Para empresas grandes y medianas

(1)

Guía de introducción del Servidor

de Protección Inteligente

Para empresas grandes y medianas

(2)

(3)

Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a utilizar el software, consulte los archivos Léame, las notas de la versión y la última versión de la correspondiente información para el usuario, documentación que encontrará disponibles en el sitio Web de Trend Micro, en:

http://downloadcenter.trendmicro.com/

Trend Micro, el logotipo en forma de pelota de Trend Micro, OfficeScan, Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall, ScanMail, ServerProtect y TrendLabs son marcas comerciales o marcas comerciales registradas de Trend Micro, Incorporated. El resto de nombres de productos o empresas pueden ser marcas comerciales o marcas comerciales registradas de sus respectivos propietarios. Copyright © 1998-2010 Trend Micro Incorporated. Reservados todos los derechos. Nº de documento OSEM104459/10421

Fecha de publicación: Agosto de 2010

(4)

También encontrará información pormenorizada sobre cómo utilizar funciones específicas del software en el archivo de Ayuda en línea y en la Base de conocimientos del sitio Web de Trend Micro.

Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda, comentario o sugerencia con relación a los documentos de Trend Micro, póngase en contacto con nosotros a través del correo electrónico [email protected]. Podrá obtener y valorar la documentación en el siguiente sitio Web:

(5)

Contenido

Prefacio

Documentación de OfficeScan ...viii

Destinatarios ...ix

Convenciones del documento ...ix

Terminología ...x

Capítulo 1: Presentación de las soluciones de Protección

Inteligente de Trend Micro

Acerca de las soluciones de Protección Inteligente ... 1-2 Una nueva solución necesaria ... 1-2 Servicios de Protección Inteligente ... 1-3 File Reputation ... 1-4 Reputación Web ... 1-4 Feedback Inteligente ... 1-5 Fuentes de Protección Inteligente ... 1-6 Red de Protección Inteligente de Trend Micro ... 1-8 Servidores de Protección Inteligente ... 1-8 Archivos de patrones de Protección Inteligente ... 1-9 Proceso de actualización de patrones ... 1-10 El proceso de consulta ... 1-11 Características y ventajas ... 1-14

(6)

Capítulo 2: Uso de los servicios de Protección Inteligente

Uso de los servicios de reputación de archivos ...2-2

Métodos de exploración ...2-2 Descripción general de la implementación del método

de exploración ...2-8 Implementación del método de exploración durante una nueva

instalación ...2-9 Implementación del método de exploración durante

la actualización ...2-10 Si actualiza desde OfficeScan 10.x: ...2-10 Si actualiza desde OfficeScan 8.x/7.3: ...2-10 Uso de los servicios de reputación Web ...2-15 Políticas de reputación Web ...2-15 Listas de URL permitidas y bloqueadas ...2-17

Capítulo 3: Entorno de las soluciones de Protección

Inteligente

Preparación del entorno de las soluciones de Protección Inteligente ...3-2 Instalación de los Servidores de Protección Inteligente ...3-3 Directrices de instalación ...3-4 Consideraciones sobre el rendimiento ...3-4 Recomendaciones ...3-5 Instalación del Servidor de Protección Inteligente independiente ...3-6

Novedades en el Servidor de Protección Inteligente

independiente ...3-7 Requisitos del Servidor de Protección Inteligente independiente ..3-8 Realizar una instalación nueva ...3-10 Actualización del Servidor de Protección Inteligente

independiente ...3-24 Después de la instalación ...3-25 Configuración inicial ...3-26 Uso de los servicios de Protección Inteligente ...3-30 Instalación del Servidor de Protección Inteligente integrado ...3-35

Comprobar la instalación del Servidor de Protección

(7)

Contenido

Uso de los servicios de Protección Inteligente ... 3-38 Reactivación del Servidor de Protección Inteligente Integrado ... 3-38 Configuración del proxy del cliente ... 3-41 Configuración del proxy externo ... 3-41 Configuración del proxy interno ... 3-42 Lista del servidor de protección inteligente ... 3-43 Lista estándar ... 3-43 Listas personalizadas ... 3-46 Configuración de la ubicación del equipo ... 3-48 Servidores de referencia ... 3-50

Capítulo 4: Administración de clientes de OfficeScan

y Servidores de Protección Inteligente

Administrar clientes ... 4-2 Información sobre el cliente ... 4-2 Iconos de clientes ... 4-5 Administrar el Servidor de Protección Inteligente Independiente ... 4-14 Usar la consola del producto ... 4-14 Acceder a la consola del producto ... 4-15 Uso de la pantalla Resumen ... 4-16 Usar las pestañas ... 4-17 Mediante los componentes ... 4-18 Actualización ... 4-19 Configurar actualizaciones manuales ... 4-19 Configurar actualizaciones programadas ... 4-20 Configurar una fuente de actualización ... 4-23 Tareas administrativas ... 4-24 Uso del servicio SNMP ... 4-24 Registros ... 4-28 Registro de acceso Web ... 4-28 Registro de actualización ... 4-30 Mantenimiento de los registros ... 4-30 Visualización de las notificaciones ... 4-31 Notificaciones por correo electrónico ... 4-31

(8)

Cambiar la contraseña de la consola de productos ...4-37 Administrar el Servidor de Protección Inteligente Integrado ...4-39 Actualizar los componentes ...4-39 Proxy para la actualización del servidor ...4-41 Recuperación de componentes ...4-41

Capítulo 5: Obtener ayuda

Solución de problemas ...5-2 Ponerse en contacto con Trend Micro ...5-4 Asistencia técnica ...5-4 La Base de conocimientos de Trend Micro ...5-5 TrendLabs ...5-5 Centro de información de seguridad ...5-6 Enviar archivos sospechosos a Trend Micro ...5-6 Evaluación de la documentación ...5-7

Apéndice A: Tareas de implementación del método de

exploración

Configurar los métodos de exploración ...A-1 Registrar la información del servidor de OfficeScan ...A-2 Preparación del servidor de OfficeScan 10.5 ...A-2 Actualización de clientes mediante la transferencia a un servidor

de OfficeScan 10.5 ...A-4 Actualizar manualmente los clientes ...A-7 Configurar la actualización automática de clientes y la

configuración de la actualización ...A-9 Creación de dominios de OfficeScan ...A-12

(9)

Contenido

Apéndice B: Comandos de la Interfaz de línea de

comandos (CLI)

Lista de comandos ...B-2

Índice

(10)

(11)

Prefacio

Bienvenido a la Guía de introducción al Servidor de Protección Inteligente de Trend Micro™ para OfficeScan™. Este documento presenta los conceptos asociados a las soluciones de Protección Inteligente, guía a los usuarios en la preparación del entorno de Protección Inteligente y proporciona instrucciones acerca de cómo gestionar los clientes de OfficeScan empleando esta tecnología.

