SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.
Otros nombres y marcas pueden ser reclamados como propiedad de terceros.
INFORMACIÓN DE LICENCIA Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SE ESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALES COMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.
1 Descripción general del producto 7
Descripción general de Endpoint Security . . . 7
Cómo funciona Endpoint Security . . . 8
Descripción general de Prevención de amenazas . . . 10
Funciones clave de Prevención de amenazas . . . 10
Cómo funciona Prevención de amenazas . . . 12
Descripción general de las características . . . 14
Cómo funcionan los archivos de contenido . . . 14
Cómo funcionan las reglas de protección de aplicaciones . . . 15
Cómo las firmas protegen las aplicaciones y los sistemas . . . 16
Cómo funciona el IPS de red . . . 18
Cómo funciona McAfee GTI . . . 18
Cómo funcionan los análisis en tiempo real . . . 18
Cómo funciona el analizador de scripts . . . 21
Cómo funcionan los análisis bajo demanda . . . 22
Cómo funciona la utilización del sistema . . . 23
Cómo funciona el análisis de almacenamiento remoto . . . 24
Adiciones de Prevención de amenazas a McAfee ePO . . . 25
Conjuntos de permisos y Prevención de amenazas . . . 25
Tareas cliente y Prevención de amenazas . . . 27
Primeros pasos . . . 28
2 Configuración de Prevención de amenazas 31 Directivas y Prevención de amenazas . . . 31
Impedir que Prevención de amenazas bloquee los programas, las redes y los servicios de confianza . . . . 33
Caracteres comodín en exclusiones . . . 35
Impedir que las amenazas accedan a los sistemas . . . 35
Cómo obtienen acceso las amenazas . . . 36
Tipos de reglas de protección de acceso . . . 37
Cómo se producen los exploits de desbordamiento del búfer . . . 44
Exclusión de elementos de Prevención de exploits . . . 45
Proteger archivos, Registro, procesos y servicios con las reglas de Protección de acceso . . . 47
Configurar las opciones de Prevención de exploits para bloquear amenazas . . . 49
Análisis en busca de amenazas en sistemas cliente . . . 51
Tipos de análisis . . . 51
Configurar las opciones para todos los análisis . . . 52
Configurar análisis que se ejecuten automáticamente cuando se accede a los archivos . . . 55
Configurar análisis predefinidos que se pueden ejecutar de forma manual o planificada . . . 59
3 Administración de Prevención de amenazas 65 Actualizar archivos de contenido con McAfee ePO . . . 65
Respuesta a detecciones . . . 68
Responder a infracciones de punto de acceso . . . 68
Respuesta a las detecciones de Prevención de exploits . . . 69
Responder a la detección de programas no deseados . . . 71
Responder a las detecciones de análisis en tiempo real . . . 72
Responder a detecciones de análisis bajo demanda . . . 72
Elementos en cuarentena . . . 73
Especificar la ubicación de cuarentena y el tiempo de retención . . . 73
Restaurar elementos en cuarentena . . . 74
Análisis de la protección . . . 74
4 Supervisión de la actividad en el entorno con McAfee ePO 77 Paneles, monitores y Prevención de amenazas . . . 77
Consultas, informes y Prevención de amenazas . . . 79
Tareas servidor y Prevención de amenazas . . . 83
Acumulación de datos de sistemas o eventos para Endpoint Security . . . 84
Eventos, respuestas y Prevención de amenazas . . . 85
5 Solución de problemas 87 Herramientas para la solución de problemas . . . 87
Uso de la herramienta MER para solucionar problemas . . . 88
Desactivar la Prevención de amenazas para la solución de problemas . . . 88
Desactivar la Prevención de exploits para la solución de problemas . . . 89
Desactivar la protección de acceso para la solución de problemas . . . 89
Desactivar ScriptScan para la solución de problemas . . . 90
Desactivar los análisis en tiempo real para la solución de problemas . . . 90
Elimine el módulo Prevención de amenazas . . . 91
Preguntas más frecuentes . . . 91
6 Uso de Prevención de amenazas en un sistema cliente 93 Respuesta a solicitudes y detecciones de amenazas . . . 93
Responder a un aviso de análisis . . . 93
Responder a un aviso de detección de amenaza . . . 94
Ver y responder a las amenazas detectadas en un sistema cliente . . . 95
Administrar elementos en cuarentena en un sistema cliente . . . 95
Análisis en busca de amenazas . . . 97
Analizar un archivo o carpeta específicos en un sistema cliente . . . 97
Analizar las áreas susceptibles de un sistema cliente . . . 98
Analizar un sistema cliente que puede estar infectado . . . 99
Desactivar los analizadores de Endpoint Security de la bandeja del sistema McAfee . . . 100
7 Administración de Prevención de amenazas en un sistema cliente 101 Controlar el malware nuevo con archivos Extra.DAT en un sistema cliente . . . 101
Descargar y cargar un archivo Extra.DAT en un sistema cliente . . . 101
Cambiar versión de AMCore content en un sistema cliente . . . 102
Especificar el tiempo de retención y la ubicación de cuarentena en un sistema cliente . . . 103
Impedir que las amenazas accedan a los sistemas . . . 103
Proteger archivos, el Registro, los procesos y los servicios con las reglas de Protección de acceso en un sistema cliente . . . 104
Configurar los ajustes de Prevención de exploits para bloquear amenazas en un sistema cliente . . 106
Análisis en busca de amenazas en los equipos cliente . . . 108
Tipos de análisis . . . 109
Configure las opciones para todos los análisis en un sistema cliente . . . 110
Configurar análisis que se ejecuten automáticamente cuando se accede a los archivos en un sistema cliente . . . 113
Configurar, planificar y ejecutar análisis en un sistema cliente . . . 113
8 Supervisión de la actividad de Prevención de amenazas en un sistema cliente 119
Consulte el Registro de eventos para ver la actividad reciente . . . 119
Nombres y ubicaciones de los archivos de registro de Prevención de amenazas . . . 119
9 Uso de reglas expertas 121 Descripción general de las reglas expertas . . . 121
Tipos de reglas y sintaxis admitidas . . . 122
Cómo funcionan las reglas expertas . . . 122
Creación de reglas expertas . . . 123
Crear reglas expertas . . . 123
Crear o cambiar reglas expertas en un sistema cliente . . . 124
Validar e implementar una regla experta en un sistema cliente . . . 125
Reglas expertas basadas en AAC . . . 126
Estructura de una regla AAC . . . 126
Comandos de AAC para crear reglas de archivo, procesos y Registro . . . 127
Comandos de AAC para consultar el estado del sistema . . . 144
Ejemplos de reglas de AAC . . . 147
Solución de problemas de reglas basadas en AAC . . . 149
Reglas expertas heredadas y basadas en McAfee Host IPS . . . 149
Estructura de regla de McAfee Host IPS heredada . . . 149
Sintaxis heredada . . . 149
Tipos de clase . . . 153
Contenido
Descripción general de Endpoint Security Cómo funciona Endpoint Security
Descripción general de Prevención de amenazas Funciones clave de Prevención de amenazas Cómo funciona Prevención de amenazas Descripción general de las características
Adiciones de Prevención de amenazas a McAfee ePO Primeros pasos
Descripción general de Endpoint Security
McAfee® Endpoint Security es una solución de seguridad integrada y ampliable que protege servidores, sistemas de equipos, portátiles y tabletas contra amenazas conocidas y desconocidas. Las posibles amenazas incluyen malware, comunicaciones sospechosas, sitios web no seguros y archivos descargados.
