McAfee Endpoint Security

Anuncio
Guía del producto
McAfee Endpoint Security 10.2
COPYRIGHT
© 2016 Intel Corporation
ATRIBUCIONES DE MARCAS COMERCIALES
Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus
empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2
McAfee Endpoint Security 10.2
Guía del producto
Contenido
1
McAfee Endpoint Security
7
Introducción
9
Módulos de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cómo Endpoint Security protege su equipo . . . . . . . . . . . . . . . . . . . . . . .
Cómo se mantiene actualizada su protección . . . . . . . . . . . . . . . . . . .
Interacción con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acerca de los mensajes de notificación . . . . . . . . . . . . . . . . . . . . . .
Acerca de Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . .
2
Mediante Cliente de Endpoint Security
Mediante Prevención de amenazas
19
20
20
20
21
21
22
22
23
24
24
25
27
27
28
28
29
29
30
35
41
42
43
51
57
Analizar el equipo en busca de malware . . . . . . . . . . . . . . . . . . . . . . . .
Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejecución de un Análisis completo o un Análisis rápido . . . . . . . . . . . . . . . .
Analizar un archivo o carpeta . . . . . . . . . . . . . . . . . . . . . . . . . .
Administrar detecciones de amenazas . . . . . . . . . . . . . . . . . . . . . . . . .
Administrar elementos en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Endpoint Security 10.2
12
14
15
19
Abra Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Responder a avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Responder a un aviso de detección de amenaza . . . . . . . . . . . . . . . . . .
Responder a aviso de análisis . . . . . . . . . . . . . . . . . . . . . . . . . .
Respuesta a un aviso de reputación de archivos . . . . . . . . . . . . . . . . . .
Introduzca información sobre su protección . . . . . . . . . . . . . . . . . . . . . . .
Tipos de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Actualización manual de protección y software . . . . . . . . . . . . . . . . . . . . . .
Qué se actualiza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver el Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nombres y ubicaciones de los archivos de registro de Endpoint Security . . . . . . . . .
Administrar Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Iniciar sesión como administrador . . . . . . . . . . . . . . . . . . . . . . . .
Desbloqueo de la interfaz de cliente . . . . . . . . . . . . . . . . . . . . . . .
Activación y desactivación de funciones . . . . . . . . . . . . . . . . . . . . . .
Cambiar versión de AMCore content . . . . . . . . . . . . . . . . . . . . . . .
Utilice archivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar parámetros comunes . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar el comportamiento de las actualizaciones . . . . . . . . . . . . . . . .
Referencia a la interfaz de cliente: Ajustes generales . . . . . . . . . . . . . . . . . . .
Página Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajustes generales: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajustes generales: Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
9
10
11
12
57
57
58
60
61
62
Guía del producto
3
Contenido
Nombres de detecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Repetición de análisis de elementos en cuarentena . . . . . . . . . . . . . . . . . 65
Administrar Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Configuración de exclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Protección de los puntos de acceso del sistema . . . . . . . . . . . . . . . . . . . 67
Bloqueo de vulnerabilidades de desbordamiento del búfer . . . . . . . . . . . . . . 76
Detección de programas potencialmente no deseados . . . . . . . . . . . . . . . . 78
Configurar parámetros de análisis de ajustes generales . . . . . . . . . . . . . . . 80
Cómo funciona McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Configure Análisis en tiempo real . . . . . . . . . . . . . . . . . . . . . . . . 81
Configurar Análisis bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . 86
Configure, planifique y ejecute tareas de análisis . . . . . . . . . . . . . . . . . . 91
Referencia de la interfaz de cliente: Prevención de amenazas . . . . . . . . . . . . . . . . 92
Página Poner en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Prevención de amenazas: Protección de acceso . . . . . . . . . . . . . . . . . . 93
Prevención de amenazas: Prevención de exploit . . . . . . . . . . . . . . . . .
105
Prevención de amenazas: Análisis en tiempo real . . . . . . . . . . . . . . . . . 109
Página Prevención de amenazas: Análisis bajo demanda . . . . . . . . . . . . . . 114
Ubicaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . .
117
McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Agregar exclusión o Editar exclusión . . . . . . . . . . . . . . . . . . . . . .
122
Prevención de amenazas: Opciones . . . . . . . . . . . . . . . . . . . . . .