Los temas de este capítulo son los siguientes: • Documentación de OfficeScan en la página viii

• Destinatarios en la página ix

(12)

Documentación de OfficeScan

La documentación de OfficeScan incluye:

Puede descargar las versiones más recientes de los documentos PDF y el archivo Léame desde:

TABLA P-1. Documentación de OfficeScan

DOCUMENTACIÓN DESCRIPCIÓN

Guía de introducción al Servidor de Protección Inteligente de Trend Micro para OfficeScan

Un documento PDF que ayuda a los usuarios a comprender los conceptos asociados a las soluciones de Protección Inteligente y a preparar el entorno de Protección Inteligente necesario para gestionar los clientes de OfficeScan que utilicen estas soluciones

Manual de instalación y actualización

documento PDF que contiene los requisitos y procedimientos de instalación y actualización del servidor de OfficeScan Manual del

administrador

documento PDF que contiene información introductoria, procedimientos de instalación de clientes e instrucciones para la gestión de servidores y clientes de OfficeScan

Ayuda Los archivos HTML compilados en formato WebHelp o CHM que proporcionan información sobre procedimientos, consejos de uso e información específica de los campos. Se puede acceder a la Ayuda desde el servidor y el cliente de OfficeScan, las consolas de Policy Server y la instalación maestra de OfficeScan

Archivo Léame contiene una lista de los problemas conocidos y los pasos básicos para la instalación. También puede contener la información más reciente del producto, no disponible en la Ayuda o en la documentación impresa

Base de conocimientos

Una base de datos en línea que contiene información para solucionar problemas. Incluye la información más reciente acerca de los problemas conocidos de los productos. Para acceder a la Base de conocimientos, vaya al siguiente sitio Web:

(13)

Prefacio

Destinatarios

Los destinatarios de la documentación de OfficeScan son:

• Administradores de OfficeScan: responsables de la administración de OfficeScan, incluidas la instalación y la administración de los clientes y los servidores. Se presupone que estos usuarios cuentan con conocimientos avanzados sobre administración de redes y de servidores.

• Administradores de Cisco NAC: responsables del diseño y el mantenimiento de los sistemas de seguridad con equipamiento de servidores de Cisco NAC y de redes de Cisco. Se presupone que cuentan con experiencia en el uso de este equipamiento. • Usuarios finales: usuarios que tienen instalado en sus equipos el cliente de OfficeScan.

El nivel de destreza informática de estos usuarios va desde el inicial hasta el avanzado.

Convenciones del documento

Para ayudarle a encontrar e interpretar la información fácilmente, la documentación de OfficeScan utiliza las siguientes convenciones:

TABLA P-2. Convenciones del documento

CONVENCIÓN DESCRIPCIÓN

TODO EN MAYÚSCULAS Acrónimos, abreviaciones y nombres de determinados comandos y teclas del teclado

Negrita Menús y opciones de menú, botones de comandos, pestañas, opciones y tareas

Cursiva Referencias a otros documentos o componentes de

nuevas tecnologías

HERRAMIENTAS > HERRAMIENTASDECLIENTE

Una pista situada al inicio de los procedimientos que ayuda a los usuarios a navegar hasta la pantalla relevante de la consola Web. Si aparecen varias pistas significa que hay varios modos de llegar a la misma pantalla

(14)

Terminología

En la siguiente tabla se muestra la terminología oficial que se utiliza en la documentación de OfficeScan:

<Texto> Indica que el texto del interior de los corchetes se debe sustituir por los datos reales. Por ejemplo, C:\Archivos de Programa\<file_name> puede ser C:\Archivos de programa\ejemplo.jpg

Nota: texto

Ofrece notas o recomendaciones de configuración

Consejo: texto

Ofrece la mejor información práctica y recomendaciones sobre Trend Micro

ADVERTENCIA: texto

Ofrece avisos sobre las actividades que pueden dañar los equipos de la red

TABLA P-3. Terminología de OfficeScan

TERMINOLOGÍA DESCRIPCIÓN

Cliente El programa cliente de OfficeScan Equipo cliente o

punto final

El equipo en el que está instalado el cliente de OfficeScan

Usuario de cliente (o usuario)

La persona que administra el cliente de OfficeScan en el equipo cliente

Servidor El programa servidor de OfficeScan

TABLA P-2. Convenciones del documento (continuación)

(15)

Prefacio

Equipo servidor El equipo en el que está instalado el servidor de OfficeScan

Administrador (o administrador de OfficeScan)

La persona que administra el servidor de OfficeScan

Consola La interfaz de usuario en la que se configura y se gestiona el servidor de OfficeScan y la configuración del cliente La consola del programa del servidor de OfficeScan se denomina "consola Web", mientras que la del programa del cliente se denomina "consola del cliente"

Riesgo de seguridad Término global referido a virus/malware, spyware/grayware y amenazas Web.

Servicio de productos Incluye antivirus, Damage Cleanup Services, reputación Web y antispyware—los cuales se activan durante el proceso de instalación del servidor de OfficeScan OfficeScan Service Servicios alojados por Microsoft Management Console

(MMC). Por ejemplo, ofcservice.exe, el servicio maestro de OfficeScan

Programa Incluye el cliente de OfficeScan, Cisco Trust Agent y Plug-in Manager

Componentes Responsables de explorar, detectar y tomar las medidas oportunas frente a los riesgos de seguridad

Carpeta de instalación del cliente

La carpeta del equipo que contiene los archivos del cliente de OfficeScan. Si acepta la configuración predeterminada durante la instalación, puede encontrar la carpeta de instalación en cualquiera de las siguientes ubicaciones:

C:\Archivos de programa\Trend Micro\OfficeScan Client C:\Program Files (x86)\Trend Micro\OfficeScan Client TABLA P-3. Terminología de OfficeScan (continuación)

(16)

Carpeta de instalación del servidor

La carpeta del equipo que contiene los archivos del servidor de OfficeScan. Si acepta la configuración predeterminada durante la instalación, puede encontrar la carpeta de instalación en cualquiera de las siguientes ubicaciones:

C:\Program Files\Trend Micro\OfficeScan C:\Program Files (x86)\Trend Micro\OfficeScan

Por ejemplo, si un archivo se encuentra en la carpeta \PCCSRV dentro de la carpeta de instalación del servidor, la ruta completa del archivo es:

C:\Archivos de programa\Trend Micro\OfficeScan\ PCCSRV\<nombre_del_archivo>.

Cliente smart scan Cliente de OfficeScan que se ha configurado para utilizar smart scan

Cliente de exploración convencional

Cliente de OfficeScan que se ha configurado para utilizar la exploración convencional

TABLA P-3. Terminología de OfficeScan (continuación)

(17)

Capítulo 1

Presentación de las soluciones de

Protección Inteligente de Trend Micro

En este tema se describen las soluciones de Protección Inteligente de Trend Micro™ y los componentes que les proporcionan asistencia.

Los temas de este capítulo son los siguientes: • Acerca de las soluciones de Protección Inteligente en la página 1-2 • Características y ventajas en la página 1-14

(18)

Acerca de las soluciones de Protección

Inteligente

Las soluciones de Protección Inteligente de Trend Micro™ suponen una infraestructura de seguridad de contenidos de clientes por Internet de próxima generación diseñada para proteger a los clientes de las amenazas de Internet y de los riesgos de seguridad. Cuenta con soluciones tanto locales como alojadas con el fin de proteger a los usuarios, independientemente de si se encuentran en la red, en casa o en movimiento, mediante clientes ligeros para acceder a la correlación única de correo electrónico en la red y a las tecnologías de reputación Web y de ficheros, así como a las bases de datos de amenazas. La protección de los clientes se actualiza automáticamente y se refuerza a medida que van accediendo a la red más productos, servicios y usuarios, creando un servicio de protección de supervisión de entorno en tiempo real.

Mediante la incorporación de las tecnologías de reputación, exploración y correlación en la red, las soluciones de Protección Inteligente de Trend Micro reducen la dependencia en descargas de archivos de patrones convencionales y suprimen los atrasos que comúnmente están asociados a las actualizaciones de los equipos de sobremesa.

Una nueva solución necesaria

En este enfoque de gestión de amenazas basada en archivos, la mayor parte de los patrones (o definiciones) que se necesitan para proteger un punto final se envían según una programación sistemática. Estos patrones se envían por lotes desde Trend Micro a los puntos finales. Cuando se recibe una nueva actualización, el software de prevención de virus o malware del punto final vuelve a leer el lote de definiciones de patrones de los riesgos de virus o malware nuevos de la memoria. Si aparece un riesgo de virus o malware nuevo, el patrón tiene que ser actualizado de nuevo de forma parcial o completa y se vuelve a leer en el punto final para garantizar una protección continuada.