Endpoint Security facilita que múltiples tecnologías de defensa se comuniquen en tiempo real para analizar y proteger contra amenazas.
Endpoint Security consiste en estos módulos de seguridad:
• Prevención de amenazas: evita que la amenazas accedan a los sistemas, analiza los archivos
automáticamente cuando se accede a ellos y ejecuta análisis dirigidos en busca de malware en los sistemas cliente.
• Firewall: supervisa la comunicación entre el equipo y los recursos de la red e Internet. Intercepta las comunicaciones sospechosas.
• Control web: supervisa las búsquedas web y la actividad de navegación en los sistemas cliente y bloquea los sitios web y descargas según las calificaciones de seguridad y el contenido.
• Protección adaptable frente a amenazas: analiza el contenido de su empresa y decide cómo responder en función de la reputación de los archivos, las reglas y los umbrales de reputación. Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security.
El módulo Ajustes generales proporciona la configuración para las funciones comunes, tales como la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instala cualquier otro módulo.
Todos los módulos se integran en una única interfaz de Endpoint Security en el sistema cliente. Cada módulo funciona conjuntamente e independiente para proporcionar varios niveles de seguridad.
Cómo funciona Endpoint Security
Endpoint Security intercepta las amenazas, supervisa el mantenimiento general del sistema y proporciona información sobre el estado y detecciones. El software cliente se instala en cada sistema para realizar estas tareas.
Normalmente, instala uno o más módulos Endpoint Security en sistemas cliente, gestiona las detecciones y configura los ajustes que determinan cómo se comportan las funciones del producto.
McAfee ePO
Utiliza McAfee® ePolicy Orchestrator® (McAfee® ePO™) para desplegar y gestionar los módulos de Endpoint Security en sistemas cliente. Cada módulo incluye una extensión y un paquete de software que se instalan en el servidor de McAfee ePO. A continuación, McAfee ePO despliega el software en los sistemas cliente.
Con McAfee® Agent, el software cliente se comunica con McAfee ePO para obtener la configuración e implementación de directivas, actualizaciones de productos y generación de informes.
Módulos de cliente
El software cliente protege los sistemas mediante actualizaciones regulares, supervisión continua y generación de informes detallados.
Envía datos sobre detecciones en sus equipos al servidor McAfee ePO. Estos datos se emplean para generar informes sobre las detecciones y los problemas de seguridad en sus equipos.
Servidor de TIE y Data Exchange Layer
El marco de trabajo de Endpoint Security se integra con McAfee® Threat Intelligence Exchange (TIE) y McAfee® Data Exchange Layer (DXL) cuando utiliza la Protección adaptable frente a amenazas. Estos productos opcionales le permiten controlar localmente la reputación de archivos y compartir la información inmediatamente en su entorno.
Si el servidor de TIE no está disponible, Protección adaptable frente a amenazas consulta a McAfee® Global Threat Intelligence™ (McAfee GTI) la información de reputación.
McAfee GTI
Prevención de amenazas, Firewall, Control web y Protección adaptable frente a amenazas consultan a McAfee GTI la información de reputación para determinar cómo gestionar los archivos en el sistema cliente.
contenido. McAfee Labs publica regularmente paquetes de contenido actualizado.
Figura 1-1 Cómo funciona
Cómo se mantiene actualizada su protección
Las actualizaciones regulares de Endpoint Security protegen sus equipos frente las amenazas más recientes.
Para realizar las actualizaciones, el software cliente se conecta con un servidor McAfee ePO local o remoto o directamente al sitio web Internet. Endpoint Security comprueba si:
• Actualizaciones de los archivos de contenido que detectan amenazas. Los archivos de contenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones se actualizan a medida que se descubren nuevas amenazas.
• Ampliaciones de los componentes de software, como parches y hotfixes.
Véase también
Descripción general de Prevención de amenazas en la página 10 Cómo funciona Prevención de amenazas en la página 12
Descripción general de Prevención de amenazas
Prevención de amenazas de McAfee® Endpoint Security evita que las amenazas accedan a sistemas, analiza automáticamente los archivos cuando se accede a ellos y ejecuta análisis dirigidos para malware en sistemas cliente.
Prevención de amenazas de Endpoint Security detecta las amenazas basadas en archivos de contenido de seguridad. Se realizan de forma automática actualizaciones del contenido de seguridad a fin de hacer frente a vulnerabilidades específicas y bloquear la ejecución de las amenazas emergentes.
Prevención de amenazas protege su entorno de lo siguiente:
• Virus, gusanos y troyanos • Intrusiones en la red
• Infracciones de los puntos de acceso • Código y programas potencialmente no deseados
• Exploits de desbordamiento del búfer • Detección centrada en las vulnerabilidades
• Uso no válido de API • Detección de exploits de día cero
Utilice McAfee ePO para desplegar y gestionar Prevención de amenazas en sistemas cliente.
Véase también
Descripción general de Endpoint Security en la página 7
Funciones clave de Prevención de amenazas
Las características clave de Prevención de amenazas protegen su entorno de amenazas y malware y corrigen problemas limpiando o reparando los archivos infectados.
Protección
Proteja sus sistemas frente a intrusiones antes de que otros accedan a su entorno con estas funciones de Prevención de amenazas.
• Protección de acceso: proteja los sistemas cliente de cambios no deseados restringiendo el acceso a determinados archivos, datos compartidos y claves y valores de Registro, además de evitar o restringir la ejecución de procesos y servicios que representen una amenaza.
• Prevención de exploits: Prevención de amenazas utiliza firmas en las actualizaciones de contenido para proteger frente a los siguientes exploits:
• Protección contra desbordamiento del búfer: impida la ejecución de código arbitrario debido a desbordamientos del búfer.
• Uso no válido de API: impida que aplicaciones desconocidas o comprometidas que se ejecutan en el sistema realicen llamadas maliciosas a la API.
• Prevención de intrusiones en la red (IPS de red): impida los ataques de denegación de servicio en la red y los relacionados con el ancho de banda que deniegan o reducen el tráfico de la red.
• Reglas expertas: proporcione parámetros adicionales y permita una flexibilidad superior a la de las reglas personalizadas de Protección de acceso. Sin embargo, para crear reglas expertas, debe familiarizarse con la sintaxis específica de McAfee.
• Análisis en tiempo real: analice en busca de amenazas mientras se leen archivos en el disco o se escriben en este. Realice análisis únicamente cuando el sistema esté inactivo. Se integra con la interfaz de análisis antimalware (AMSI) para proporcionar un análisis mejorado en busca de amenazas en scripts no basados en navegador.
