas proactivos TruScan ... 109

Administrar detecciones de amenazas proactivas TruScan ... 110

Configurar una acción para la detección de aplicaciones comerciales ... 111

Especificar acciones y niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones ... 112

Especificar los tipos de procesos que detectan los análisis de amenazas proactivos TruScan ... 113

Configurar notificaciones para las detecciones del análisis de amenazas proactivo TruScan ... 114

Enviar información sobre análisis de amenazas proactivos TruScan a Symantec Security Response ... 114

Cómo excluir un proceso de los análisis de amenazas proactivos TruScan ... 115

Contenido 10

(11)

Capítulo 7

Administrar la Protección contra amenazas de

red

... 117

Administrar la Protección contra amenazas de red ... 117

Acerca de la Protección contra amenazas de red ... 119

Cómo el cliente protege contra ataques de red ... 119

Acerca del firewall de Symantec Endpoint Protection ... 120

Acerca del sistema de prevención de intrusiones ... 121

Configuración del firewall ... 123

Acerca de las normas de firewall ... 124

Adición de una norma de firewall ... 129

Cómo cambiar el orden de una norma de firewall ... 130

Habilitar e inhabilitar normas ... 131

Exportación e importación de normas ... 131

Edición y eliminación de normas ... 132

Habilitar la configuración de tráfico y de la navegación oculta por la Web ... 133

Habilitar el filtro de tráfico inteligente ... 133

Habilitar el uso compartido de archivos e impresoras en la red ... 134

Bloquear tráfico ... 136

Configurar las opciones de prevención de intrusiones ... 138

Configurar notificaciones de prevención de intrusiones ... 139

Bloquear y desbloquear un equipo atacante ... 139

Configurar valores específicos de una aplicación ... 140

Quitar restricciones para una aplicación ... 142

Sección 3

Administración del cliente de Symantec

Network Access Control

... 145

Capítulo 8

Uso del cliente de Symantec Network Access

Control

... 147

Cómo funciona Symantec Network Access Control ... 147

Ejecutar una comprobación de integridad del host ... 149

Acerca de la actualización de la política de integridad del host ... 150

Corregir el equipo ... 150

Ver los registros de Network Access Control ... 150

Cómo funciona el cliente con Enforcer ... 151

Configurar el cliente para la autenticación 802.1x ... 152

Reautenticar el equipo ... 155

11 Contenido

(12)

Sección 4

Supervisión y registro

... 157

Capítulo 9

Uso y administración de registros

... 159

Acerca de los registros ... 159

Visualización de los registros ... 162

Filtrar las vistas del registro ... 162

Administrar el tamaño del registro ... 164

Configurar el tiempo de retención para las entradas de registro de Protección antivirus y contra software espía ... 165

Configurar el tamaño de los registros de Protección contra amenazas de red y de Administración de clientes ... 165

Configurar el tiempo de retención para las entradas de registro de Protección contra amenazas de red y Administración de clientes ... 166

Acerca del borrado de contenido del Registro del sistema de Protección antivirus y contra software espía ... 166

Borrar el contenido de los registros de Protección contra amenazas de red y de Administración de clientes ... 166

Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas ... 167

Usar los registros de Protección contra amenazas de red y de Administración de clientes ... 168

Actualizar los registros de Protección contra amenazas de red y de Administración de clientes ... 168

Habilitar el Registro de paquetes ... 168

Detener una respuesta activa ... 169

Localizar el origen de los eventos registrados ... 169

Usar los registros de Administración de clientes con Symantec Network Access Control ... 170

Exportar datos de registro ... 170

Índice

... 173

Contenido 12

(13)

Guía de inicio en el cliente

■ Capítulo 1. Conceptos generales del cliente

■ Capítulo 2. Respuesta al cliente

■ Capítulo 3. Configuración de la protección

1

(14)

(15)

Conceptos generales del

cliente

En este capítulo se incluyen los temas siguientes:

■ Acerca del cliente

■ Acerca del cliente de Symantec Endpoint Protection

■ Acerca del cliente de Symantec Network Access Control

■ Recursos de soporte técnico

Acerca del cliente

Symantec produce los dos siguientes productos de protección de puntos finales que se pueden usar juntos o por separado.

Tabla 1-1 Tipos de clientes de protección de puntos finales Descripción

Tipo de cliente

Symantec Endpoint Protection protege su equipo contra amenazas de Internet y riesgos de seguridad.

Ver"Acerca del cliente de Symantec Endpoint Protection" en la página 16.

Symantec Endpoint Protection

1

(16)

Descripción Tipo de cliente

Symantec Network Access Control garantiza que la configuración de seguridad del equipo se ajuste a las políticas de red. La configuración de seguridad puede incluir software, opciones de configuración de software, archivos de firmas, parches u otros elementos.

Ver"Acerca del cliente de Symantec Network Access Control"en la página 17.

Symantec Network Access Control

Usted o su administrador pueden haber instalado uno o ambos productos de software de cliente de Symantec en su equipo. Si su administrador instaló el cliente, el administrador determinó los productos que se habilitarán en el cliente. El administrador le informará acerca de las tareas que debe realizar utilizando el cliente.

Si instaló el cliente en su equipo, entonces es una instalación independiente. Una instalación independiente significa que un administrador no administra su software de cliente.

Ver"Acerca de los clientes administrados centralmente y los clientes autoadministrados"en la página 29.

Nota:Si el usuario o su administrador han instalado solamente uno de estos productos en su equipo, el nombre de dicho producto aparece en la barra de título. Cuando se habilitan ambos tipos de protección, en la barra de título aparece Symantec Endpoint Protection.

Acerca del cliente de Symantec Endpoint Protection

Las opciones predeterminadas para el cliente proporcionan Protección antivirus y contra software espía, Protección proactiva contra amenazas y Protección contra amenazas de red. Es posible ajustar las opciones predeterminadas para adaptarlas a las necesidades de su compañía, optimizar el rendimiento del sistema y deshabilitar las opciones que no se aplican.

Ver"De qué forma protege Symantec Endpoint Protection el sistema"

en la página 51.