(19)

Presentación de las soluciones de Protección Inteligente de Trend Micro

A medida que ha ido pasando el tiempo, ha aumentado significativamente el volumen de amenazas emergentes exclusivas. Se espera que este volumen de amenazas siga creciendo casi exponencialmente en los próximos años. Esto es una tasa de crecimiento que supera con creces el volumen de los riesgos de seguridad conocidos actualmente. Aún más, el volumen de los riesgos de seguridad representa un nuevo tipo de riesgo de seguridad. El volumen de los riesgos de seguridad puede tener un impacto negativo en el rendimiento de los servidores y estaciones de trabajo, en el uso del ancho de banda de red y, en general, en el tiempo que se tarda en proporcionar una protección de calidad, o "tiempo para la protección".

Trend Micro ha sido pionero en un enfoque nuevo para gestionar el volumen de amenazas que se centra en hacer a los clientes de Trend Micro inmunes a esta amenaza que representa el volumen de virus o malware. La tecnología y la arquitectura que se utiliza en este esfuerzo pionero aprovecha la tecnología de redireccionamiento del almacenamiento de firmas y patrones de virus o malware a Internet. Mediante el redireccionamiento del almacenamiento de estas firmas de virus o malware a Internet, Trend Micro puede proporcionar mejor protección a sus clientes frente al futuro volumen de riesgos de seguridad emergentes.

Servicios de Protección Inteligente

Las soluciones de Protección Inteligente incluyen servicios que ofrecen firmas antimalware, reputaciones Web y bases de datos de amenazas que se encuentran almacenadas en la red. Estos servicios aprovechan la tecnología de reputación de archivos para detectar riesgos de seguridad y de reputación Web para bloquear de manera proactiva sitios Web maliciosos. La tecnología de reputación de archivos funciona mediante el redireccionamiento de un gran número de firmas antimalware que se almacenaron previamente en equipos finales para las fuentes de Protección Inteligente. La tecnología de reputación Web permite a las fuentes locales de Protección Inteligente alojar datos de reputación de URL alojados anteriormente solo por Trend Micro. Ambas tecnologías garantizan un menor consumo de ancho de banda al actualizar patrones o verificar la validez de una URL.

Además, Trend Micro continúa recopilando la información que envían de forma anónima los productos de Trend Micro desde cualquier parte del mundo para determinar de forma proactiva cada nueva amenaza.

(20)

Los servicios de Protección Inteligente aprovechan las siguientes tecnologías: • File Reputation en la página 1-4

• Reputación Web en la página 1-4 • Feedback Inteligente en la página 1-5

File Reputation

La tecnología de reputación de archivos de Trend Micro contrasta la reputación de cada uno de los archivos en una extensa base de datos en red. Como la información sobre malware se almacena en red, los usuarios pueden acceder a ella de forma inmediata. Las redes con contenido de alto rendimiento y los servidores locales guardados en caché garantizan una latencia mínima durante el proceso de comprobación. La estructura en red ofrece una protección más inmediata y elimina la carga de la implementación de patrones, además de reducir de forma significativa el tamaño global del cliente.

Reputación Web

La tecnología de reputación Web realiza un seguimiento de la credibilidad de los dominios Web mediante la asignación de un resultado de reputación basado en factores como la antigüedad del sitio Web, los cambios en la ubicación histórica y las indicaciones de actividades sospechosas descubiertas mediante el análisis de comportamientos malintencionados. A continuación seguirá con la exploración de los sitios y el bloqueo del acceso de los usuarios a los sitios infectados.

Cuando un usuario accede a una URL, Trend Micro:

• Comprueba la credibilidad de los sitios y páginas Web mediante la base de datos de la reputación de dominios

• Asigna puntuaciones de reputación a los dominios Web y a las páginas o enlaces individuales dentro de los sitios

• Permite o bloquea el acceso a los sitios por parte de los usuarios

Para aumentar la precisión y reducir los falsos positivos, la tecnología de reputación Web de Trend Micro asigna puntuaciones de reputación a páginas específicas dentro de los sitios en lugar de clasificar o bloquear sitios completos, ya que a veces son sólo partes de estos los que están afectados y las reputaciones pueden cambiar de forma dinámica con el tiempo.

(21)

Feedback Inteligente

La aplicación Feedback Inteligente de Trend Micro proporciona una comunicación continua entre los productos Trend Micro y los centros de investigación de amenazas de la empresa y sus tecnologías, que ofrecen asistencia 24 horas al día, los 7 días de la semana. Cada nueva amenaza identificada por una simple verificación rutinaria de la reputación del cliente actualiza automáticamente todas las bases de datos de amenazas de Trend Micro, lo que bloquea cualquier encuentro posterior del cliente con dicha amenaza. Por ejemplo, las verificaciones rutinarias de la reputación se envían a la Red de Protección Inteligente de Trend Micro. Mediante el procesamiento continuo de la inteligencia de la amenaza, recopilada a través de su extensa red global de clientes y socios, Trend Micro ofrece protección automática en tiempo real frente a las amenazas más recientes y proporciona la seguridad "mejor juntos". Esto es como un tipo de vigilancia vecinal automatizado que involucra a la comunidad en la protección de los demás. La privacidad de la información personal o empresarial de un cliente está siempre protegida ya que la información recopilada sobre las amenazas está basada en la reputación de la fuente de comunicación.

El Feedback Inteligente de Trend Micro ha sido diseñado para recopilar y transferir datos relevantes de los Servidores de Protección Inteligente a la Red de Protección Inteligente a fin de realizar análisis más detallados y, de esta forma, crear y desplegar soluciones avanzadas para proteger a los clientes.

Algunos ejemplos de la información enviada a Trend Micro son: • Sumas de comprobación de los archivos

• Sitios Web a los que se ha accedido

• Información sobre los archivos, incluidos tamaños y rutas • Nombres de los archivos ejecutables

En cualquier momento puede poner fin a su participación en el programa desde la consola Web.

Consejo: No es necesario que participe con Feedback Inteligente para proteger sus equipos. La participación es opcional y puede eliminar esta opción en cualquier momento. Trend Micro le recomienda que participe con Feedback Inteligente para ayudar a ofrecer una mayor protección total a todos los clientes de Trend Micro.

(22)

Fuentes de Protección Inteligente

Trend Micro proporciona servicios de Protección Inteligentes mediante fuentes de Protección Inteligente. Las fuentes de Protección Inteligente alojan la mayoría de las definiciones de patrones de virus o malware y las puntuaciones de reputación Web. Las fuentes de Protección Inteligente ponen estas definiciones a disposición de otros puntos finales de la red para comprobar si existen posibles amenazas. Las consultas sólo se envían a las fuentes de Protección Inteligente si el punto final no puede determinar el riesgo del archivo o la URL.

Los puntos finales aprovechan la tecnología de reputación de archivos y Web para realizar consultas en las fuentes de Protección Inteligente como parte de sus actividades habituales de protección del sistema. En esta solución, los clientes de OfficeScan envían información de identificación, que determina la tecnología de Trend Micro, a las fuentes de Protección Inteligente para las consultas. Los clientes nunca envían el archivo completo cuando utilizan tecnología de reputación de archivos. El riesgo del archivo se determina mediante la información de identificación.

La fuente de protección inteligente a la cual se conecta un cliente depende de la ubicación de éste. Los clientes pueden conectarse a una de los siguientes:

• Red de Protección Inteligente de Trend Micro: Una infraestructura basada en Internet y de escala global que proporciona servicios de reputación a los usuarios que no dispongan de acceso inmediato a la red de empresa.