• Análisis bajo demanda: ejecute y planifique análisis predefinidos, lo que incluye análisis para detectar entradas de Registro relacionadas con spyware que no se limpiaron anteriormente.
• Programas potencialmente no deseados: detecte programas potencialmente no deseados, como spyware y adware, e impida que se ejecuten en su entorno.
• Cuarentena: ponga en cuarentena los elementos infectados e intente limpiarlos o repararlos. También puede eliminarlos automáticamente.
• Paneles y monitores: consulte estadísticas sobre Prevención de amenazas, lo que incluye información sobre la duración de los análisis, el estado de actualización del contenido y las aplicaciones con más exploits.
• Consultas e informes: obtenga información detallada sobre Prevención de amenazas, como el número de amenazas, los análisis finalizados, la respuesta de detección, los eventos de mitigación de falsos positivos y el nivel de sensibilidad de McAfee GTI.
• Antimalware de inicio al arranque: complementa la función ELAM de Windows 8 y versiones posteriores.
ELAM obtiene la lista de controladores de dispositivo cargados durante el ciclo de arranque y los analiza una vez que se ejecuten los servicios de análisis.
Corrección
Corrija problemas de seguridad, controle las detecciones, mejorar el rendimiento y optimice la protección con estas funciones de Prevención de amenazas.
• Acciones: realice la acción especificada cuando se produzcan las detecciones.
• Alertas: notifique las detecciones cuando se produzcan y limite el tráfico mediante filtros.
• Archivos Extra.DAT: protéjase frente a nuevas amenazas, como un ataque de virus importante.
• Análisis planificados: realice análisis en momentos de poca actividad para mejorar el rendimiento del sistema y del análisis.
• Repositorios de contenido: reduzca el tráfico de red que soportan las redes intranet e Internet de la empresa trasladando el repositorio de archivos de contenido a una ubicación más próxima a los sistemas cliente.
• Archivos de registro (Cliente de Endpoint Security): consulte un historial de elementos detectados, que puede utilizar para determinar si es necesario cambiar la configuración para mejorar la protección o el rendimiento del sistema.
• Paneles y monitores: supervise la actividad y utilice esa información para ajustar la configuración de Prevención de amenazas.
Véase también
Tipos de análisis en la página 51
Paneles, monitores y Prevención de amenazas en la página 77 Consultas, informes y Prevención de amenazas en la página 79
Cómo funciona Prevención de amenazas
Prevención de amenazas tiene dos componentes: una extensión instalada en McAfee ePO y el software de protección en sí (incluidos el motor de análisis y los archivos de contenido.), que se instala en el sistema cliente.
Ajustes generales de Endpoint Security también se instala en el sistema cliente, incluido el Cliente de Endpoint Security.
Al utilizar McAfee Agent, el software cliente se comunica con McAfee ePO para establecer configuraciones y generar informes, con McAfee® Global Threat Intelligence™ (McAfee GTI) para obtener información de reputación y con McAfee Labs para actualizar los archivos de contenido y el motor.
Ejemplo de flujo de trabajo: Protección de acceso
Prevención de amenazas sigue este proceso básico para proteger los archivos, las claves de registro, los valores de registro, los procesos y los servicios.
1 El administrador configura las reglas de protección en la directiva de Protección de acceso en McAfee ePO y la implementa en el sistema cliente.
2 El administrador descarga los archivos de contenido más recientes de McAfee Labs.
3 Un usuario descarga un programa legítimo (no es malware), MiPrograma.exe, de Internet y lo ejecuta.
MiPrograma.exe se inicia y, a su vez, inicia un proceso secundario llamado Molestar.exe. Molestar.exe intenta cambiar el sistema operativo para cargarse siempre que se inicie el sistema.
Prevención de amenazas procesa la solicitud y comprueba si la acción coincide con alguna regla de
protección definida por McAfee o por el usuario. Prevención de amenazas evita que Molestar.exe modifique el sistema operativo.
4 Prevención de amenazas registra los detalles y, a continuación, genera un evento y lo envía a McAfee ePO.
Figura 1-2 Cómo funciona
• Archivos de contenido (incluyen contenido de AMCore, también llamado firmas de malware, así como contenido de Protección de acceso y Prevención de exploits): funcionan juntamente con el motor de análisis para identificar amenazas y tomar medidas.
• Motor de análisis: analiza los archivos, las carpetas y los discos del sistema cliente, y compara los resultados con la información sobre virus conocidos de los archivos de contenido.
• McAfee Agent: proporciona comunicación segura entre los productos gestionados y el servidor de McAfee ePO.
• Ajustes generales de Endpoint Security: proporciona servicios, como actualización, registro, informes de eventos y propiedades, planificación de tareas, comunicación y almacenamiento de configuraciones.
McAfee ePO
El servidor de McAfee ePO utiliza estos componentes para gestionar y actualizar de forma remota los sistemas cliente:
• McAfee ePO : administra e implementa las directivas de Prevención de amenazas de forma centralizada, además de proporcionar consultas y paneles para rastrear la actividad y las detecciones.
• Repositorio de contenido: recupera las actualizaciones de contenido desde el sitio de descargas de McAfee. Con un repositorio de contenido de su organización, puede copiar automáticamente los archivos de contenido y reducir el ancho de banda.
El servidor de McAfee
McAfee, que incluye McAfee Labs y el servicio de soporte de McAfee, proporciona los siguientes servicios.
• McAfee Labs (Biblioteca de amenazas): examina y almacena información detallada sobre malware y programas potencialmente no deseados, además de cómo controlarlos.
• McAfee GTI (comprobación heurística de archivos sospechosos en la red): busca programas sospechosos y DLL que se ejecutan en sistemas cliente protegidos por Prevención de amenazas. La función McAfee GTI envía la huella digital de todos los archivos sospechosos a McAfee Labs para que la analicen y proporcionen una respuesta.
• Actualizaciones de contenido y motor: proporcionan protección contra vulnerabilidades específicas y bloquean la ejecución de amenazas emergentes (incluidos los ataques de desbordamiento del búfer).
Véase también
Impedir que las amenazas accedan a los sistemas en la página 35 Descripción general de las reglas expertas en la página 121
Cómo funcionan las reglas de protección de aplicaciones en la página 15 Cómo las firmas protegen las aplicaciones y los sistemas en la página 16 Cómo funciona el IPS de red en la página 18
Cómo funciona McAfee GTI en la página 18
Cómo funcionan los análisis en tiempo real en la página 18 Cómo funciona el analizador de scripts en la página 21 Cómo funcionan los análisis bajo demanda en la página 22 Cómo funciona la utilización del sistema en la página 23
Cómo funciona el análisis de almacenamiento remoto en la página 24
Descripción general de las características
Contenido
Cómo funcionan los archivos de contenido
Cómo funcionan las reglas de protección de aplicaciones Cómo las firmas protegen las aplicaciones y los sistemas Cómo funciona el IPS de red
Cómo funciona McAfee GTI
Cómo funcionan los análisis en tiempo real Cómo funciona el analizador de scripts Cómo funcionan los análisis bajo demanda Cómo funciona la utilización del sistema
Cómo funciona el análisis de almacenamiento remoto
Cómo funcionan los archivos de contenido
Cuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esos archivos con información sobre amenazas conocidas almacenada en los archivos de contenido de AMCore. Prevención de exploits utiliza sus propios archivos de contenido para protegerse contra exploits.
McAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos de contenido.
Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza y reparación del daño que el malware detectado pueda causar. Surgen nuevas amenazas, y McAfee Labs publica archivos de contenido actualizados con frecuencia.
Si la firma de una amenaza no se encuentra en los archivos de contenido instalados, el motor de análisis no puede detectarla, lo que provoca que el sistema sea vulnerable a los ataques.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar a una versión anterior.
Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección fuera de la planificación de actualizaciones de archivos de contenido, McAfee Labs facilita un archivo Extra.DAT.
Paquete de contenido de AMCore
McAfee Labs publica paquetes de contenido de AMCore diariamente a las 7:00 de la tarde. (GMT/UTC). Si la aparición de una nueva amenaza así lo requiere, es posible que los archivos de contenido de AMCore diarios se publiquen antes y, a veces, que se retrase la publicación.
Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio de Support Notification Service (SNS). Véase KB67828.
El paquete de contenido AMCore contiene actualizaciones del motor de análisis y las firmas de Prevención de amenazas basadas en los resultados de la continua investigación sobre amenazas.
Paquete de contenido de Prevención de exploit El paquete de contenido de Prevención de exploits incluye:
• Las firmas de prevención de intrusiones en la red protegen:
• Sistemas situados en flujos secundarios en un segmento de red.
• Los servidores y los sistemas que se conectan a ellos.
• Frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o reducen el tráfico de red.
• Firmas de protección de acceso: archivo, clave de Registro, valor de Registro, procesos y servicios.
• Lista de protección de aplicaciones: procesos protegidos por Prevención de exploits.
El contenido de Prevención de exploits es similar a los archivos de contenido de McAfee Host IPS. Véase KB51504. Para ver KB51504, inicie sesión en ServicePortal y busque KB51504 en el Centro de conocimiento.
McAfee publica nuevos archivos de contenido de Prevención de exploits una vez al mes. Para cerciorarse de que Prevención de amenazas utiliza los archivos de contenido más recientes, obtenga estos archivos de McAfee y actualice sus sistemas con frecuencia.
Cómo funcionan las reglas de protección de aplicaciones
Las reglas de protección de aplicaciones especifican los procesos que supervisa Prevención de exploits para evitar el desbordamiento del búfer o el uso no válido de la API. Solo se supervisan los procesos de la lista de reglas de protección de aplicaciones con el estado de inclusión Incluir.
Cuando se inicia un proceso supervisado, Prevención de exploits inyecta sus DLL en el proceso para supervisar si se produce un desbordamiento del búfer o un uso no válido de la API.
El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones que están protegidas. Prevención de amenazas muestras estas aplicaciones en la sección Reglas de protección de aplicaciones de la configuración de Prevención de exploits. Para mantener la protección al día, las
actualizaciones del contenido de Prevención de exploits reemplazan las reglas de protección de aplicaciones definidas por McAfee en la configuración de Prevención de exploits con las reglas de protección de aplicaciones más recientes.
Puede activar, desactivar y modificar el estado de inclusión y los archivos ejecutables de las reglas de
protección de aplicaciones definidas en McAfee, pero no es posible eliminarlos. Además, puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del contenido.
Si el estado de inclusión de la regla de protección de aplicaciones es:
• Incluir: prevención de exploits inyecta sus archivos DLL y supervisa el proceso para que no se produzcan infracciones.
Las aplicaciones protegidas incluyen aplicaciones de Microsoft como PowerPoint, Outlook, Excel;
navegadores web y procesos vulnerables como svchost.exe y servicios.
• Excluir: prevención de exploits no inyecta sus archivos DLL y no supervisa el proceso para que no se produzcan infracciones.
Establecer el estado de inclusión como Excluir es equivalente a agregar una exclusión en la sección Exclusiones y especificar solo la información del proceso.
Si la lista incluye reglas de protección de aplicaciones en conflicto, las reglas con estado Excluir tienen prioridad sobre las de estado Incluir.
El Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellas aplicaciones que se estén ejecutando en el sistema cliente.
Las reglas de protección de aplicaciones creadas en el Cliente de Endpoint Security no se envían a McAfee ePO y se pueden sobrescribir cuando el administrador despliegue una directiva actualizada.
Cómo las firmas protegen las aplicaciones y los sistemas
Las firmas son colecciones de reglas que comparan el comportamiento con ataques conocidos y llevan a cabo una acción cuando se detecta una coincidencia. McAfee proporciona firmas en las actualizaciones de contenido de Prevención de exploits.
Cuando se actualiza el archivo de contenido de Prevención de exploits, se actualiza la lista de firmas.
Tipos de firma
Prevención de amenazas incluye estos tipos de firma:
• Las firmas de archivos notifican o bloquean operaciones en rutas, unidades o archivos determinados, como ejecutar o cambiar un nombre.
• Las firmas de servicios notifican o bloquean operaciones en servicios, como iniciar, detener o cambiar el modo de inicio.
• Las firmas de registro notifican o bloquean operaciones en claves y valores de registro, como crear o eliminar.
• Las firmas de procesos notifican o bloquean operaciones en procesos, como acceder o ejecutar.
• Las firmas de desbordamiento de búfer notifican o bloquean programas maliciosos insertados en el espacio de memoria aprovechado por un ataque.
• Las firmas de Uso no válido de API notifican o bloquean llamadas a la API que pueden dar lugar a actividades malintencionadas.
• Las firmas de IPS de red notifican o bloquean datos maliciosos que fluyen entre el sistema y el resto de la red.
Las firmas de Desbordamiento de búfer y Uso no válido de API protegen determinados procesos, los cuales se definen en la lista de reglas de protección de aplicaciones. Cuando se detecta un ataque, Prevención de exploits puede detener el comportamiento iniciado por dicho ataque.
Reglas de comportamiento
Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan el comportamiento apropiado del sistema operativo y las aplicaciones. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. La actividad que no coincide con estas reglas se considera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento puede establecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otro proceso intenta acceder a los archivos HTML,
Prevención de exploits realiza la acción especificada. Este tipo de protección, denominada blindaje y envoltura de aplicaciones, impide que se pongan en peligro las aplicaciones y los datos de estas, así como que se utilicen las aplicaciones para atacar otras aplicaciones.
Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan la ejecución de código derivada de un ataque de desbordamiento del búfer, uno de los métodos de ataque más habituales.
• Bloquear: impide la operación.
• Informar: permite la operación e informa del evento.
Si no se selecciona ninguna acción, la firma se desactiva; Prevención de exploits permite la operación y no informa del evento.