Symantec Endpoint Protection puede realizar las acciones siguientes:

■ Analizar el equipo en busca de virus, amenazas conocidas y riesgos de seguridad.

Ver"Cómo analizar su equipo de forma inmediata"en la página 59. Ver"Acerca del análisis de archivos"en la página 64.

Conceptos generales del cliente

Acerca del cliente de Symantec Endpoint Protection 16

(17)

■ Supervisar los puertos en busca de firmas de ataques conocidas.

■ Supervisar los programas del equipo para detectar comportamiento sospechoso. Ver"Acerca de los análisis de amenazas proactivos TruScan"en la página 105.

■ Proteja su equipo contra ataques de red.

Ver"Administrar la Protección contra amenazas de red"en la página 117.

Acerca del cliente de Symantec Network Access

Control

El cliente de Symantec Network Access Control evalúa si un equipo está protegido correctamente y cumple con las políticas antes de permitirle conectarse a la red corporativa.

El cliente se asegura de que el equipo cumpla con una política de seguridad configurada por su administrador. La política de seguridad comprueba si el equipo utiliza el software de seguridad más reciente, tal como aplicaciones antivirus y de firewall. Si su equipo no cuenta con el software necesario, usted o el cliente deben actualizar el software. Si su software de seguridad no está actualizado, es posible que se bloquee la conexión de su equipo a la red. El cliente realiza análisis periódicos para verificar que el equipo continúe cumpliendo con la política de seguridad.

Ver"Cómo funciona Symantec Network Access Control"en la página 147.

Recursos de soporte técnico

Tabla 1-2enumera los sitios web de Symantec en donde se puede encontrar más información.

Tabla 1-2 Sitios web de Symantec Dirección web

Tipo de información

http://www.symantec.com/es/mx/business/products/downloads/ Software de prueba de Symantec

Endpoint Protection

17 Conceptos generales del cliente Acerca del cliente de Symantec Network Access Control

(18)

Dirección web Tipo de información

http://www.symantec.com/business/support/overview.jsp?pid=54619 http://www.symantec.com/business/support/overview.jsp?pid=52788 Base de conocimientos pública

Versiones

Actualizaciones de la documentación y manuales

Opciones de contacto

Notas de la versión e información adicional posterior al lanzamiento

http://www.symantec.com/es/mx/security_response/ Información y actualización de virus

y otras amenazas http://www.symantec.com/es/mx/business/ Noticias y actualizaciones de productos http://www.symantec.com/connect/security/forums http://www.symantec.com/connect/security/forums/network-access-control Foros de Symantec Endpoint

Protection

http://www.symantec.com/education/endpointsecurity Capacitación técnica en línea gratuita

Conceptos generales del cliente Recursos de soporte técnico 18

(19)

Respuesta al cliente

■ Acerca de la interacción con el cliente

■ Acciones sobre los archivos infectados

■ Acerca de las notificaciones y alertas

Acerca de la interacción con el cliente

El cliente funciona en el segundo plano para mantener el equipo protegido contra actividad maliciosa. El cliente necesita a veces notificar al usuario sobre una actividad o solicitarle una respuesta.

Si Symantec Endpoint Protection está habilitado en el equipo, es posible que se experimenten los tipos siguientes de interacción con el cliente:

Si Auto-Protect o un análisis detecta un virus o un riesgo de seguridad, el cuadro de diálogo Resultados de la detección de

Symantec Endpoint Protection aparece. Los detalles sobre la

infección están incluidos. El cuadro de diálogo también muestra la acción que Symantec Endpoint Protection realizó sobre el riesgo. Generalmente no es necesario tomar más medidas, con excepción de revisar la actividad y cerrar el cuadro de diálogo. Es posible tomar medidas si es necesario, sin embargo. Ver"Acciones sobre los archivos infectados"en la página 20. Detección de virus o

riesgos de seguridad

Cuando un programa del equipo intenta acceder a una red, Symantec Endpoint Protection puede solicitarle que permita o niegue el permiso para hacerlo.

Ver"Respuesta a las notificaciones relacionadas con aplicaciones" en la página 22. Notificaciones relacionadas con aplicaciones

2 Capítulo

(20)

Symantec Endpoint Protection le informa cuando bloquea un programa o cuando detecta un ataque contra su equipo. Ver"Respuesta a las alertas de seguridad"en la página 25. Alertas de seguridad

Si Symantec Network Access Control está habilitado en el equipo, es posible que vea un mensaje de Network Access Control. Este mensaje aparece cuando su configuración de seguridad no se ajusta a los estándares que su administrador ha configurado.

Ver"Respuesta a las notificaciones de Network Access Control"en la página 25.

Acciones sobre los archivos infectados

De forma predeterminada, Auto-Protect se ejecuta continuamente en el equipo. Para los clientes no administrados, un Active Scan generado automáticamente se ejecuta al iniciar el equipo. Para los clientes administrados, su administrador configura típicamente un análisis completo que se ejecuta por lo menos una vez a la semana. Auto-Protect muestra un cuadro de diálogo de los resultados cuando hace una detección. Cuando se ejecutan análisis, aparece un cuadro de diálogo para mostrar los resultados del análisis. Para los equipos administrados, el administrador puede desactivar estos tipos de notificaciones.

Si recibe estos tipos de notificaciones, es posible que necesite actuar sobre un archivo infectado.

La opción predeterminada para Auto-Protect y todos los tipos de análisis es limpiar el virus del archivo infectado al detectarlo. Si el cliente no puede limpiar un archivo, registra el incidente y mueve el archivo infectado a la cuarentena. La cuarentena local es una ubicación especial reservada para los archivos infectados y los efectos secundarios del sistema relacionados. Para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados y quita o repara sus efectos secundarios. El cliente registra la detección si no puede reparar el archivo.

Nota: En la cuarentena, el virus no puede propagarse. Cuando el cliente mueve un archivo al área de cuarentena, no tiene acceso al archivo.

Cuando Symantec Endpoint Protection repara un archivo infectado por virus, no es necesario tomar otras medidas para proteger el equipo. Si el cliente pone en cuarentena un archivo infectado por un riesgo de seguridad y luego lo quita y repara, no es necesario tomar medidas adicionales.