• Servidor de Protección Inteligente: Los Servidores de Protección Inteligentes están destinados a los usuarios que tengan acceso a la red de empresa local. Los servidores locales localizan los servicios de protección inteligentes a la red de empresa para optimizar su eficacia.

(23)

TABLA 1-1. Comparación entre fuentes de protección inteligentes REFERENCIAS DELA COMPARACIÓN SERVIDORDE PROTECCIÓN INTELIGENTE R EDDE PROTECCIÓN

INTELIGENTEDE TREND MICRO

Disponibilidad Disponible para los clientes internos, que son clientes que reúnen los criterios de ubicación especificados en la consola OfficeScan Web.

Disponible para los clientes externos, que son clientes que no reúnen los criterios de ubicación especificados en la consola OfficeScan Web. Objetivo Está diseñado para localizar

servicios de Protección Inteligente en la red de la empresa y mejorar así el rendimiento

Una infraestructura basada en Internet de escala global que proporciona servicios de protección inteligente a los clientes que no tienen acceso inmediato a la red de su empresa

Administrador del servidor

Los administradores de OfficeScan instalan y gestionan estos servidores

Trend Micro mantiene este servidor Fuente de actualización del patrón Servidor ActiveUpdate de Trend Micro Servidor ActiveUpdate de Trend Micro Protocolos de conexión de clientes HTTP y HTTPS HTTPS

(24)

Red de Protección Inteligente de Trend Micro

Smart Protection Network la forman los servidores gestionados de Trend Micro y las tecnologías del cliente que proporcionan una correlación única en red de las tecnologías de reputación Web y de reputación de ficheros, así como bases de datos de amenazas. La protección de los clientes se actualiza automáticamente y se refuerza a medida que van accediendo a la red más productos, servicios y usuarios, creando un servicio de protección de supervisión de entorno en tiempo real.

Servidores de Protección Inteligente

Los Servidores de Protección Inteligente localizan servicios de Protección Inteligente para optimizar la eficacia de las operaciones de red de empresa. Existen dos tipos de Servidores de Protección Inteligente.

Servidor de Protección Inteligente integrado

El programa OfficeScan Setup incluye un Servidor de Protección Inteligente Integrado que se instala en el mismo equipo en el que se instala el servidor de OfficeScan. Tras la instalación, defina la configuración de este servidor desde la consola OfficeScan Web. Servidor de Protección Inteligente Independiente

Un servidor de Protección Inteligente Independiente se instala en un servidor VMware o Hyper-V. El servidor independiente cuenta con una consola de administración independiente y no se controla desde la consola OfficeScan Web.

(25)

Archivos de patrones de Protección Inteligente

El proceso de consulta basado en Internet utiliza un pequeño archivo de patrones local junto con un sistema de consultas en Internet en tiempo real. El sistema de consultas en Internet comprueba archivos, URL y demás componentes con un Servidor de Protección Inteligente o la Red de Protección Inteligente de Trend Micro durante el proceso de verificación. Los Servidores de Protección Inteligente utilizan varios algoritmos para garantizar un proceso de eficiente que utiliza el mínimo de ancho de banda de red. Hay tres archivos de patrón:

• Smart Scan Pattern: este patrón se descarga y está disponible en las fuentes de Protección Inteligente. Se actualiza cada hora. Los clientes de OfficeScan que utilizan exploración inteligente (que forma parte del Servicio de Reputación de Ficheros) no descargan el Smart Scan Pattern. Los clientes de exploración inteligente verifican las posibles amenazas del patrón enviando consultas de reputación a la fuente de Protección Inteligente. En la solución de Protección Inteligente, los clientes envían a las fuentes de Protección Inteligente información de identificación determinada por la tecnología de Trend Micro. Los clientes nunca envían el archivo completo, determinándose el riesgo del archivo mediante la información de identificación. • Smart Scan Agent Pattern: se trata de otro patrón utilizado por los clientes de

exploración inteligente. Este patrón se encuentra alojado en la fuente de actualización de los clientes de OfficeScan (el servidor de OfficeScan o una fuente de actualización personalizada) y lo descargan los clientes. Está destinado a las exploraciones que no requieran consultas en las fuentes de Protección Inteligente. Este patrón se actualiza todos los días.

• Lista de Bloqueo Web: las fuentes de Protección Inteligente descargan este patrón de los servidores ActiveUpdate de Trend Micro. Este patrón se utiliza para las consultas de Reputación Web. Los clientes de OfficeScan que utilizan la reputación Web no se descargan la Lista de Bloqueo Web. Los clientes comprueban los sitios Web potencialmente maliciosos en la lista de bloqueo mediante el envío de consultas a una fuente de Protección Inteligente. En el caso de que la fuente de Protección Inteligente determine que el sitio Web es seguro, OfficeScan permite al usuario acceder al sitio. Si el sitio es potencialmente malicioso, sin embargo, OfficeScan bloquea el acceso a éste.

(26)

Proceso de actualización de patrones

Las actualizaciones de los patrones son una respuesta a las amenazas de seguridad. El servidor ActiveUpdate aloja los archivos de patrones de Protección Inteligente. Las fuentes de Protección inteligente descargan Smart Scan Pattern y la Lista de Bloqueo Web, mientras que la fuente de actualización de los clientes de OfficeScan (que es de forma predeterminada el servidor de OfficeScan) descarga Smart Scan Agent Pattern e implementa este patrón en los clientes.

ILUSTRACIÓN 1-1. Proceso de actualización del patrón

Servidores de Protección Inteligente

Intranet

Puntos finales

Servidor de OfficeScan

Puntos finales externos Servidores de Trend Micro ActiveUpdate La infraestructura Trend Micro™ Smart Protection Network™

Smart Scan Pattern

Patrón de agente de exploración inteligente

Internet

(27)

El proceso de consulta

Los puntos finales que haya actualmente en la intranet utilizan los Servidores de Protección Inteligente para realizar consultas. Los puntos finales que no estén actualmente en la intranet se pueden conectar a la Red de Protección Inteligente de Trend Micro para realizar consultas. Aunque se necesita una conexión a la red para utilizar los servidores de Protección Inteligente, los puntos finales sin acceso a la misma aún pueden beneficiarse de la Protección Inteligente de Trend Micro mediante Smart Scan Agent Pattern y la tecnología de exploración.

Los clientes de OfficeScan instalados en los puntos finales realizan primero una exploración en el punto final. Si el cliente no puede determinar el riesgo del archivo o la URL, éste verifica este riesgo enviando una consulta a un Servidor de Protección Inteligente. Si el Servidor de Protección Inteligente no puede verificar el riesgo del archivo o la URL, el Servidor de Protección Inteligente envía una consulta a la Red de Protección Inteligente.

TABLA 1-2. Comportamientos de protección basados en el acceso a la intranet

LOCALIZACIÓN ARCHIVODE PATRONESY COMPORTAMIENTODE CONSULTA

Acceso a la intranet _• Archivos de patrones: Los clientes descargan el archivo de Smart Scan Agent Pattern del servidor de OfficeScan.

• Consultas de reputación de archivos y Web: los puntos finales se conectan al Servidor de Protección Inteligente para realizar consultas.

Sin acceso a una intra-net, pero con conexión a la Red de Protección Inteligente

• Archivos de patrones: Los clientes no descargan el archivo de Smart Scan Agent Pattern más reciente a menos que haya una conexión al servidor de OfficeScan disponible.

• Consultas de reputación de archivos y Web: los puntos finales se conectan a la Red de Protección Inteligente para realizar consultas.