El archivo de contenido de Prevención de exploits establece automáticamente la acción de las firmas en función del nivel de gravedad. Por lo general, las firmas con un nivel de gravedad Alto se establecen como Bloquear e Informar. Puede modificar la acción de una firma determinada en la sección Firmas de la configuración de Prevención de exploits. Los cambios que realice en las acciones de las firmas se conservarán tras las actualizaciones del contenido.
No se puede eliminar o cambiar firmas predeterminadas.
Niveles de gravedad
Cada firma tiene un nivel de gravedad predeterminado que describe el peligro potencial de un ataque.
• Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. La mayoría de estas firmas son específicas para exploits bien identificados y, por lo general, no tienen que ver con el comportamiento.
Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyo nivel de gravedad sea Alto como Bloquear en todos los hosts.
• Medio: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera de su entorno (adecuado para clientes que protegen servidores web y Microsoft SQL Server).
Procedimiento recomendado: en los servidores críticos, configure las firmas cuyo nivel de gravedad sea Medio como Bloquear tras afinar su ajuste.
• Bajo: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consiste en bloquear los recursos de las aplicaciones y del sistema para que no se puedan modificar.
Configurar las firmas cuyo nivel de gravedad sea Bajo como Bloquear incrementa la seguridad el sistema, pero requiere ajustes adicionales.
• Informativo: firmas que indican un cambio de la configuración del sistema que puede suponer un riesgo benigno para la seguridad o bien un intento de acceder a información del sistema de carácter confidencial.
Los eventos de este nivel se producen durante la actividad normal del sistema y, por lo general, no constituyen un indicio de ataque.
• Desactivado: firmas que están desactivadas en el archivo de contenido de Prevención de exploits.
En Endpoint Security 10.2 y versiones anteriores, la opción Nivel de protección controla las acciones de firma. Si asigna una directiva de Prevención de exploits de Endpoint Security 10.6 o una versión posterior a sistemas cliente con una versión anterior, el Nivel de protección no cambiará ni podrá configurarse desde la directiva. Si el Nivel de protección se establece como Estándar, solo se detectarán y bloquearán las firmas de gravedad alta.
Si el Nivel de protección era Máximo, se detectarán y bloquearán firmas de gravedad alta y media.
Firmas personalizadas
Puede crear:
• Reglas de Protección de acceso personalizadas para proteger archivos, servicios, claves y valores de registro, y procesos específicos.
Cree estas reglas haciendo clic en Agregar en la sección Reglas de la configuración de Protección de acceso.
• Reglas de Prevención de exploits expertas para evitar el desbordamiento del búfer y el uso no válido de la API, así como para proteger los archivos, los servicios, el registro y los procesos.
Cree estas reglas haciendo clic en Agregar regla experta en la sección Firmas de la configuración de Prevención de exploits.
No se pueden crear las reglas expertas de IPS de red.
Cómo funciona el IPS de red
La tecnología Prevención de intrusiones en la red (también conocida como IPS de red) supervisa la actividad de la red para proteger los sistemas cliente frente a amenazas.
El controlador de filtro de protección IPS de red inspecciona todos los datos que fluyen entre el sistema del cliente y la red. Compara los datos de red con los ataques basados en red conocidos de las firmas IPS de red. Si los datos coinciden con un ataque conocido, IPS de red responde con la acción configurada, por ejemplo, el bloqueo de los datos del sistema.
La IPS de red también le permite bloquear automáticamente hosts de un intruso de red durante un periodo concreto, incluso si la acción de la firma de IPS de red no se ha configurado en Bloquear. Utilice esta opción para proteger sus sistemas frente a ataques de denegación de servicio de red que deniegan o degradan el tráfico de red.
Cómo funciona McAfee GTI
McAfee GTI utiliza heurística o reputación de archivos para buscar archivos sospechosos mediante el análisis en tiempo real y el análisis bajo demanda.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central alojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, la detección podría estar disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs publique la actualización.
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan más falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en Media de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en la configuración de Análisis en tiempo real y Análisis bajo demanda.
Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar información de reputación de McAfee GTI en la configuración de Ajustes generales.
Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.
Cómo funcionan los análisis en tiempo real
El analizador en tiempo real examina los archivos a medida que el usuario accede a ellos y proporciona una detección continua y en tiempo real de las amenazas.
El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez. Cuando se
producen detecciones, el analizador en tiempo real envía notificaciones a la interfaz del servicio.
una mejor protección contra el malware. La integración con AMSI proporciona un análisis de amenazas mejorado en scripts no basados en navegador, como PowerShell, wscript y CScript.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el sistema o el servicio de Endpoint Security.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación.
Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación.
El analizador utiliza estos criterios para determinar si se debe analizar un elemento:
• La extensión del archivo coincide con la configuración.
• La información del archivo no está en la caché de análisis global.
• El archivo no se ha excluido, ni tampoco analizado previamente.
Análisis de lectura
Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo:
1 El analizador bloquea la solicitud.
2 El analizador determina si el elemento se debe analizar o no.
• Si no es necesario analizar el archivo, el analizador lo desbloquea, almacena en caché su información y autoriza la operación.
• Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.
• Si el archivo contiene una amenaza, el analizador deniega el acceso a este y realiza la acción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1 Utiliza la información en el archivo de contenido de AMCore cargado en ese momento para limpiar el archivo.
2 Registra los resultados en el registro de actividades.
3 Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se debe realizar (limpiar o eliminar el archivo).
Análisis de escritura
El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado. Cuando se selecciona el análisis de escritura y se escribe un archivo en el disco:
1 El analizador determina si el elemento se debe analizar o no.
a Si no es necesario analizar el archivo, el analizador almacena en caché su información y autoriza la operación.
b Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador almacena en caché el resultado.
• Si el archivo contiene una amenaza, el analizador realiza la acción configurada.
El analizador no deniega el acceso al archivo.
ScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en busca de scripts maliciosos antes de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScript para su
procesamiento. Si ScriptScan detecta un script malicioso, lo bloquea para que no se ejecute.
ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scripts ejecutados por wscript.exe o cscript.exe.
Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece la posibilidad de activar uno o más complementos de McAfee. Para que ScriptScan analice scripts:
• Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manera predeterminada.
• El complemento debe estar activado en el navegador.
Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts maliciosos.
• Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.
• Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.
Procedimiento recomendado: exclusiones de ScriptScan
Los sitios web que utilizan muchos scripts y las aplicaciones basadas en la Web podrían experimentar un rendimiento deficiente cuando ScriptScan está activado. En lugar de desactivar ScriptScan, le recomendamos especificar exclusiones de URL para los sitios web de confianza, tales como los de una intranet, o las
Al crear exclusiones de URL:
• No se admiten caracteres comodín.
• Unas URL más completas tienen un mejor rendimiento.
• No incluya números de puerto.
• Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.
Cómo funcionan los análisis bajo demanda
El analizador bajo demanda analiza los archivos, las carpetas, la memoria y el registro en busca de malware que pueda haber infectado el equipo.
Puede decidir cuándo y con qué frecuencia se realizan los análisis bajo demanda. Es posible analizar los sistemas manualmente, en un momento planificado o durante el inicio. Utilice los análisis bajo demanda para complementar la protección continuada que ofrece el analizador en tiempo real, como por ejemplo para analizar procesos inactivos y latentes.