122
Revertir AMCore Content . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
4
Uso de Firewall
125
Cómo funciona Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee . . . . . 125
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del
sistema de McAfee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Información acerca de los grupos sincronizados . . . . . . . . . . . . . . . . . . 126
Administrar Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Modificar opciones de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 127
Administración de directivas y grupos de Firewall . . . . . . . . . . . . . . . . . 131
Referencia de la interfaz de cliente: Firewall . . . . . . . . . . . . . . . . . . . . . . 141
Firewall: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
141
Firewall: Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
144
5
Uso de Control web
153
Acerca de las funciones de Control web . . . . . . . . . . . . . . . . . . . . . . . .
Cómo Control web bloquea o advierte de un sitio web o descarga . . . . . . . . . . .
El botón de Control web identifica las amenazas durante la navegación . . . . . . . .
Los iconos de seguridad identifican las amenazas durante la búsqueda . . . . . . . . .
Los informes de sitio web proporcionan detalles . . . . . . . . . . . . . . . . . .
Modo de compilación de las clasificaciones de seguridad . . . . . . . . . . . . . .
Acceso a las funciones de Control web . . . . . . . . . . . . . . . . . . . . . . . . .
Activar el complemento Control web en el navegador . . . . . . . . . . . . . . . .
Ver información acerca de un sitio al navegar . . . . . . . . . . . . . . . . . . .
Ver informe de sitio web durante la búsqueda . . . . . . . . . . . . . . . . . . .
Administrar Control web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de las opciones de Control web . . . . . . . . . . . . . . . . . . .
Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Referencia de la interfaz de cliente: Control web . . . . . . . . . . . . . . . . . . . .
Control web: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Control web: Acciones según contenido . . . . . . . . . . . . . . . . . . . . .
4
McAfee Endpoint Security 10.2
153
154
155
156
156
157
158
158
159
159
160
160
163
164
164
166
Guía del producto
Contenido
6
Uso de Inteligencia de amenazas
169
Funcionamiento de Inteligencia de amenazas . . . . . . . . . . . . . . . . . . . . . .
Administrar Inteligencia de amenazas . . . . . . . . . . . . . . . . . . . . . . . . .
Acerca de Inteligencia de amenazas . . . . . . . . . . . . . . . . . . . . . .
Contención de aplicaciones de forma dinámica . . . . . . . . . . . . . . . . . .
Configuración de las opciones de Inteligencia de amenazas . . . . . . . . . . . . .
Referencia de la interfaz de cliente: Inteligencia de amenazas . . . . . . . . . . . . . . .
Inteligencia de amenazas: Contención dinámica de aplicaciones . . . . . . . . . . .
Inteligencia de amenazas: opciones . . . . . . . . . . . . . . . . . . . . . .
Índice
McAfee Endpoint Security 10.2
169
170
170
176
183
184
184
187
191
Guía del producto
5
Contenido
6
McAfee Endpoint Security 10.2
Guía del producto
McAfee Endpoint Security
®
McAfee Endpoint Security es una exhaustiva solución de administración de la seguridad que se
ejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda
se explica cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Introducción
•
Módulos de Endpoint Security en la página 9
•
Cómo Endpoint Security protege su equipo en la página 10
•
Interacción con Endpoint Security en la página 12
Tareas frecuentes
•
Abra Cliente de Endpoint Security en la página 19
•
Actualización manual de protección y software en la página 23
•
Analizar el equipo en busca de malware en la página 57
•
Desbloqueo de la interfaz de cliente en la página 28
Información adicional
Para acceder a información adicional sobre este producto, consulte:
•
Guía de instalación de McAfee Endpoint Security
•
Guía de migración de McAfee Endpoint Security
•
Notas de la versión de McAfee Endpoint Security
•
Ayuda de Prevención de amenazas de Endpoint Security
•
Ayuda de Firewall de Endpoint Security
•
Ayuda de Control web de Endpoint Security
•
Ayuda de Inteligencia de amenazas de Endpoint Security
•
Soporte de McAfee
McAfee Endpoint Security 10.2
Guía del producto
7
McAfee Endpoint Security
8
McAfee Endpoint Security 10.2
Guía del producto
1
Introducción
Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en los
equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explica
cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno de
estos servidores de administración:
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
®
®
®
™
®
™
Para obtener la información más reciente sobre la licencia de gestión y la autorización de Endpoint
Security, consulte el artículo KB87057.
Inteligencia de amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.
Si su equipo está autogestionado, usted o su administrador deberán configurar el software mediante
Cliente de Endpoint Security.
Contenido
Módulos de Endpoint Security
Cómo Endpoint Security protege su equipo
Interacción con Endpoint Security
Módulos de Endpoint Security
El administrador configura e instala uno o más módulos de Endpoint Security en los equipos cliente.