(28)

La tecnología avanzada de filtrado permite al cliente "almacenar en caché" el resultado de la consulta. De esta manera se mejora el rendimiento de exploración y se elimina el tener que enviar la misma consulta a los Servidores de Protección Inteligente más de una vez. Un cliente que no pueda comprobar el riesgo de un archivo de forma local y que no pueda conectarse a ningún servidor de Protección Inteligente después de varios intentos, marca el archivo para su verificación y permite acceder a él de forma temporal. Cuando se restaure la conexión con un servidor de protección inteligente, todos los archivos marcados se volverán a explorar. Entonces, se realizará una acción de exploración en los archivos que se confirmen como una amenaza para su red.

Sin acceso a una intranet y sin conexión a la Red de Protección Inteligente

• Archivos de patrones: Los clientes no descargan el archivo de Smart Scan Agent Pattern más reciente a menos que haya una conexión al servidor de OfficeScan disponible.

• Consultas de reputación de archivos y Web: los puntos finales exploran los archivos con recursos locales como, por ejemplo, Smart Scan Agent Pattern.

TABLA 1-2. Comportamientos de protección basados en el acceso a la intranet (continuación)

(29)

Consejo: Instale varios Servidores de Protección Inteligente para garantizar una protección continuada en el caso de que no esté disponible la conexión a un Servidor de Protección Inteligente.

ILUSTRACIÓN 1-2. Proceso de consulta

Intranet Servidor de Protección Inteligente Puntos finales Servidor de OfficeScan Red de Protección Inteligente de Trend Micro Servidores de Trend Micro ActiveUpdate

Punto final externo

(30)

Características y ventajas

En la siguiente tabla aparecen las características y ventajas.

TABLA 1-3. Características y ventajas

CARACTERÍSTICASY VENTAJAS

Servicios de repu-tación de archivos

La red de la empresa se situará en un lugar mejor para controlar las amenazas del volumen.

El "tiempo para proteger" frente a las amenazas emergentes disminuye considerablemente.

El consumo de la memoria del kernel en las estaciones de trabajo se reduce de forma considerable y con el tiempo aumenta mínimamente.

Mejora la administración y simplifica la gestión. El grueso de actualizaciones de las definiciones de patrones sólo debe entre-garse a un servidor y no a varias estaciones de trabajo. Así se reduce el grueso del impacto de una actualización de patrón en varias estaciones de trabajo.

Protege frente a ataques basados en la Web y combinados. Detiene virus o malware, troyanos,gusanos y nuevas variantes de estos riesgos de seguridad.

Detecta y elimina spyware o grayware (incluidos los rootkits ocultos). Servicios de

reputación Web

Protege frente a ataques basados en la Web y combinados. Los clientes preocupados por la privacidad no deben tener miedo de revelar información confidencial a Smart Protection Network a través de las consultas de Reputación Web. El tiempo de respuesta del Servidor de Protección Inteligente a las consultas se reduce en comparación con las consultas a la Red de Protección Inteligente.

(31)

Capítulo 2

Uso de los servicios de Protección

Inteligente

En este capítulo se describen las configuraciones y las tareas necesarias para permitir a los clientes de OfficeScan utilizar los servicios de Protección Inteligente.

Los temas de este capítulo son los siguientes: • Uso de los servicios de reputación de archivos en la página 2-2 • Uso de los servicios de reputación Web en la página 2-15

(32)

Uso de los servicios de reputación de archivos

El método de exploración que los clientes utilizan determina si se pueden aprovechar los servicios de reputación de archivos.

Los clientes de OfficeScan deben utilizar la exploración inteligente como método de exploración para poder aprovechar los servicios de reputación de archivos.

Métodos de exploración

Los clientes de OfficeScan puede utilizar tanto la exploración convencional como Smart Scan cuando exploran en busca de riesgos de seguridad.

Nota: El método de exploración de este dominio es Smart Scan. Cambie la configuración del mátodo de exploración en la pantalla Métodos de exploración cuando lo desee.

Exploración convencional

Exploración convencional es un método de exploración utilizado en todas las versiones de OfficeScan anteriores. Un cliente de exploración convencional almacena todos los componentes de OfficeScan en el equipo cliente y explora todos los archivos de manera local.

Smart Scan

Smart Scan es una solución de protección del punto final de última generación basada en Internet. La base de esta solución es una arquitectura de exploración avanzada que aprovecha las firmas de las amenazas que se almacenan en Internet.

(33)

Uso de los servicios de Protección Inteligente

Comparación de métodos de exploración

La siguiente tabla ofrece una comparación entre estos dos métodos de exploración:

TABLA 2-1. Comparación entre la exploración convencional y smart scan REFERENCIAS DELA COMPARACIÓN EXPLORACIÓN CONVENCIONA L SMART SCAN Disponibilidad Disponible en esta versión de OfficeScan y en todas las anteriores

(34)

Comportamien to de la exploración El cliente de exploración convencional realiza la exploración en el equipo local.

• El cliente de exploración inteligente realiza la exploración en el equipo local.

• Si el cliente no puede determinar el riesgo del archivo durante la exploración, puede verificar este riesgo enviando una consulta de exploración a un servidor de protección inteligente.

• Mediante el uso de tecnologías de filtrado avanzadas, el cliente "almacena en caché" el resultado de la consulta de exploración. El rendimiento de la exploración mejora porque no es necesario que el cliente envíe la misma consulta de exploración al servidor de protección inteligente.

• Si un cliente no puede verificar el riesgo de un archivo de manera local y no se puede conectar a ningún servidor de protección inteligente tras varios intentos:

• El cliente marca el archivo para su verificación.

• El cliente permite el acceso temporal al archivo.

• El cliente se conecta a la Red de Protección Inteligente de Trend Micro si la ubicación del equipo del cliente está establecida en la configuración predeterminada de estado de la conexión del cliente.

• Cuando se restaure la conexión con un Servidor de Protección Inteligente, todos los archivos marcados se volverán a explorar. Entonces, se realizará una acción de exploración en los archivos que se confirmen como infectados.

TABLA 2-1. Comparación entre la exploración convencional y smart scan (continuación) REFERENCIAS DELA COMPARACIÓN EXPLORACIÓN CONVENCIONA L SMART SCAN

(35)

Uso de los servicios de Protección Inteligente Componentes en uso y actualizados Todos los componentes disponibles en la fuente de actualización, excepto el Smart Scan Agent Pattern

Todos los componentes disponibles en la fuente de actualización, excepto el patrón de virus y el patrón de monitorización activa de spyware

Fuente de actualización tradicional Servidor de OfficeScan Servidor de OfficeScan

TABLA 2-1. Comparación entre la exploración convencional y smart scan (continuación) REFERENCIAS DELA COMPARACIÓN EXPLORACIÓN CONVENCIONA L SMART SCAN

(36)

Método de exploración como configuración granular

El método de exploración es una configuración granular del árbol de clientes, lo que quiere decir que se puede configurar a nivel de raíz, dominio o cliente individual.

(37)

ILUSTRACIÓN 2-2. Exploración convencional como método de exploración a nivel de dominio

Cuando configura el método de exploración a nivel de raíz, la configuración se aplica automáticamente a todos los clientes existentes y futuros si selecciona Aplicar a todos los clientes. Si selecciona Aplicar solo a futuros dominios, la configuración sólo afecta a los dominios (y a los clientes agrupados en estos dominios) aún no agregados al árbol de clientes.

(38)

Después de configurar el método de exploración a nivel de raíz, puede configurar un dominio del árbol de clientes para utilizar un método de exploración diferente. No obstante, el método de exploración a nivel de dominio se sobrescribirá una vez que configure el método de exploración a nivel de raíz de nuevo y seleccione Aplicar a todos los clientes. Para que no se sobrescriba el método de exploración a nivel de dominio, seleccione Aplicar solo a futuros dominios.