La lista de detecciones del análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda.
1 El analizador bajo demanda emplea los criterios siguientes para determinar si es necesario analizar el elemento:
• La extensión del archivo coincide con la configuración.
• El archivo no se ha almacenado en caché, excluido ni analizado previamente (si el analizador utiliza la caché de análisis).
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2 Si el archivo cumple los criterios de análisis, el analizador compara la información del elemento con las firmas de malware conocido que se encuentran en los archivos de contenido de AMCore cargados en ese momento.
• Si el archivo está limpio, el resultado se almacena en caché y el analizador comprueba el siguiente elemento.
• Si el archivo contiene una amenaza, el analizador responde realizando la acción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1 Utiliza la información en el archivo de contenido de AMCore cargado en ese momento para limpiar el archivo.
2 Registra los resultados en el registro de actividades.
3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del elemento y la acción realizada.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda
Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación.
3 Si el elemento no cumple los requisitos de análisis, el analizador no lo comprueba. En su lugar, el analizador continúa hasta que analiza todos los datos.
Cómo funciona la utilización del sistema
La utilización del sistema (regulación) determina la cantidad de tiempo de CPU asignado durante un análisis bajo demanda.
El analizador bajo demanda utiliza la configuración de la opción Establecer prioridad de Windows para definir la prioridad del proceso y los subprocesos del análisis.
Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Tabla 1-1 Configuración de la utilización del sistema Configuración de la
utilización del sistema
Esta opción... Procedimientos
recomendados Bajo • Proporciona un rendimiento mejorado del resto de
las aplicaciones en ejecución.
• Establece el número de subprocesos del análisis en 1.
Seleccione esta opción para sistemas con actividad del usuario final.
Por debajo de lo normal • Establece un número de subprocesos para que el análisis sea igual al número de CPU.
• Es la opción predeterminada para los análisis bajo demanda preconfigurados: Análisis completo y Análisis rápido.
Normal • Permite que el análisis finalice más rápido.
• Establece un número de subprocesos del análisis igual al doble del número de CPU.
• Es la configuración predeterminada para los análisis bajo demanda personalizados.
Seleccione esta opción para sistemas que tienen grandes volúmenes y poca actividad del usuario final.
Uso de la CPU durante los análisis
Puede utilizar el Administrador de tareas de Windows para ver el uso de CPU que hace el proceso de servicio del analizador de McAfee (mcshield.exe).
Los procesos de análisis de Análisis completo y Análisis rápido bajo demanda se ejecutan con prioridad baja. Sin embargo, si no hay otros procesos que se ejecutan durante un análisis, el proceso mcshield.exe podría consumir hasta un 40 % de los recursos de la CPU que no se utilicen. Si cualquier otro proceso realiza solicitudes de sistema, mcshield.exe libera los recursos de la CPU.
Cómo funciona el análisis de almacenamiento remoto
El análisis de almacenamiento remoto permite restaurar archivos que se hayan migrado al almacenamiento en el sistema local antes del análisis.
El almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando resulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivos pertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta. Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recupera automáticamente los datos del dispositivo de almacenamiento.
Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo demanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el analizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes del análisis.
Esta opción no afecta a los archivos almacenados en Microsoft OneDrive. El analizador bajo demanda no descarga archivos de OneDrive ni analiza archivos que aún no se hayan descargado.
Para obtener más información, consulte Qué es el Almacenamiento remoto.
Debe disponer de los permisos apropiados para acceder a la mayoría de funciones.
Función de McAfee
ePO Elementos agregados
Tareas cliente Tareas cliente que puede usar para automatizar la administración y el mantenimiento en los sistemas cliente.
Paneles Paneles y monitores que puede usar para realizar un seguimiento de su entorno.
Eventos y respuestas • Eventos para los que se pueden configurar respuestas automáticas.
• Grupos de evento y tipos de evento que puede usar para personalizar las respuestas automáticas.
Propiedades de
sistema gestionado Propiedades que puede revisar en el Árbol de sistemas o utilizar para personalizar las consultas.
Conjuntos de
permisos Las categorías de permiso de Prevención de amenazas de Endpoint Security y Cliente de Prevención de amenazas de Endpoint Security están disponibles en todos los conjuntos de permisos existentes.
Directivas Categorías de directiva de Prevención de exploits, Análisis en tiempo real, Análisis bajo demanda y Opciones en el grupo de productos Prevención de amenazas de Endpoint Security.
Consultas e informes • Consultas predeterminadas que puede usar para ejecutar informes.
• Grupos de propiedades personalizados basados en propiedades de sistemas gestionados que puede usar para crear sus propios informes y consultas.
Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO.
Véase también
Tareas cliente y Prevención de amenazas en la página 27 Paneles, monitores y Prevención de amenazas en la página 77 Eventos, respuestas y Prevención de amenazas en la página 85 Directivas y Prevención de amenazas en la página 31
Consultas, informes y Prevención de amenazas en la página 79 Tareas servidor y Prevención de amenazas en la página 83 Conjuntos de permisos y Prevención de amenazas en la página 25
Conjuntos de permisos y Prevención de amenazas
Los conjuntos de permisos definen derechos para funciones de producto gestionadas en McAfee ePO.
Prevención de amenazas añade el grupo de permisos Prevención de amenazas de Endpoint Security y Cliente de Prevención de amenazas de Endpoint Security en cada conjunto de permisos.
Los grupos de permisos definen los derechos de acceso a las funciones. McAfee ePO otorga a los
administradores globales todos los permisos para todos los productos y las funciones. Los administradores asignan entonces funciones de usuario a conjuntos de permisos existentes, o crean otros.
Su producto gestionado añade estos controles de permiso a McAfee ePO.
Conjuntos de permisos Permisos predeterminados Revisor responsable
Prevención de amenazas de Endpoint Security y Cliente de Prevención de amenazas de Endpoint Security
Ningún permiso
Revisor global
Prevención de amenazas de Endpoint Security
Visualiza funciones, ejecuta consultas.
Revisor global
Cliente de Prevención de amenazas de Endpoint Security
Ningún permiso
Administrador de grupo
Prevención de amenazas de Endpoint Security y Cliente de Prevención de amenazas de Endpoint Security
Ningún permiso
Revisor de grupo
Prevención de amenazas de Endpoint Security y Cliente de Prevención de amenazas de Endpoint Security
Ningún permiso
Este producto gestionado concede Ningún permiso de forma predeterminada.
Deben otorgarse permisos para permitir a los usuarios utilizar o acceder a las funciones controladas mediante permisos.
Tabla 1-2 Permisos requeridos por función
Funciones Permisos requeridos
Respuestas automáticas • Respuestas automáticas
• Notificaciones de eventos
• Cualquier permiso específico de una función depende de la función utilizada (como Árbol de sistemas o consultas).