Puede no ser necesario actuar sobre un archivo, pero es posible que quiera realizar una acción adicional sobre él. Por ejemplo, puede optar por eliminar un archivo que haya sido limpiado porque desea sustituirlo por un archivo original.

Respuesta al cliente

Acciones sobre los archivos infectados 20

(21)

Es posible utilizar las notificaciones para actuar sobre el archivo inmediatamente. Es posible también utilizar la vista del registro o la cuarentena para actuar sobre el archivo en otro momento.

Ver"Interpretar los resultados de los análisis"en la página 84.

Ver"Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas"en la página 167.

Ver"Acerca de la administración de archivos en cuarentena"en la página 97. Para realizar acciones sobre los archivos infectados

1

Realice una de las acciones siguientes:

■ En el cuadro de diálogo de progreso del análisis, seleccione los archivos que desee una vez que el análisis haya finalizado.

■ En el cuadro de diálogo de los resultados de análisis, seleccione los archivos que usted desee.

■ En el cliente, en la barra lateral, haga clic en Ver registros y, a

continuación, junto a Protección antivirus y contra software espía, haga clic en Ver registros. En la vista del registro, seleccione los archivos que usted desee.

2

Haga clic con el botón secundario en el archivo o los archivos en cuestión y, a continuación, haga clic en una de las opciones siguientes. Recuerde que, en algunos casos, el cliente no podrá realizar la acción que usted seleccionó.

■ Deshacer acción: anula el efecto de la acción tomada.

■ Limpiar (sólo para virus): elimina el virus del archivo.

■ Suprimir permanentemente: elimina el archivo infectado y todos los efectos secundarios. Para los riesgos de seguridad, utilice esta acción con precaución. En algunos casos, si usted borra riesgos de seguridad, es posible que cause la pérdida de funcionalidad de alguna aplicación.

■ Poner en cuarentena: pone en cuarentena los archivos infectados. Para los riesgos de seguridad, el cliente también intenta quitar o reparar los efectos secundarios.

■ Propiedades: muestra información sobre el virus o riesgo de seguridad.

Acerca del daño provocado por virus

Si Symantec Endpoint Protection encuentra una infección poco después de que esta ocurra, el archivo infectado puede seguir funcionando correctamente después de que el cliente lo limpie. A veces, sin embargo, Symantec Endpoint Protection puede limpiar un archivo infectado que ya fue dañado por un virus. Por ejemplo,

21 Respuesta al cliente Acciones sobre los archivos infectados

(22)

Symantec Endpoint Protection puede encontrar un virus que daña un archivo de documento. Symantec Endpoint Protection elimina el virus, pero no puede reparar el daño dentro del archivo infectado.

Acerca de las notificaciones y alertas

Es posible ver diversos tipos de notificaciones en el equipo. Estas notificaciones generalmente describen una situación e indican cómo el cliente intenta resolver el problema.

Es posible ver los tipos de notificaciones siguientes:

■ Notificaciones relacionadas con aplicaciones

■ Alertas de seguridad

Respuesta a las notificaciones relacionadas con aplicaciones

Es posible ver una notificación que le pregunte si desea permitir la ejecución de una aplicación o un servicio.

Este tipo de notificación aparece por uno de los motivos siguientes:

■ La aplicación pide acceder a su conexión de red.

■ Se ha actualizado una aplicación que ha accedido a su conexión de red.

■ El cliente conmutó a los usuarios con la función de Cambio rápido de usuario.

■ Su administrador actualizó el software de cliente.

Es posible ver el tipo siguiente de mensaje, que le dice cuando una aplicación o un servicio intenta acceder a su equipo:

Internet Explorer (IEXPLORE.EXE) está intentando conectarse a

www.symantec.com.mx mediante el puerto remoto 80 (HTTP - World Wide Web). ¿Desea permitir que este programa acceda a la red?

Para responder a las aplicaciones que intentan acceder a la red

1

En el cuadro de mensaje, haga clic en Detalle.

Es posible ver más información sobre la conexión y la aplicación, tal como el nombre de archivo, el número de versión y el nombre de ruta.

2

Si desea que el cliente recuerde su opción la próxima vez que esta aplicación intente acceder a su conexión de red, haga clic en Recordar mi respuesta y

no solicitarla nuevamente para esta aplicación.

3

Realice una de las tareas siguientes:

Acerca de las notificaciones y alertas 22

(23)

■ Para permitir que la aplicación acceda a la conexión de red, haga clic en

Sí.

Haga clic en Sí solamente si usted reconoce la aplicación y está seguro de que desea que acceda a la conexión de red. Si no está seguro acerca de permitir el acceso de la aplicación a la conexión de red, consulte a su administrador.

■ Para bloquear el acceso de la aplicación a la conexión de red, haga clic en

No.

Tabla 2-1muestra cómo es posible responder a las notificaciones que le preguntan si desea permitir o bloquear una aplicación.

Tabla 2-1 Notificaciones de permiso para aplicaciones El cliente… Si hace clic en Si selecciona la casilla de verificación “Recordar mi respuesta…”

Permite la aplicación y no vuelve a preguntar.

Sí Sí

Permite la aplicación y pregunta cada vez. Sí

No

Bloquea la aplicación y no pregunta de nuevo.

No Sí

Bloquea la aplicación y pregunta cada vez. No

No

Es posible también modificar la acción para la aplicación en el campo Aplicaciones en ejecución o en la lista Aplicaciones.

Ver"Configurar valores específicos de una aplicación"en la página 140.

Notificaciones de modificación de aplicaciones

De vez en cuando, es posible que vea un mensaje que indica que una aplicación se ha modificado. El siguiente mensaje es un ejemplo.

“Telnet Program se ha modificado desde la última vez que se abrió Esto puede deberse a que lo actualizó recientemente.

¿Desea permitirle el acceso a la red?”