También puede configurar el método de exploración para un cliente individual. Sin embargo, todos los cambios que haga en la configuración a nivel de raíz o dominio sobrescriben la configuración del cliente.

Método de exploración predeterminado

En esta versión de OfficeScan, el método de exploración predeterminado para una instalación nueva es Smart Scan. Esto significa que si realiza una instalación nueva del servidor de OfficeScan y no ha cambiado el método de exploración en la consola Web, todos los clientes que gestiona el servidor utilizarán Smart Scan. Sin embargo, si actualiza el servidor de OfficeScan a partir de una versión anterior y se activa una actualización automática de clientes, todos los clientes que el servidor administre utilizarán el método de exploración que estaba configurado antes de la actualización.

Descripción general de la implementación del método de

exploración

En este tema se describe cómo implementar la exploración inteligente en varios clientes o en todos.

Para implementar smart scan de forma eficiente, tenga en cuenta lo siguiente: • El número de clientes que utilizarán smart scan. Esto afecta a cómo establezca la

configuración de Smart Scan en la consola Web y al tipo o número de Servidores de Protección Inteligente que instale.

• Las funciones que no están disponibles cuando los clientes utilizan smart scan. Si tiene clientes que necesitan estas funciones, no los configure para que utilicen smart scan.

(39)

Número de clientes de exploración inteligente

La forma más fácil de implementar smart scan es configurar el método de exploración a nivel de raíz y aplicar la configuración a todos los clientes existentes y futuros. Utilice este método de implementación si quiere que todos los clientes utilicen smart scan. Si tiene una base de clientes que va a utilizar smart scan y la exploración convencional, determine qué método de exploración utilizará la mayoría de los clientes.

Funciones y opciones no disponibles

Las siguientes funciones y opciones de OfficeScan no están disponibles para los clientes de Smart Scan:

• Microsoft Outlook Mail Scan: los mensajes de correo electrónico de Microsoft Outlook no se pueden explorar si el cliente utiliza smart scan.

• Policy Server for Cisco NAC: los clientes de Smart Scan no puede registrar la información de Smart Scan Pattern ni Smart Scan Agent Pattern en el servidor de políticas.

Implementación del método de exploración durante una

nueva instalación

En el caso de instalaciones nuevas, el método de exploración predeterminado para los clientes es la exploración inteligente. OfficeScan solo permite personalizar el método de exploración para cada dominio después de instalar el servidor. Tenga en cuenta lo siguiente: • Si no ha cambiado el método de exploración después de instalar el servidor, todos

los clientes que instale utilizarán Smart Scan.

• Si desea emplear tanto la exploración convencional como Smart Scan, Trend Micro recomienda mantener Smart Scan como método de exploración a nivel de raíz y, a continuación, cambiar el método de exploración en los dominios en los que desea aplicar la exploración convencional.

Nota: Consulte Preparación del entorno de las soluciones de Protección Inteligente en la página 3-2 para obtener información sobre el entorno necesario para que los clientes puedan utilizar la exploración inteligente.

(40)

Implementación del método de exploración durante la

actualización

Si actualiza una versión anterior de OfficeScan, tenga en cuenta lo siguiente:

Si actualiza desde OfficeScan 10.x:

• Si planea actualizar el servidor de OfficeScan 10.x directamente en el servidor mismo, no es necesario cambiar el método de exploración desde la consola Web, ya que los clientes conservarán su configuración de método de exploración después de la actualización.

Para obtener instrucciones detalladas de actualización, consulte el Manual de instalación y actualización.

• Si tiene pensado actualizar los clientes de OfficeScan 10.x moviéndolos a un servidor de OfficeScan 10.5, siga estos pasos:

• Prepare el servidor de OfficeScan 10.5. Para conocer más detalles, consulte Preparación del servidor de OfficeScan 10.5 en la página A-2.

• Actualice los clientes. Para conocer más detalles, consulte Actualización de clientes de OfficeScan 10.x en la página A-4.

Si actualiza desde OfficeScan 8.x/7.3:

Si desea que la mayoría de los clientes o todos utilicen la exploración inteligente, impleméntela durante la actualización. Las ventajas de implementar la exploración inteligente durante la actualización son las siguientes:

• La implementación cuesta menos trabajo. Ya no es necesario cambiar los clientes de la exploración convencional a smart scan después de actualizarlos.

• Reduce las actualizaciones de patrones y utiliza menos ancho de banda de la red. Si implementa smart scan durante la actualización de clientes, el cliente descarga un componente nuevo que se necesita para smart scan (Smart Scan Agent Pattern) pero ya no necesita actualizar el Patrón de virus ni el Patrón de monitorización activa de Spyware. Estos dos patrones sólo se utilizan en la exploración convencional. Si no ha implementado smart scan durante la actualización, el cliente actualiza el Patrón de virus y el Patrón de monitorización activa de Spyware. Después de cambiar el método de exploración del cliente a smart scan, el cliente descarga la versión completa del Smart Scan Agent Pattern.

(41)

Nota: Cuando se cambia a smart scan, el cliente sólo detiene la actualización del Patrón de virus y el Patrón de monitorización activa de Spyware, pero no los elimina. El cliente actualizará y utilizará de nuevo estos patrones si vuelve a cambiar a la exploración convencional en el futuro.

Cuando un cliente de Smart Scan cambia a exploración convencional, no se elimina Smart Scan Agent Pattern.

Los métodos habituales de actualización se indican a continuación:

• Actualización del servidor de OfficeScan directamente en el equipo del servidor en la página 2-11 • Transferencia de clientes a un servidor de OfficeScan 10.5 en la página 2-13

Actualización del servidor de OfficeScan directamente en el equipo del servidor

Si tiene intención de actualizar el servidor de OfficeScan 8.x/7.3 directamente en el equipo del servidor, implemente los métodos de exploración en los clientes durante la actualización mediante estos pasos.

Si todos los clientes van a utilizar la exploración inteligente:

1. Impida las actualizaciones automáticas de los clientes.

Para conocer más detalles, consulte Configurar la actualización automática de clientes y la configuración de la actualización en la página A-9.

2. Actualice el servidor de OfficeScan.

Para obtener información detallada, consulte el Manual de instalación y actualización.

3. Prepare el entorno de smart scan.

Para conocer más detalles, consulte Preparación del entorno de las soluciones de Protección Inteligente en la página 3-2.

4. Cambie el método de exploración del nivel de raíz a smart scan.

Para conocer más detalles, consulte Configurar los métodos de exploración en la página A-1.

5. Actualice los clientes.

(42)

Si la mayoría de los clientes van a utilizar la exploración inteligente: Trend Micro recomienda realizar las siguientes acciones:

1. Impida las actualizaciones automáticas de los clientes.

Para conocer más detalles, consulte Configurar la actualización automática de clientes y la configuración de la actualización en la página A-9.

4. Cambie el método de exploración del nivel de raíz a smart scan.

5. Actualizar los clientes (todos los clientes utilizarán Smart Scan).

Para conocer más detalles, consulte Actualizar manualmente los clientes en la página A-7.

6. Cambiar el método de exploración de los clientes que desea que utilicen la exploración convencional.

Para conocer más detalles, consulte Configurar los métodos de exploración en la página A-1. Si todos los clientes van a utilizar la exploración convencional:

2. Actualice los clientes.

(43)

Transferencia de clientes a un servidor de OfficeScan 10.5

Si tiene intención de mover los clientes a un servidor de OfficeScan 10.5 para actualizarlos, implemente los métodos de exploración en los clientes durante la actualización mediante estos pasos.