Tareas cliente Prevención de amenazas de Endpoint Security: Tareas en el grupo de permisos Prevención de amenazas de Endpoint Security
Paneles y monitores • Paneles
• Consultas
Directivas Prevención de amenazas de Endpoint Security: Tareas en el grupo de permisos Prevención de amenazas de Endpoint Security
Generación de informes • Sistemas
• Acceso al Árbol de sistemas
• Registro de eventos de amenaza
• Ver eventos de prevención de exploits en el grupo de permiso Cliente de Prevención de amenazas de Endpoint Security
Consultas • Consultas e informes
• Ver las consultas en el grupo de permiso Cliente de Prevención de amenazas de Endpoint Security
Tareas servidor Tareas de servidor
Árbol de sistemas • Sistemas
• Acceso al Árbol de sistemas Registro de eventos de
amenaza • Sistemas
• Acceso al Árbol de sistemas
• Registro de eventos de amenaza
Para obtener información sobre la administración de conjuntos de permisos, consulte la documentación de McAfee ePO.
Véase también
Adiciones de Prevención de amenazas a McAfee ePO en la página 25 Tareas cliente y Prevención de amenazas en la página 27
Tareas cliente y Prevención de amenazas
Utilice tareas cliente para automatizar la administración o el mantenimiento en los sistemas gestionados.
Su producto gestionado agrega estas tareas cliente al Catálogo de tareas cliente. Puede utilizar las tareas cliente sin modificaciones, editarlas o crear otras.
Tabla 1-3 Tareas cliente predeterminadas de Prevención de amenazas
Tarea cliente Descripción
Análisis bajo demanda
personalizado Examina todas las partes del equipo gestionadas en busca de amenazas potenciales a las horas en las que el proceso no afecte a su trabajo.
Análisis bajo demanda basado en
directivas Ejecuta los análisis preconfigurados de Análisis rápido y Análisis completo de McAfee ePO.
Defina el comportamiento de los análisis completos y rápidos en la configuración de la directiva Análisis bajo demanda.
Restaurar desde cuarentena Restaura elementos individuales de la cuarentena.
Revertir AMCore Content Quita los números de versión de los archivos de AMCore content de los sistemas cliente.
Prevención de amenazas aprovecha las tareas cliente predeterminadas de McAfee Agent siguientes.
Tabla 1-4 Tareas cliente predeterminadas de McAfee Agent
Tarea cliente Descripción
Despliegue de productos Despliega productos de McAfee en los sistemas cliente.
Actualización de producto Actualiza archivos de contenido, motores y todos los productos de McAfee automáticamente.
Repositorios de duplicación Replica en un sitio de duplicación en la red los archivos de contenido y de motor actualizados del primer repositorio accesible.
Para obtener información sobre el uso de repositorios distribuidos a fin de mantener actualizado el software de seguridad, consulte la Guía de procedimientos recomendados de McAfee ePO.
Para obtener información sobre las tareas cliente y el Catálogo de tareas cliente, consulte la documentación de
Véase también
Configurar análisis predefinidos que se pueden ejecutar de forma manual o planificada en la página 59 Programar análisis rápidos y análisis completos desde McAfee ePO en la página 61
Restaurar elementos en cuarentena en la página 74
Quitar contenido de AMCore del sistema cliente desde McAfee ePO en la página 68
Descargue y despliegue un archivo Extra.DAT en los sistemas cliente de McAfee ePO en la página 67 Conjuntos de permisos y Prevención de amenazas en la página 25
Primeros pasos
Una vez instalado, Prevención de amenazas utiliza los archivos de contenido incluidos en el producto para proporcionar seguridad general al entorno. Le recomendamos descargar los archivos de contenido más recientes y personalizar la configuración para cumplir los requisitos antes de desplegar el producto en sistemas cliente.
Inmediatamente después de la instalación:
1 Establecer la seguridad de la interfaz de usuario: configure las opciones de acceso y la contraseña para impedir que los usuarios accedan a componentes específicos o a la totalidad de la interfaz de Cliente de Endpoint Security.
2 Configurar el inicio de sesión en el cliente: especifique la ubicación de los archivos de registro para las funciones de Endpoint Security, los tipos de información y el nivel de gravedad de los eventos a registrar.
Seleccione qué eventos cliente se reenvían a McAfee ePO y si se registrarán eventos en el registro de aplicaciones de Windows.
Procedimiento recomendado: active el registro de depuración durante, al menos, las primeras 24 horas durante las fases de prueba y piloto. Si no se producen problemas durante este tiempo, desactive el registro de depuración para evitar que el rendimiento de los sistemas cliente se vea afectado.
3 Confirmar el motor y los archivos de contenido: verifique que los sistemas cliente tengan al menos el motor y los archivos de contenido instalados mediante el Cliente de Endpoint Security o McAfee ePO.
4 Evitar intrusiones: asegúrese de que la protección de acceso y la prevención de exploits están activadas, especifique las reacciones firmas y exclusiones y configurar reglas para impedir cambios no deseados en los archivos utilizados y la configuración.
5 Configure los ajustes que se aplican a todos los análisis:
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos automáticamente
• Nombres de detecciones que excluir de los análisis
• Programas potencialmente no deseados que detectar, como spyware y adware
6 Configurar los análisis que se ejecutan automáticamente cuando se accede a los archivos: configure el analizador en tiempo real para que detecte y actúe frente a amenazas potenciales cuando se accede a archivos en su entorno. Active la detección de programas potencialmente no deseados.
• Análisis de memoria diarios
• Análisis semanales o diarios de ubicaciones de usuarios activos, como la carpeta del perfil del usuario, la carpeta Temp, las entradas de Registro, los archivos registrados y la carpeta de Windows
8 Configurar actualizaciones del motor y los archivos de contenido: configure una tarea cliente
Actualización de producto de McAfee Agent para cerciorarse de tener las actualizaciones más recientes del producto, el motor y los archivos de contenido.
Véase también
Proteger archivos, Registro, procesos y servicios con las reglas de Protección de acceso en la página 47 Configurar las opciones de Prevención de exploits para bloquear amenazas en la página 49
Configurar las opciones para todos los análisis en la página 52
Configurar análisis que se ejecuten automáticamente cuando se accede a los archivos en la página 55 Configurar y programar análisis personalizados de McAfee ePO en la página 62
Contenido
Directivas y Prevención de amenazas
Impedir que Prevención de amenazas bloquee los programas, las redes y los servicios de confianza Impedir que las amenazas accedan a los sistemas
Análisis en busca de amenazas en sistemas cliente
Directivas y Prevención de amenazas
Las directivas le permiten configurar, aplicar e implementar opciones de configuración para los sistemas gestionados de su entorno.
Las directivas son colecciones de parámetros que se crean, configuran y aplican antes de su implementación. La mayoría de las configuraciones de directivas corresponden a parámetros que se configuran en el Cliente de Endpoint Security. Otras configuraciones de directivas son la interfaz principal para la configuración del software.
Su producto gestionado añade estas categorías al Catálogo de directivas. Las opciones de configuración disponibles dependen de la categoría.