La aplicación que se menciona en el mensaje anterior intenta acceder a su conexión de red. Aunque el cliente reconozca el nombre de la aplicación, algún elemento de la aplicación se ha modificado desde la última vez que el cliente la detectó. Muy probablemente, se ha actualizado el producto recientemente. Cada nueva versión

23 Respuesta al cliente Acerca de las notificaciones y alertas

(24)

del producto utiliza un archivo de huella digital diferente al de la versión anterior. El cliente detecta que el archivo de huella digital se modificó.

Notificaciones de cambio rápido de usuario

Si utiliza Windows Vista/XP, es posible que vea una de las notificaciones siguientes:

“Symantec Endpoint Protection no puede mostrar la

interfaz de usuario. Si está utilizando la función de cambio rápido de usuario de Windows XP, asegúrese de todos los usuarios cierren sesión en Windows e intente desconectarse de Windows y después volver a iniciar sesión. Si está utilizando los servicios de terminal, la interfaz de usuario no se admite.”

o

“Symantec Endpoint Protection no estaba funcionando, pero será iniciado. Sin embargo, Symantec Endpoint Protection no puede mostrar la

interfaz de usuario. Si está utilizando la función de cambio rápido de usuario de Windows XP, asegúrese de todos los usuarios cierren sesión en Windows e intente desconectarse de Windows y después volver a iniciar sesión. Si está utilizando los servicios de terminal, la interfaz de usuario no se admite.”

La función de cambio rápido de usuario es una función de Windows que permite alternar rápidamente entre los usuarios sin tener que desconectar el equipo. Varios usuarios pueden compartir un equipo simultáneamente y alternar entre ellos sin cerrar las aplicaciones que están usando. Una de estas ventanas aparece al alternar usuarios usando la función Cambio rápido de usuario.

Para responder a un mensaje de cambio rápido de usuario, siga las instrucciones del cuadro de diálogo.

Respuesta a notificaciones de actualización automática

Si el software de cliente se actualiza automáticamente, es posible ver la notificación siguiente:

Symantec Endpoint Protection ha detectado que existe una versión del software disponible en Symantec Endpoint Protection Manager. ¿Desea descargarla ahora?

Para responder a una notificación de actualización automática

1

■ Para descargar el software inmediatamente, haga clic en Descargar ahora.

(25)

■ Para recibir un recordatorio después de un tiempo especificado, haga clic en Recordármelo más tarde.

2

Si aparece un mensaje después de que comience el proceso de instalación para el software actualizado, haga clic en Aceptar.

Respuesta a las alertas de seguridad

Las alertas de seguridad muestran una notificación en el icono del área de notificación. Solo es necesario reconocer que leyó el mensaje haciendo clic en

Aceptar. Las notificaciones aparecen por alguno de los motivos siguientes:

Una aplicación que se ha iniciado desde su equipo se ha bloqueado de acuerdo con las normas configuradas por su administrador. Por ejemplo, es posible ver el mensaje siguiente:

El tráfico tiene el acceso bloqueado a esta aplicación: (nombre de aplicación)

Estas notificaciones indican que su cliente ha bloqueado el tráfico que usted especificó como que no es de confianza. Si el cliente se configura para bloquear todo el tráfico, estas notificaciones aparecen con frecuencia. Si su cliente está configurado para permitir todo el tráfico, estas notificaciones no aparecen. Mensajes de aplicaciones

bloqueadas

Se inició un ataque contra su equipo y una alerta le informa la situación o proporciona instrucciones sobre cómo tratar el ataque. Por ejemplo, es posible ver el mensaje siguiente:

El tráfico de la dirección IP 192.168.0.3 está bloqueado de 10/10/2006 15:37:58 a 10/10/2006 15:47:58. El ataque de análisis de puertos ha sido registrado.

Su administrador pudo haber deshabilitado las notificaciones de prevención de intrusiones en el equipo cliente.

Para ver qué tipos de ataques detecta su cliente, puede permitir al cliente que muestre notificaciones de prevención de intrusiones.

Ver"Configurar notificaciones de prevención de intrusiones"en la página 139. Intrusiones

Respuesta a las notificaciones de Network Access Control

Si el cliente de Symantec Network Access Control no cumple con las políticas de seguridad, es posible que no pueda acceder a la red. En este caso, es posible que se muestre un mensaje que indica que Symantec Enforcer bloqueó el tráfico porque la comprobación de integridad del host falló. Su administrador de redes puede haber agregado texto a este mensaje que sugiere acciones de corrección posibles.

25 Respuesta al cliente Acerca de las notificaciones y alertas

(26)

Después de cerrar el cuadro de mensaje, abra el cliente para ver si se muestran pasos sugeridos para restaurar el acceso a la red.

Para responder a las notificaciones de Network Access Control

1

Siga los pasos sugeridos que aparezcan en el cuadro de mensaje.

2

En el cuadro de mensaje, haga clic en Aceptar.

(27)

Configuración de la

protección

■ Cómo se mantiene actualizada la protección de su equipo

■ Acerca de los clientes administrados centralmente y los clientes autoadministrados

■ Convertir un cliente no administrado en un cliente administrado

■ Acerca de las políticas de seguridad

■ Cómo actualizar el archivo de políticas manualmente

■ Verificar que las políticas se han actualizado

■ Cómo habilitar y deshabilitar las tecnologías de protección

■ Actualización de la protección del cliente

■ Cómo actualizar su protección de forma inmediata

■ Actualización de su protección en una programación

■ Probar la seguridad del equipo

■ Acerca de las ubicaciones

■ Modificar ubicaciones

■ Acerca de la Protección contra intervenciones

■ Habilitar, deshabilitar y configurar Protección contra intervenciones

■ Acerca de evitar que un administrador reinicie su equipo

3

(28)

■ Acerca del icono del área de notificación

■ Ocultar y visualizar el icono del área de notificación

Cómo se mantiene actualizada la protección de su

equipo

Los ingenieros de Symantec hacen un seguimiento de los ataques de virus para identificar virus nuevos. También investigan amenazas combinadas, riesgos de seguridad tales como software espía, y otras vulnerabilidades que puedan ser explotadas cuando su equipo se conecta a Internet. Después de identificar un riesgo, escriben una firma (información sobre el riesgo) y la almacenan en un archivo de definiciones. Este archivo de definiciones contiene la información necesaria para detectar, eliminar y reparar los efectos del riesgo. Cuando Symantec Endpoint Protection realiza análisis en busca de virus y riesgos de seguridad, lleva a cabo búsquedas de estos tipos de firmas.