•
Prevención de amenazas : comprueba la existencia de virus, spyware, programas no deseados y
otras amenazas mediante el análisis de los elementos, bien automáticamente cuando los usuarios
acceden a ellos, bien bajo demanda en cualquier momento.
•
Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o Internet.
Intercepta las comunicaciones sospechosas.
McAfee Endpoint Security 10.2
Guía del producto
9
1
Introducción
Cómo Endpoint Security protege su equipo
•
Control web : muestra calificaciones de seguridad e informes sobre sitios web durante la
navegación y la búsqueda online. Control web permite al administrador de sitios web bloquear el
acceso a los sitios web basándose en su calificación de seguridad o contenido.
•
Inteligencia de amenazas: Proporciona a su entorno de red una seguridad que se adapta al
contexto.
Inteligencia de amenazas de Endpoint Security es un módulo opcional en Endpoint Security. Para
disponer de más fuentes de datos y funciones, despliegue el servidor de Threat Intelligence
Exchange. Para obtener más información, póngase en contacto con su reseller o representante de
ventas.
Inteligencia de amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.
Además, el módulo Ajustes generales proporciona la configuración para las funciones comunes, tales
como la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instala
cualquier otro módulo.
Cómo Endpoint Security protege su equipo
Normalmente, un administrador configura Endpoint Security, instala el software en los equipos cliente,
supervisa el estado de seguridad y establece las reglas de seguridad, llamadas directivas.
Como usuario de un equipo cliente, usted interactúa con Endpoint Security a través del software
cliente instalado en su equipo. Las directivas configuradas por el administrador determinan cómo
actúan los módulos y las funciones en el equipo y si usted puede modificarlos o no.
Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y las funciones.
Para determinar el tipo de administración, consulte la página Acerca de.
Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin de
actualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que haya
encontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informes
para el administrador sobre las detecciones y los problemas de seguridad del equipo.
Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. No
obstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posible
que desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca de
malware. Dependiendo de las directivas configuradas por el administrador, es posible que usted pueda
personalizar la configuración de seguridad.
Si actúa como administrador, podrá administrar y configurar de manera centralizada el software cliente
mediante McAfee ePO o McAfee ePO Cloud.
Para obtener la información más reciente sobre la licencia de gestión y la autorización de Endpoint
Security, consulte el artículo KB87057.
Véase también
Introduzca información sobre su protección en la página 22
10
McAfee Endpoint Security 10.2
Guía del producto
1
Introducción
Cómo Endpoint Security protege su equipo
Cómo se mantiene actualizada su protección
Las actualizaciones regulares de Endpoint Security le aseguran que su equipo siempre está protegido
contra las últimas amenazas.
Para realizar actualizaciones, el software cliente se conecta a McAfee ePO local o remotamente, o
directamente a un sitio web en Internet. Endpoint Security realiza las siguientes comprobaciones:
•
Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos de
contenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones se
actualizan a medida que se descubren nuevas amenazas.
•
Ampliaciones de los componentes de software, como parches y hotfixes.
Para simplificar la terminología, esta Ayuda denomina actualizaciones tanto a actualizaciones como a
ampliaciones.
Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar si
hay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su
protección desde Cliente de Endpoint Security haciendo clic en
.
Véase también
Actualización manual de protección y software en la página 23
Cómo funcionan los archivos de contenido
Cuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esos
archivos con información sobre amenazas conocidas almacenada en los archivos de AMCore content.
Prevención de exploit utiliza sus propios archivos de contenido para protegerse contra exploits.
AMCore Content
McAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos de
contenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza y
reparación del daño que el virus detectado pueda causar.
Si la firma de un virus no se encuentra en ninguno de los archivos de contenido instalados, el motor de
análisis no puede detectarlo, lo que convierte al sistema vulnerable ante ataques.
Periódicamente aparecen nuevas amenazas. McAfee Labs publica actualizaciones de motor y nuevos
archivos de contenido que incorporan los resultados de investigaciones sobre amenazas en curso, cada
día antes de las 19:00. (UTC/GMT). Si una nueva amenaza lo garantiza, los archivos de AMCore
Content diarios podrían liberarse antes y, en determinadas circunstancias, la liberación se podría
retrasar. Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio de
notificaciones de soporte (SNS). Consulte el artículo KB67828 de la base de conocimiento.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores
en la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar
una versión anterior.
Si se descubre nuevo malware y se necesita incrementar la capacidad de detección fuera de la
planificación de actualizaciones de archivos de contenido, McAfee Labs libera un archivo Extra.DAT.