Tabla 2-1 Categorías de Prevención de amenazas
Categoría Descripción
Protección de acceso Impide los cambios no deseados en el sistema gestionado mediante la restricción del acceso a determinados archivos, recursos compartidos, claves y valores de Registro, procesos y servicios.
Prevención de
exploits • Impide los cambios no deseados en el sistema gestionado mediante la restricción del acceso a los archivos, los recursos compartidos, las claves y los valores de Registro, los procesos y los servicios.
• Impide que las aplicaciones ejecuten código arbitrario.
• Detecta y evita ataques de red conocidos.
Análisis en tiempo
real Configura el análisis planificado de todos los procesos, incluidos el tiempo de análisis máximo y la configuración del mensaje de detección de amenazas.
Análisis bajo
demanda Configura los análisis predefinidos que se ejecutan en el sistema cliente, incluidos los siguientes:
• Análisis completo y Análisis rápido desde el Cliente de Endpoint Security
• Análisis con el botón derecho del ratón en el sistema cliente
• Tareas cliente de Análisis bajo demanda personalizado planificadas en McAfee ePO
Personalización de directivas
Cada categoría de directiva incluye directivas predeterminadas.
Puede usar las directivas predeterminadas sin modificaciones, editar las directivas predeterminadas My Default o crear otras.
Tabla 2-2 Directivas predeterminadas de Prevención de amenazas
Directiva Descripción
McAfee Default Define la directiva predeterminada que surtirá efecto si no se aplica ninguna otra. Esta directiva se puede duplicar, pero no eliminar ni cambiar.
My Default Define parámetros predeterminados para la categoría.
Análisis en tiempo real
para Exchange Define una directiva de análisis en tiempo real con exclusiones para Microsoft Exchange Server. Esta directiva no se aplica hasta que no se haya asignado a los sistemas. Para obtener más información, consulte el artículo KB51471 de la Base de conocimiento.
Directivas basadas en usuario
Las directivas basadas en usuario permiten que las directivas se definan e implementen mediante reglas de asignación de directivas de McAfee ePO con un servidor LDAP. Estas reglas de asignación se implementan en el sistema cliente para el usuario en el momento de iniciar sesión, sin tener en cuenta el grupo de McAfee ePO.
Las directivas basadas en usuario se implementan cuando un usuario con una regla de asignación que coincida inicia sesión en el sistema cliente en la consola. Las directivas basadas en sistema se implementan cuando dos o más usuarios han iniciado sesión en un sistema. Las reglas de asignación de directivas tienen prioridad sobre las directivas definidas en el Árbol de sistemas.
La directiva de usuario sustituye a la directiva de sistema. Todas las directivas de sistema se aplican y cualquier directiva basada en usuario anula la directiva de sistema.
Las reglas de asignación de directivas solo se implementan si el usuario inicia sesión como usuario interactivo.
La directiva de sistema, a diferencia de la directiva de usuario, se implementa si el usuario inicia sesión:
• Con un comando runas
• En un equipo de sobremesa remoto o servicio de Terminal Server, cuando el inicio de sesión del usuario no está configurado como interactivo
Para obtener más información acerca de directivas basadas en usuario y reglas de asignación de directivas, consulte la Ayuda de McAfee ePO.
Comparación de directivas
En McAfee ePO 5.0 y las versiones posteriores, puede comparar las directivas dentro de la misma categoría de directivas mediante Comparación de directivas.
Para obtener información sobre las directivas y el Catálogo de directivas, consulte la documentación de McAfee ePO.
Véase también
Proteger archivos, Registro, procesos y servicios con las reglas de Protección de acceso en la página 47 Configurar las opciones de Prevención de exploits para bloquear amenazas en la página 49
Configurar análisis que se ejecuten automáticamente cuando se accede a los archivos en la página 55 Configurar análisis predefinidos que se pueden ejecutar de forma manual o planificada en la página 59 Configurar las opciones para todos los análisis en la página 52
Prevención de amenazas le permite ajustar la protección especificando elementos que excluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee un archivo utilizado por una base de datos o un servidor. Un archivo bloqueado puede hacer que se produzcan errores en la base de datos o el servidor.
Procedimiento recomendado: para mejorar el rendimiento de los análisis en tiempo real y bajo demanda, utilice las técnicas de elusión de análisis en lugar de agregar exclusiones de archivos y carpetas.
Las exclusiones de las listas son mutuamente exclusivas. Cada exclusión se evalúa por separado de otras exclusiones de la lista.
Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.
Para esta función... Especificar elementos que excluir
Dónde configurar Excluir elementos
por ¿Usar
comodines?
Protección de acceso Procesos (para todas las reglas o para una regla especificada)
Protección de acceso Ruta o nombre de archivo del proceso, hash MD5 o firmante Prevención de exploits Procesos Prevención de exploits Ruta o nombre de
archivo del proceso, hash MD5 o firmante
Todos excepto hash MD5
Módulos autores de
llamadas Ruta o nombre de
archivo del módulo autor de llamada, hash MD5 o firmante
API Nombre de la API
Firmas ID de firma No
Direcciones IP Direcciones IP o
intervalos (formato IPv4)
No
Servicios Nombre del servicio No
Todos los análisis Nombres de
detección Opciones Nombre de detección
(distingue entre mayúsculas y minúsculas)
Sí
Programas
potencialmente no deseados
Nombre Sí
Análisis en tiempo real
• Predeterminado
• Riesgo alto
• Riesgo bajo
Archivos, tipos de
archivo y carpetas Análisis en tiempo real Nombre de archivo o carpeta, tipo de archivo o antigüedad del archivo
Sí
URL de ScriptScan Nombre de URL No
Para esta función... Especificar elementos que excluir
Dónde configurar Excluir elementos
por ¿Usar
comodines?
Análisis bajo demanda
• Análisis rápido
• Análisis completo
• Análisis con el botón derecho del ratón
Archivos, carpetas y
unidades Análisis bajo demanda Nombre de archivo o carpeta, tipo de archivo o antigüedad del archivo
Sí
Análisis bajo demanda
personalizado Archivos, carpetas y
unidades • McAfee ePO: tarea cliente Análisis bajo demanda personalizado
• Cliente de
Endpoint Security:
Tareas | Agregar tarea | Análisis personalizado
Nombre de archivo o carpeta, tipo de archivo o antigüedad del archivo
Sí
Procedimientos recomendados: exclusiones recomendadas para los análisis en tiempo real Microsoft ofrece recomendaciones sobre ubicaciones que excluir de los analizadores de nivel de archivo, como el analizador en tiempo real de Prevención de amenazas. Para obtener más información sobre estas
recomendaciones, consulte los siguientes artículos de KB.
Para garantizar la compatibilidad con... Consulte este artículo de
KB
Microsoft SQL Server KB67211
Microsoft Exchange KB51471
Controlador de dominio de Windows con Active Directory o el servicio de replicación de archivos (FRS)/replicación de sistema de archivos distribuido (DFSR)
KB57308
Véase también
Caracteres comodín en exclusiones en la página 35
Exclusión de elementos de la protección de Prevención de exploits en la página 49 Impedir que Protección de acceso bloquee los programas de confianza en la página 48