Otros elementos que deben mantenerse actualizados en el cliente son las listas de procesos permitidos y restringidos, y de firmas de ataques. Las listas de procesos ayudan a los análisis de amenazas proactivos TruScan a identificar

comportamiento de programas sospechoso, incluso si el cliente no reconoce una amenaza específica. Las firmas de ataques proporcionan la información que el sistema de prevención de intrusiones necesita para mantener el equipo a salvo de intrusos.

Además de los archivos de definiciones, las listas de procesos y las firmas de ataques, el cliente necesita actualizar sus componentes de vez en cuando. Tales componentes pueden incluir los motores de análisis y el firewall. Estas

actualizaciones pueden consistir en reparaciones de defectos de menor importancia o en mejoras del producto.

Symantec pone actualizaciones a disposición de los usuarios de manera frecuente y constante. Las definiciones se actualizan diariamente en elsitio web de Symantec Security Response. Las nuevas definiciones de virus se ponen a disposición de los usuarios semanalmente (como mínimo) para que las descarguen mediante LiveUpdate, así como en el instante en que surja la amenaza de un nuevo virus destructivo.

Nota:El administrador puede controlar la frecuencia de actualización de las definiciones de su cliente.

Ver"Actualización de la protección del cliente"en la página 38.

Configuración de la protección

Cómo se mantiene actualizada la protección de su equipo 28

(29)

Cómo se actualiza la protección en clientes administrados

El administrador es quien determina el modo en que se actualizan las definiciones de virus y riesgos de seguridad. Lo más probable es que usted no tenga que hacer nada para recibir las nuevas definiciones.

Su administrador puede configurar la función LiveUpdate en Symantec Endpoint Protection para garantizar que la protección contra virus y riesgos de seguridad se mantenga actualizada. LiveUpdate se conecta a un equipo que guarda las actualizaciones, determina si su cliente necesita ser actualizado y descarga e instala los archivos apropiados. El equipo que almacena las actualizaciones puede ser un servidor de Symantec Endpoint Protection Manager interno de su compañía. Alternativamente, puede usarse un servidor de Symantec LiveUpdate al que se accede por Internet.

Nota:LiveUpdate no actualiza la configuración de la protección en su equipo. La configuración de la protección forma parte de las políticas de seguridad que su administrador configura y descarga a su equipo del servidor de administración.

Ver"Acerca de las políticas de seguridad"en la página 32.

Cómo se actualiza la protección en clientes no administrados

Los administradores no actualizan la protección en los clientes no administrados. Es posible actualizar el software y los archivos de definiciones usando LiveUpdate. Si su cliente no administrado utiliza la configuración predeterminada de LiveUpdate, una vez por semana verifica a través de Internet si hay actualizaciones en un servidor de Symantec.

Es posible modificar la frecuencia con la cual LiveUpdate verifica si hay actualizaciones. Se puede también ejecutar LiveUpdate manualmente si usted sabe que hubo un ataque de virus u otro riesgo de seguridad.

Acerca de los clientes administrados centralmente y

los clientes autoadministrados

Su administrador puede instalar el cliente como un cliente administrado centralmente (instalación administrada por un administrador) o un cliente autoadministrado (instalación independiente).

29 Configuración de la protección Acerca de los clientes administrados centralmente y los clientes autoadministrados

(30)

Tabla 3-1 Diferencias entre un cliente administrado centralmente y un cliente autoadministrado

Descripción Tipo de cliente

Un cliente administrado centralmente se comunica con un servidor de administración en su red. El administrador configura la protección y la configuración predeterminadas, y el servidor de administración descarga la configuración al cliente. Si el administrador realiza un cambio en la protección, el cambio se descarga casi de forma inmediata al cliente.

Los administradores pueden cambiar el nivel en el que se interactúa con el cliente de las siguientes maneras:

■ El administrador administra el cliente totalmente.

No es necesario configurar el cliente. Toda la configuración está bloqueada o no disponible, pero se puede ver la información sobre lo que hace el cliente en su equipo.

■ El administrador administra el cliente, pero se puede cambiar cierta configuración del cliente y realizar algunas tareas. Por ejemplo, puede ejecutar sus propios análisis y recuperar manualmente actualizaciones del cliente y actualizaciones de protección. La disponibilidad de las opciones del cliente, además de los valores de configuración mismos, pueden cambiar periódicamente. Por ejemplo, una opción puede cambiar cuando el administrador actualiza la política que controla su protección del cliente.

■ El administrador administra el cliente, pero se puede cambiar toda la configuración del cliente y realizar todas las tareas de protección. Cliente

administrado centralmente

Un cliente autoadministrado no se comunica con un servidor de administración y un administrador no administra el cliente. Un cliente autoadministrado puede ser uno de los siguientes tipos:

■ Un equipo independiente que no se conecta a una red, como un equipo personal o un equipo portátil. El equipo debe incluir una instalación de Symantec Endpoint Protection que utilice las opciones predeterminadas o una configuración preestablecida por un administrador.

■ Un equipo remoto que se conecte a la red corporativa y que deba cumplir los requisitos de seguridad para conectarse.

El cliente tiene la configuración predeterminada cuando se instala por primera vez. Una vez que el cliente está instalado, se puede cambiar toda la configuración del cliente y realizar todas las tareas de protección.

Cliente

autoadministrado

Tabla 3-2describe las diferencias en la interfaz de usuario entre un cliente administrado centralmente y un cliente autoadministrado.

Acerca de los clientes administrados centralmente y los clientes autoadministrados 30

(31)

Tabla 3-2 Diferencias entre un cliente administrado centralmente y un cliente autoadministrado por área de funciones

Cliente autoadministrado Cliente administrado

centralmente Área de funciones

El cliente no muestra un candado bloqueado ni un candado desbloqueado.