Para obtener información sobre la instalación de archivos Extra.DAT, consulte la ayuda de Prevención
de amenazas.
McAfee Endpoint Security 10.2
Guía del producto
11
1
Introducción
Interacción con Endpoint Security
Contenido de prevención de exploit
El contenido de prevención de exploit incluye:
•
Firmas de protección de la memoria: protección genérica contra desbordamiento del búfer (GBOP),
validación del autor de la llamada, Prevención genérica de la escalación de privilegios (GPEP) y
supervisión de API dirigida.
•
Lista de protección de aplicaciones: procesos protegidos por la prevención de exploit.
McAfee publica archivos nuevos de contenido de prevención de exploit una vez al mes.
Contenido de Inteligencia de amenazas
El contenido de Inteligencia de amenazas incluye reglas para calcular dinámicamente la reputación de
los archivos y los procesos en los endpoints. McAfee lanza nuevos archivos de contenido de
Inteligencia de amenazas cada dos meses.
Inteligencia de amenazas de Endpoint Security es un módulo opcional en Endpoint Security. Para
disponer de más fuentes de datos y funciones, despliegue el servidor de Threat Intelligence Exchange.
Para obtener más información, póngase en contacto con su reseller o representante de ventas.
Interacción con Endpoint Security
Endpoint Security proporciona componentes visuales para la interacción con el Cliente de Endpoint
Security.
•
El icono de McAfee en la bandeja del sistema de Windows: le permite iniciar el Cliente de Endpoint
Security y ver el estado de seguridad.
•
Mensajes de notificación: le alertan de las detección de intrusiones de análisis y firewall, y de
archivos con reputaciones desconocidas, y le solicitarán datos.
•
Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo real
detecta una amenaza.
•
Cliente de Endpoint Security: muestra el estado actual de la protección y proporciona acceso a las
funciones.
Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar qué
componentes aparecen.
Véase también
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
en la página 12
Acerca de los mensajes de notificación en la página 14
Administrar detecciones de amenazas en la página 61
Acerca de Cliente de Endpoint Security en la página 15
Acceso a las tareas de Endpoint Security desde el icono de la
bandeja del sistema de McAfee
El icono de McAfee en la bandeja del sistema de Windows proporciona acceso a Cliente de Endpoint
Security y a algunas tareas básicas.
Las opciones de configuración determinan si el icono de McAfee está disponible.
Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee para:
12
McAfee Endpoint Security 10.2
Guía del producto
1
Introducción
Interacción con Endpoint Security
Comprobar el estado de Seleccione Ver estado de seguridad para acceder a la página Estado de seguridad de
seguridad.
McAfee.
Abrir Cliente de
Endpoint Security.
Seleccione McAfee Endpoint Security.
Actualizar la protección
y el software
manualmente.
Seleccione Actualizar seguridad.
Desactivar o activar el
Firewall.
Seleccione Desactivar firewall de Endpoint Security en el menú Configuración rápida.
Cuando el Firewall está desactivado, la opción es Activar Firewall de Endpoint
Security.
Activar, desactivar o ver Seleccione una opción del menú Configuración rápida:
grupos sincronizados de
• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante
Firewall.
un período determinado para permitir el acceso a Internet antes de que
se apliquen las reglas que restringen el acceso. Cuando los grupos
sincronizados están activados, la opción que se muestra es Desactivar grupos
sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el tiempo asignado a
los grupos.
Dependiendo de la configuración, es posible que se le pida que
proporcione al administrador un motivo para activar los grupos
sincronizados.
• Ver grupos sincronizados de firewall: muestra los nombres de los grupos
sincronizados y el tiempo restante de activación de cada grupo.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya
definido la configuración.
Modo en que el icono indica el estado de Endpoint Security
El aspecto del icono cambia para indicar el estado de Endpoint Security. Coloque el cursor del ratón
sobre el icono para ver un mensaje que describe el estado.
McAfee Endpoint Security 10.2
Guía del producto
13
1
Introducción
Interacción con Endpoint Security
Icono Indica...
Endpoint Security está protegiendo su sistema y no hay problemas.
Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnología
desactivados.
• Firewall está desactivado.
• Prevención de amenazas: Prevención de exploit, análisis en tiempo real o ScriptScan están
desactivados.
Endpoint Security informa de los problemas de forma distinta dependiendo del tipo de
administración.
• Autogestionado:
• Una o más tecnologías están desactivadas.