Si todos los clientes van a utilizar la exploración inteligente:

1. Prepare el servidor de OfficeScan 10.5.

Para conocer más detalles, consulte Preparación del servidor de OfficeScan 10.5 en la página A-2.

3. Traslade los clientes del servidor OfficeScan 8.x/7.3 al servidor de OfficeScan 10.5. Para OfficeScan 8.x, consulte Actualización de clientes de OfficeScan 8.x en la página A-5. Para OfficeScan 7.3, consulte Actualización de los clientes de OfficeScan 7.3 en la página A-6. Si la mayoría de los clientes van a utilizar la exploración inteligente:

3. En el servidor de OfficeScan 8.x/7.3:

• Identifique los dominios que emplearán Smart Scan y los que emplearán la exploración convencional. Por ejemplo, los Dominios A1, A2 y A3 emplearán Smart Scan, mientras que los Dominios A4, A5 y A6 utilizarán exploración convencional.

• Asegúrese de que los clientes de OfficeScan 8.x/7.3 que desea que utilicen Smart Scan están agrupados en los Dominios A1, A2 o A3.

(44)

4. Desde el servidor de OfficeScan 10.5:

• Cree los Dominios A1, A2, A3, A4, A5 y A6. Utilice los nombres exactos de los dominios.

Para conocer más detalles, consulte Creación de dominios de OfficeScan en la página A-12.

• Cambie el método de exploración de los Dominios A4, A5 y A6 a exploración convencional.

5. En el servidor de OfficeScan 8.x/7.3, mueva los clientes al servidor de OfficeScan 10.5. Para OfficeScan 8.x, consulte Actualización de clientes de OfficeScan 8.x en la página A-5. Para OfficeScan 7.3, consulte Actualización de los clientes de OfficeScan 7.3 en la página A-6. Si todos los clientes van a utilizar la exploración convencional:

2. Cambie el método de exploración a nivel de raíz del servidor de OfficeScan 10.5 a exploración convencional.

3. En el servidor de OfficeScan 8.x/7.3, mueva los clientes al servidor de OfficeScan 10.5.

Para OfficeScan 8.x, consulte Actualización de clientes de OfficeScan 8.x en la página A-5. Para OfficeScan 7.3, consulte Actualización de los clientes de OfficeScan 7.3 en la página A-6.

(45)

Uso de los servicios de reputación Web

Para permitir que los clientes de OfficeScan utilicen los servicios de reputación Web, asegúrese de que se haya configurado correctamente el entorno necesario. Para conocer más detalles, consulte Preparación del entorno de las soluciones de Protección Inteligente en la página 3-2. Una vez establecido el entorno, configure los siguientes elementos:

• Políticas de reputación Web en la página 2-15

• Listas de URL permitidas y bloqueadas en la página 2-17

Políticas de reputación Web

Las políticas de reputación Web dictan si OfficeScan bloqueará o permitirá el acceso a un sitio Web. Para saber qué política es más adecuada, OfficeScan comprueba la ubicación del cliente. La ubicación se determina mediante la dirección IP del gateway del equipo cliente o el estado de la conexión del cliente con el servidor de OfficeScan o cualquier servidor de referencia.

La ubicación de un cliente es "interna" si:

• La dirección IP del gateway del equipo cliente coincide con las direcciones IP del gateway especificadas en la pantalla Ubicación del equipo.

• Si el cliente puede conectarse al servidor de OfficeScan o a alguno de los servidores de referencia. En cualquier otro caso, la ubicación del cliente es "externa".

Para configurar una política de reputación Web:

RUTA: EQUIPOS CONECTADOSEN RED > ADMINISTRACIÓNDE CLIENTES > CONFIGURACIÓN > CONFIGURACIÓN DE LA REPUTACIÓN WEB

1. Configure una política para los clientes externos e internos.

2. Seleccione la casilla de verificación para activar o desactivar la política de reputación Web.

Consejo: Trend Micro recomienda desactivar la reputación Web para los clientes internos si ya utiliza un producto de Trend Micro con la función de reputación Web, como InterScan Gateway Security Appliance.

(46)

3. Puede activar de forma opcional lo siguiente:

• Valoración (interna/externa): Cuando esté activado el modo de valoración, el servicio de Reputación Web permitirá todas las URL, pero registra las URL que deberían haber sido bloqueadas. Trend Micro ofrece un modo de valoración que le permite evaluar las URL y emprender entonces las acciones pertinentes en función de su evaluación.

• Utilizar el Servicio de reputación Web basado en Protección Inteligente

(sólo interno): los clientes internos se conectan con el Servidor de Protección Inteligente y utilizan el servicio de reputación Web para determinar el estado de la URL.

Nota: Asegúrese de que haya varios Servidores de Protección Inteligente en la lista de fuentes de protección inteligente para mantener la seguridad mediante reputación Web. Si el cliente de OfficeScan no puede conectar con ningún Servidor de Protección Inteligente, OfficeScan permitirá el acceso al sitio Web.

• Utilice solo los Servidores de Protección Inteligente, no envíe consultas a la red de Protección Inteligente (solo interno): Los clientes internos se conectan solo a los servidores de Protección Inteligente y no se conectarán a la red de Protección Inteligente si el servicio de reputación Web no puede determinar la reputación de la URL.

4. Seleccione uno de los niveles de seguridad disponibles para la reputación Web: Alto,

Medio o Bajo.

Los niveles de seguridad determinan si OfficeScan permitirá o bloqueará el acceso a una URL. Por ejemplo, si define un nivel de seguridad Bajo, OfficeScan solo bloquea las URL que son amenazas Web conocidas. Cuanto mayor sea el nivel de seguridad que configure, mayor será la tasa de detección de amenazas Web pero también la posibilidad de falsos positivos.

5. Especifique si desea bloquear las URL sin comprobar.

Las URL sin comprobar son las URL que Trend Micro no ha valorado. Mientras que Trend Micro comprueba de forma activa la seguridad de las páginas Web, los usuarios pueden encontrarse con páginas sin comprobar cuando visitan sitios Web nuevos o menos conocidos. Si se bloquea el acceso a las páginas sin comprobar se aumenta la seguridad pero también se impide el acceso a páginas que son seguras.

(47)

6. En las página 2-18 puede encontrar información sobre cómo añadir URL a la lista de URL permitidas y bloqueadas.

7. Para enviar comentarios sobre la reputación Web, utilice la URL proporcionada. La URL abre el sistema de consultas de reputación Web de Trend Micro.

8. Seleccione si desea permitir que el cliente de OfficeScan envíe registros de reputación Web al servidor. Debe permitir a los clientes que puedan enviar registros si desea analizar las URL bloqueadas por OfficeScan y emprender la acción apropiada en las URL que cree que son de acceso seguro.

9. Haga clic en Guardar.

Listas de URL permitidas y bloqueadas

Configure el acceso a los sitios Web o bloquee el acceso a estos sitios. Se pueden utilizar dos tipos de listas de URL:

• Lista de elementos permitidos y bloqueados del Servicio de Protección Inteligente: Protección Inteligente mantiene esta lista desde Smart Protection Network. Trend Micro clasifica los sitios Web y determina si deben o no bloquearse, en función de la credibilidad de los mismos. También puede exportar este archivo .csv a un servidor Linux.

• Lista de URL permitidas y bloqueadas del servicio de Reputación Web: esta lista especifica sitios Web a los que se debe acceder o no en función de las necesidades de la red. Por ejemplo, puede bloquear sitios Web populares a fin de asegurarse de que los usuarios no visiten sitios que no necesiten para desarrollar su trabajo.