El cliente muestra una opción de candado bloqueado, que aparece atenuada para las opciones que no se pueden configurar. Opciones de

protección y virus

Toda la configuración aparece. La configuración que controla el

administrador no aparece. Configuración de la administración de clientes y de Protección contra amenazas de red

Ver"Acerca de la interacción con el cliente"en la página 19.

Convertir un cliente no administrado en un cliente

administrado

Si el cliente está instalado como cliente no administrado, es posible convertirlo en un cliente administrado. Un cliente administrado se comunica con el servidor de administración y recibe actualizaciones de definiciones de contenido e información de configuración. Un cliente no administrado no se comunica con un servidor de administración.

Para convertir un cliente no administrado en un cliente administrado, se importa un archivo sylink.xml que contiene las opciones de comunicación. Su administrador debe enviarle el archivo o guardarlo en una ubicación a la que pueda acceder. El nombre predeterminado para el archivo es nombre de grupo_sylink.xml. Una vez importado el archivo de comunicaciones, el icono del área de notificación aparece en la esquina inferior derecha del escritorio.

Ver"Acerca del icono del área de notificación"en la página 45. Para convertir un cliente no administrado en un cliente administrado

1

En el cliente, haga clic en Ayuda y soporte y después haga clic en Solución

de problemas.

2

En el cuadro de diálogo Administración, bajo Configuración de comunicaciones, haga clic en Importar.

31 Configuración de la protección Convertir un cliente no administrado en un cliente administrado

(32)

3

En el cuadro de diálogo Importar configuración de comunicaciones, localice el archivo nombre de grupo_sylink.xml y después haga clic en Abrir.

4

Haga clic en Cerrar.

Acerca de las políticas de seguridad

Una política de seguridad es una colección de opciones de seguridad que el administrador de un cliente administrado configura y distribuye en los clientes. Las políticas de seguridad determinan la configuración del cliente, incluso qué opciones es posible ver y a cuáles se puede acceder.

Los clientes administrados se conectan al servidor de administración y reciben automáticamente las políticas de seguridad más recientes. Si tiene dificultad con el acceso a la red, su administrador puede darle instrucciones para actualizar manualmente su archivo de políticas.

Ver"Cómo actualizar el archivo de políticas manualmente"en la página 32.

Cómo actualizar el archivo de políticas manualmente

Las opciones que controlan la protección en el cliente se almacenan en el equipo en un archivo de políticas. El archivo de políticas actualiza la configuración para Protección antivirus y contra software espía, Protección contra amenazas de red, Protección proactiva contra amenazas y Network Access Control. Este archivo de políticas de seguridad normalmente se actualiza de forma automática. Sin embargo, también es posible actualizar el archivo de políticas manualmente si no desea esperar hasta que se actualice el archivo de políticas.

Nota:Es posible ver el registro del sistema para verificar que la operación actualizó la política correctamente.

Ver"Visualización de los registros"en la página 162. Para actualizar el archivo de políticas manualmente

1

En el área de notificación de Windows, haga clic con el botón secundario en el icono del cliente.

2

En el menú emergente, haga clic en Actualizar política.

Configuración de la protección Acerca de las políticas de seguridad 32

(33)

Verificar que las políticas se han actualizado

Cuando se actualiza una política en el cliente, es posible comprobar si el cliente recibió la política.

Para verificar que los equipos cliente obtuvieron las políticas actualizadas

1

En el equipo cliente, en la ventana principal de Symantec Endpoint Protection, haga clic en Ver registros.

2

Al lado de Administración del cliente, haga clic en Ver registros y después haga clic en Registro del sistema.

Se muestra una entrada para la actualización de la política que contiene el número de serie.

Cómo habilitar y deshabilitar las tecnologías de

protección

Generalmente, siempre se desea mantener las tecnologías de protección habilitadas en su equipo.

Si tiene un problema con su equipo cliente, puede ser recomendable deshabilitar temporalmente todas las tecnologías de protección o las tecnologías de protección individuales. Por ejemplo, si tiene problemas con una aplicación que no se ejecuta o no se ejecuta correctamente, puede ser recomendable deshabilitar Protección contra amenazas de red.

Si aún tiene el problema una vez que se deshabilitan todas las tecnologías de protección, se sabe que el problema no es el cliente.

Tabla 3-3describe los motivos por los que puede ser recomendable deshabilitar cada tecnología de protección.

33 Configuración de la protección Verificar que las políticas se han actualizado

(34)

Tabla 3-3 Propósito para deshabilitar una tecnología de protección Propósito para deshabilitar la tecnología de protección Tecnología de

protección

Si deshabilita esta protección, se deshabilita Auto-Protect solamente. Los análisis programados o al iniciar aún se ejecutan si su administrador los ha configurado para hacerlo.

Usted o el administrador pueden habilitar o deshabilitar Auto-Protect por los siguientes motivos:

■ Auto-Protect pudo bloquearlo e impedirle abrir un documento. Por ejemplo, si abre Microsoft Word que tiene macros, Auto-Protect puede impedir que lo abra. Si sabe que el documento es seguro, se puede deshabilitar Auto-Protect.

■ Auto-Protect puede alertar acerca de una actividad vírica que el usuario sepa con seguridad que no está ocasionada por un virus. Por ejemplo, es posible que se muestre un aviso cuando se instalan nuevas aplicaciones informáticas. Si planea instalar más aplicaciones y desea evitar el aviso, es posible deshabilitar temporalmente Auto-Protect.

■ Auto-Protect puede interferir con el reemplazo del controlador de Windows.

■ Auto-Protect pudo retrasar el equipo cliente. Ver"Habilitación o deshabilitación de Auto-Protect" en la página 36.

Protección antivirus y contra software espía

Puede ser recomendable deshabilitar Protección proactiva contra amenazas por los siguientes motivos:

■ Se ven demasiadas advertencias sobre las amenazas que se sabe que no son amenazas.

■ Protección proactiva contra amenazas pudo retrasar el equipo cliente.

Ver"Habilitar y deshabilitar Protección proactiva contra amenazas"en la página 38.

Protección proactiva contra amenazas Configuración de la protección

Cómo habilitar y deshabilitar las tecnologías de protección 34

(35)

Propósito para deshabilitar la tecnología de protección Tecnología de

protección

Puede ser recomendable deshabilitar Protección contra amenazas de red por los siguientes motivos:

■ Se instala una aplicación que pudo hacer que el firewall la bloqueara.

■ Una norma de firewall o una configuración del firewall bloquea una aplicación debido al error de un administrador.

■ El firewall o el sistema de prevención de intrusiones causa problemas de red relacionados con la conectividad.

■ El firewall pudo retrasar el equipo cliente.

Ver"Cómo habilitar o deshabilitar Protección contra amenazas de red"en la página 37.

Protección contra amenazas de red

Advertencia:Asegúrese de habilitar cualquiera de las protecciones cuando haya completado su tarea de solución de problemas para asegurarse de que su equipo sigue protegido.

Si cualquiera de las tecnologías de protección causa un problema con una aplicación, es mejor crear una excepción que deshabilitar permanentemente la protección.

Ver"Acerca de excluir elementos del análisis"en la página 66. Cuando se deshabilita cualquiera de las protecciones:

■ La barra de estado en la parte superior de la página Estado es roja.

■ El icono del cliente aparece con un signo universal de negación, un círculo rojo con una barra diagonal. El icono del cliente aparece como un escudo completo en la barra de tareas en la esquina inferior derecha del escritorio de Windows. En algunas configuraciones, el icono no aparece.

Ver"Acerca del icono del área de notificación"en la página 45.

En un cliente administrado centralmente, su administrador puede habilitar cualquier protección en cualquier momento.

Para habilitar las tecnologías de protección desde la página Estado

◆ En el cliente, en la parte superior de la página Estado, haga clic en Reparar o Reparar todo.

Para habilitar o deshabilitar las tecnologías de protección desde la barra de tareas

◆ En el escritorio de Windows, en el área de notificación, haga clic con el botón secundario en el icono del cliente y realice una de las siguientes acciones:

35 Configuración de la protección Cómo habilitar y deshabilitar las tecnologías de protección

(36)

■ Haga clic en Habilitar Symantec Endpoint Protection.

■ Haga clic en Deshabilitar Symantec Endpoint Protection.

Habilitación o deshabilitación de Auto-Protect

Es posible habilitar o deshabilitar Auto-Protect para el sistema de archivos para los archivos y los procesos, el correo electrónico de Internet y las aplicaciones de grupo de correo electrónico. Cuando cualquier tipo de Auto-Protect se deshabilita, el estado de la protección antivirus y contra software espía aparece en rojo en la página de estado.

Cuando se haga clic con el botón secundario en el icono, una marca de verificación aparece al lado de Habilitar Auto-Protect cuando Auto-Protect para archivos y procesos está habilitado.

Ver"Cómo habilitar y deshabilitar las tecnologías de protección"en la página 33.

Nota:En un cliente administrado centralmente, su administrador puede bloquear Auto-Protect de modo que usted no pueda deshabilitarlo. Además, el administrador puede especificar que sea posible deshabilitar Auto-Protect temporalmente, pero que Auto-Protect se habilite automáticamente después de una cantidad de tiempo especificada..

En caso de que no se haya modificado la configuración predeterminada, Auto-Protect se carga de forma automática al iniciar el sistema con el fin de protegerlo frente a los virus y los riesgos de seguridad. Auto-Protect analiza los programas en busca de virus y riesgos de seguridad cuando se ejecutan. También supervisa su equipo en busca de cualquier actividad que pudiera indicar la presencia de un virus o de un riesgo de seguridad. Cuando se detecte un virus, una actividad vírica (un evento que pudiera estar provocado por un virus) o un riesgo de seguridad, Auto-Protect emitirá una alerta.

Para habilitar o deshabilitar Auto-Protect para el sistema de archivos

◆ En el cliente, en la página Estado, al lado de Protección antivirus y contra software espía, realice una de las siguientes acciones:

Para habilitar o deshabilitar Auto-Protect para el correo electrónico

1

En el cliente, en la barra lateral, haga clic en Cambiar configuración.

2

Junto a Protección antivirus y contra software espía, haga clic en Configurar

opciones.

3

Cómo habilitar y deshabilitar las tecnologías de protección 36

(37)

■ En la ficha Auto-Protect para el correo electrónico de Internet, seleccione o anule la selección de Habilitar Auto-Protect para el correo electrónico

de Internet.

■ En la ficha Auto-Protect para Microsoft Outlook, seleccione o anule la selección de Habilitar Auto-Protect para Microsoft Outlook.

■ En la ficha Auto-Protect para Lotus Notes, seleccione o anule la selección de Habilitar Auto-Protect para Lotus Notes.

4

Haga clic en Aceptar.

Cómo habilitar o deshabilitar Protección contra amenazas de red

Puede ser recomendable deshabilitar Protección contra amenazas de red si no se puede abrir una aplicación. Si no está seguro de que Protección contra amenazas de red causa el problema, puede ser recomendable deshabilitar todas las tecnologías de protección.

Ver"Cómo habilitar y deshabilitar las tecnologías de protección"en la página 33. Si es posible deshabilitar la protección, es posible volver a habilitarla en cualquier momento. El administrador puede también habilitar y deshabilitar la protección en cualquier momento, incluso si reemplaza el estado que usted establece para la protección.

Su administrador pudo haber configurado los límites siguientes para el momento y la duración posibles para deshabilitar la protección:

■ Si el cliente permite todo el tráfico o todo el tráfico saliente solamente.

■ La duración del período durante el que se deshabilita la protección.

■ Cuántas veces es posible deshabilitar la protección antes de reiniciar el cliente. Ver"Administrar la Protección contra amenazas de red"en la página 117. Ver"Bloquear y desbloquear un equipo atacante"en la página 139. Para habilitar o deshabilitar Protección contra amenazas de red

◆ En el cliente, en la página Estado, al lado de Protección contra amenazas de

red, realice una de las siguientes acciones:

■ Haga clic en Opciones > Habilitar Protección contra amenazas de red.