Para importar y exportar la lista de elementos permitidos y bloqueados del servicio de Reputación Web:

RUTA: SMART PROTECTION > SERVER INTEGRADO

1. Desde la sección Lista de elementos permitidos y bloqueados del servicio Web, realice una de las siguientes acciones:

• Exportar la lista:

i. Haga clic en Exportar. Aparecerá el archivo Descargar página.

(48)

• Importar la lista:

i. Haga clic en Importar. Aparecerá la pantalla de importación de la lista de elementos permitidos y bloqueados del servicio de Reputación Web.

ii. Busque el archivo .csv.

iii. Haga clic en Cargar. Aparecerán las URL permitidas y bloqueadas.

Para añadir URL a la lista de URL permitidas y bloqueadas:

RUTA: EQUIPOSCONECTADOSENRED > ADMINISTRACIÓNDECLIENTES > CONFIGURACIÓN > CONFIGURACIÓNDELAREPUTACIÓN WEB

Nota: Agregue por separado URL a los clientes externos e internos.

1. Especifique si desea activar la función de Lista de URL permitidas o bloqueadas.

2. Especifique una URL en el cuadro de texto.

Nota: Utilice el carácter comodín (*) en cualquier posición de la URL.

3. Seleccione si desea permitir o bloquear la URL.

4. Repita los pasos 2 y 3 hasta haber incluido en la lista todas las URL que desea permitir o bloquear. A continuación, la URL aparecerá en la lista.

Tareas adicionales:

• Para filtrar los registros mostrados, seleccione Permitida, Bloqueada o Permitida y bloqueada. Las URL filtradas deberían aparecer inmediatamente.

• Para exportar la lista a un archivo .csv, haga clic en Exportar y, a continuación, en

Guardar.

• Si ha exportado una lista desde otro servidor y desea importarla a esta pantalla, haga clic en Importar y busque el archivo .dat. La lista se cargará en la pantalla.

(49)

Capítulo 3

Entorno de las soluciones de

Protección Inteligente

En este capítulo se describe cómo configurar el entorno necesario para utilizar las soluciones de Protección Inteligente de Trend Micro™.

Los temas de este capítulo son los siguientes:

• Preparación del entorno de las soluciones de Protección Inteligente en la página 3-2 • Instalación de los Servidores de Protección Inteligente en la página 3-3

• Configuración del proxy del cliente en la página 3-41 • Lista del servidor de protección inteligente en la página 3-43 • Configuración de la ubicación del equipo en la página 3-48

(50)

Preparación del entorno de las soluciones de

Protección Inteligente

Antes de que los clientes puedan aprovecharse de las soluciones de Protección Inteligente, asegúrese de que el entorno se haya configurado correctamente. Compruebe los siguientes aspectos:

1. Fuentes de Protección Inteligente

Los clientes se conectan a una fuente de protección inteligente para enviar consultas de reputación y comprobar el riesgo de un archivo con Smart Scan Pattern. La fuente de protección inteligente depende de la ubicación del cliente. Los clientes internos se conectan a un Servidor de Protección Inteligente, mientras que los externos lo hacen a la Red de Protección Inteligente de Trend Micro.

Configure uno o varios Servidores de Protección Inteligente . Consulte Instalación de los Servidores de Protección Inteligente en la página 3-3 para obtener más información.

2. Configuración del proxy de conexión del cliente

Si la conexión a la Red de Protección Inteligente requiere la autenticación del proxy, especifique las credenciales de autenticación. Para conocer más detalles, consulte Configuración del proxy externo en la página 3-41.

Defina los valores internos de configuración del proxy que los clientes utilizarán cuando se conecten a un Servidor de Protección Inteligente. Consulte Configuración del proxy interno en la página 3-42 para obtener más información.

3. Lista del Servidor de Protección Inteligente

Agregue a la lista de servidores de Protección Inteligente los servidores de Protección Inteligente que ha instalado. Los clientes consultan esta lista para determinar a qué Servidor de Protección Inteligente se conectan para las consultas de reputación Web o la exploración. Consulte Lista del servidor de protección inteligente en la página 3-43 para obtener más información.

4. Configuración de la ubicación del equipo

OfficeScan incluye una función de conocimiento de la ubicación que identifica la ubicación del equipo del cliente y determina si el cliente se conecta a la Red de Protección Inteligente o a un Servidor de Protección Inteligente. Así se garantiza siempre la protección de los clientes independientemente de su ubicación.

(51)

Entorno de las soluciones de Protección Inteligente

5. Otros productos de Trend Micro

Si tiene instalado Trend Micro™ Network VirusWall™ Enforcer:

• Instale un archivo hot fix (compilación 1047 para Network VirusWall Enforcer 2500 y compilación 1013 para Network VirusWall Enforcer 1200).

• Actualice el motor OPSWAT a la versión 2.5.1017 para activar el producto y detectar un método de exploración del cliente.

Instalación de los Servidores de Protección

Inteligente

Hay dos tipos de Servidores de Protección Inteligente. Smart Protection Server integrado

El programa OfficeScan Setup incluye un Servidor de Protección Inteligente Integrado que se instala en el mismo equipo en el que se instala el servidor de OfficeScan. Tras la instalación, defina la configuración de este servidor desde la consola OfficeScan Web. servidor de Protección Inteligente Independiente

Un Servidor de Protección Inteligente Independiente se instala en un servidor VMware. El servidor independiente cuenta con una consola de administración independiente y no se controla desde la consola Web de OfficeScan.

Recomendaciones

Instale varios Servidores de Protección Inteligente para las conmutaciones por error. Los clientes que no pueden conectarse a un servidor determinado intentarán conectarse al resto de servidores que ha instalado. Asigne un Servidor de Protección Inteligente Independiente como la fuente de exploración principal y el Servidor Integrado como una copia de seguridad. De esta forma, se reduce el tráfico de consultas de reputación dirigido al equipo que aloja el servidor de OfficeScan y el Servidor Integrado. El Servidor Independiente también puede procesar más consultas de reputación. Consulte

(52)

Directrices de instalación

Tenga en cuenta los siguientes aspectos a la hora de configurar los Servidores de Protección Inteligente:

• El Servidor de Protección Inteligente es una aplicación vinculada a la CPU. Esto significa que, al aumentar los recursos de la CPU, también aumenta el número de solicitudes gestionadas simultáneamente.

• Puede producirse un cuello de botella en el ancho de banda de la red en función de la infraestructura de red y del número de conexiones o solicitudes de actualización simultáneas.

• Es posible que se requiera memoria adicional en caso de que haya muchas conexiones concurrentes entre los Servidores de Protección Inteligente y los puntos finales.

Consideraciones sobre el rendimiento

• El Servidor de Protección Inteligente Integrado y el servidor de OfficeScan se ejecuta en el mismo equipo y, por tanto, el rendimiento del equipo puede reducirse significativamente para los dos servidores cuando haya mucho tráfico. Considere la opción de utilizar los Servidores de Protección Inteligente independientes como la fuente de protección inteligente principal para los clientes y el servidor integrado como una copia de seguridad.

• Los clientes de OfficeScan registrados en el mismo Servidor de OfficeScan utilizan el Servidor de Protección Inteligente correspondiente.

• Si instala el Servidor de Protección Inteligente Integrado, considere la opción de desactivar OfficeScan Firewall. El OfficeScan Firewall está diseñado para utilizarse en equipos clientes y, por tanto, puede afectar al rendimiento si se usa en los equipos del servidor. Consulte el Manual del administrador para obtener información sobre cómo desactivar OfficeScan Firewall.

Nota: Tenga en cuenta las consecuencias si se desactiva el cortafuegos y asegúrese de que esta acción se ajusta a sus previsiones en materia de seguridad.