■ Haga clic en Opciones > Deshabilitar Protección contra amenazas de

red.

37 Configuración de la protección Cómo habilitar y deshabilitar las tecnologías de protección

(38)

Habilitar y deshabilitar Protección proactiva contra amenazas

Puede ser recomendable deshabilitar Protección proactiva contra amenazas si los análisis muestran demasiadas advertencias o falsos positivos. Los falsos positivos ocurren cuando el análisis detecta una aplicación o un proceso como amenaza cuando no lo es.

Se habilita Protección proactiva contra amenazas cuando se habilitan las opciones

Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones. Si una de las opciones se deshabilita, el cliente

muestra el estado de Protección proactiva contra amenazas como deshabilitado. En un cliente administrado centralmente, su administrador puede bloquear Protección proactiva contra amenazas de modo que usted no pueda deshabilitarlo. Protección proactiva contra amenazas se deshabilita automáticamente en los equipos cliente que ejecutan Windows XP x64 Edition o Windows Server 2000, 2003 y 2008.

Ver"Acerca de los análisis de amenazas proactivos TruScan"en la página 105. Para habilitar o deshabilitar Protección proactiva contra amenazas

◆ En el cliente, en la página Estado, al lado de Protección proactiva contra

amenazas, realice una de las siguientes acciones:

■ Haga clic en Opciones > Habilitar protección proactiva contra amenazas.

■ Haga clic en Opciones > Deshabilitar protección proactiva contra

amenazas.

Actualización de la protección del cliente

Los productos de Symantec dependen de la información más actual para proteger el sistema de nuevas amenazas descubiertas. Symantec pone a su disposición esa información a través de LiveUpdate. LiveUpdate obtiene actualizaciones de programa y de protección para su equipo usando su conexión de Internet. Las actualizaciones de protección son los archivos que mantienen sus productos de Symantec actualizados con la tecnología más más actual de protección contra amenazas. LiveUpdate obtiene los nuevos archivos de definiciones desde un sitio de Internet de Symantec y reemplaza los archivos de definiciones anteriores. Las actualizaciones de protección que usted recibe dependen de los productos instalados en su equipo.

Las actualizaciones de protección pueden incluir los siguientes archivos:

■ Archivos de definiciones de virus para Protección antivirus y contra software espía.

Actualización de la protección del cliente 38

(39)

Ver"Cómo funcionan los análisis antivirus y contra software espía"

en la página 77.

■ Firmas heurísticas y listas de aplicaciones comerciales para Protección proactiva contra amenazas.

■ Archivos de definiciones IPS para Protección contra amenazas de red. Ver"Acerca de la Protección contra amenazas de red"en la página 119. Las actualizaciones del programa son mejoras al cliente instalado. Estas son diferentes de las actualizaciones del producto, que son versiones más recientes del producto. Las actualizaciones del producto se crean generalmente para ampliar la compatibilidad del sistema operativo o del hardware, para ajustar cuestiones de rendimiento o para reparar errores del producto. Las actualizaciones del producto aparecen cuando son necesarias. El cliente recibe actualizaciones del producto directamente de un servidor de LiveUpdate. Un cliente administrado centralmente puede además recibir actualizaciones del producto automáticamente de un servidor de administración en su empresa.

Tabla 3-4 Maneras de actualizar las definiciones en su equipo Descripción

Tarea

De forma predeterminada, LiveUpdate se ejecuta automáticamente en los intervalos programados. En un cliente autoadministrado, se puede deshabilitar o cambiar una programación de LiveUpdate.

Ver"Actualización de su protección en una programación"en la página 40.

Actualizar su protección en una programación

De acuerdo con su configuración de seguridad, es posible ejecutar LiveUpdate de forma inmediata.

Ver"Cómo actualizar su protección de forma inmediata" en la página 39.

Actualizar su protección de forma inmediata

Nota:El HTTP se admite para la comunicación de LiveUpdate, pero el HTTPS no se admite.

Cómo actualizar su protección de forma inmediata

Es posible actualizar los archivos de definiciones de forma inmediata usando LiveUpdate. Es necesario ejecutar LiveUpdate manualmente por los siguientes motivos:

39 Configuración de la protección Cómo actualizar su protección de forma inmediata

(40)

■ El cliente fue instalado recientemente.

■ Ha pasado mucho tiempo desde el último análisis.

■ Sospecha que tiene un virus.

Ver"Actualización de la protección del cliente"en la página 38. Para actualizar su protección de forma inmediata

◆ En el cliente, en la barra lateral, haga clic en LiveUpdate.

LiveUpdate se conecta con el servidor de Symantec, comprueba si hay actualizaciones disponibles y las descarga e instala automáticamente.

Actualización de su protección en una programación

Es posible crear una programación de modo que LiveUpdate se ejecute automáticamente en intervalos programados. Es conveniente programar la ejecución de LiveUpdate durante el tiempo en que usted no usa su equipo.

Nota:Es posible configurar solamente LiveUpdate para ejecutarse en una programación si su administrador lo ha habilitado.

Para actualizar su protección en una programación

1

En el cliente, en la barra lateral, haga clic en Cambiar configuración.

2

Al lado de Administración de clientes, haga clic en Configurar opciones.

3

En el cuadro de diálogo Configuración de administración del cliente, haga clic en Actualizaciones programadas.

4

En la ficha Actualizaciones programadas, seleccione Habilitar

actualizaciones automáticas.

5

En el cuadro de grupo Frecuencia, seleccione si desea que las actualizaciones se ejecuten diaria, semanal o mensualmente.

6

En el cuadro de grupo Cuándo, seleccione el día o la semana y la hora en la que usted quisiera que las actualizaciones se ejecutaran.

La configuración del cuadro de grupo Cuándo depende de la configuración del cuadro de grupo Frecuencia.

7

Seleccione Continuar intentando durante y después especifique el intervalo de tiempo durante el que el cliente intenta ejecutar LiveUpdate de nuevo.

Actualización de su protección en una programación 40