• Una o más tecnologías no responden.
• Gestionado:
• Una o más tecnologías se han desactivado, no como resultado de la implementación de
directivas desde el servidor de administración de Cliente de Endpoint Security.
• Una o más tecnologías no responden.
Cuando se detecta un problema, la página Estado de seguridad de McAfee indica qué tecnología o
módulo está desactivado.
Véase también
Qué se actualiza en la página 24
Acerca de los mensajes de notificación
Endpoint Security usa dos tipos de mensajes para notificarle los problemas de su protección o para
pedirle datos. Algunos mensajes podrían no aparecer, según se ajuste la configuración.
El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre los mensajes de
notificación.
Endpoint Security envía dos tipos de notificaciones:
•
Las alertas emergen del icono de McAfee durante cinco segundos y, después, desaparecen.
Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión de
Firewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ninguna
acción.
•
Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta que
seleccione una opción.
Por ejemplo:
•
Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría
pedirle que aplace el análisis.
•
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a la
detección.
•
Cuando Inteligencia de amenazas detecta un archivo con una reputación desconocida, Endpoint
Security puede preguntarle si desea permitir o bloquear el archivo.
Windows 8 y 10 usan notificaciones de alerta, es decir, mensajes que aparecen para notificarle alertas y
avisos. Haga clic en la notificación de alerta para verla en modo Escritorio.
14
McAfee Endpoint Security 10.2
Guía del producto
Introducción
Interacción con Endpoint Security
1
Véase también
Responder a un aviso de detección de amenaza en la página 20
Responder a aviso de análisis en la página 21
Respuesta a un aviso de reputación de archivos en la página 21
Acerca de Cliente de Endpoint Security
El Cliente de Endpoint Security le permite comprobar el estado de la protección y las funciones de
acceso de su ordenador.
•
Las opciones en el menú Acción
Configuración
proporcionan acceso a las funciones.
Ajustar la configuración de las funciones.
Esta opción de menú está disponible si se produce alguna de las siguientes
situaciones:
• El modo de interfaz de cliente está configurado como Acceso total.
• Ha iniciado sesión como administrador.
Cargar Extra.DAT
Le permite instalar un archivo descargado Extra.DAT.
Revertir AMCore
Content
Revierte AMCore content a una versión anterior.
Esta opción de menú está disponible si existe en el sistema una versión previa
de AMCore Content y si se produce alguna de las siguientes situaciones:
• El modo de interfaz de cliente está configurado como Acceso total.
• Ha iniciado sesión como administrador.
Ayuda
Muestra la Ayuda.
Asistencia técnica
Muestra una página con vínculos a páginas útiles, como el McAfee
ServicePortal y Centro de conocimiento.
Inicio de sesión de
administrador
Inicia sesión como administrador del sitio web. (Requiere credenciales de
administrador.)
Esta opción del menú está disponible si el Modo de interfaz de cliente no está
establecido en Acceso total. Si ya ha iniciado sesión como administrador, esta
opción es Cerrar sesión de administrador.
•
Acerca de
Muestra información sobre Endpoint Security.
Salir
Permite salir de Cliente de Endpoint Security.
Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareas
habituales.
Analiza en busca de malware con un Análisis completo o Análisis rápido del
sistema.
Este botón está disponible solo si el módulo Prevención de amenazas está
instalado.
Actualiza los archivos de contenidos y componentes de software en el
equipo.
Este botón podría no aparecer, según se ajuste la configuración.
McAfee Endpoint Security 10.2
Guía del producto
15
1
Introducción
Interacción con Endpoint Security
•
Los botones en la parte izquierda de la página ofrecen información acerca de la protección.
Estado
Le devuelve a la página de Estado principal.
Registro de eventos Muestra el registro de todos los eventos de protección y de amenaza en este
equipo.
Poner en cuarentena Abre Administrador de cuarentena.
Este botón está disponible solo si el módulo Prevención de amenazas está
instalado.
•
El Resumen de amenazas proporciona información sobre las amenazas que Endpoint Security ha
detectado en el equipo en los últimos 30 días.
Véase también
Cargue un archivo Extra.DAT en la página 30
Iniciar sesión como administrador en la página 27
Analizar el equipo en busca de malware en la página 57
Actualización manual de protección y software en la página 23
Ver el Registro de eventos en la página 24
Administrar elementos en cuarentena en la página 62
Administrar Endpoint Security en la página 27
Acerca del Resumen de amenazas en la página 16
Acerca del Resumen de amenazas
La página Cliente de Endpoint Security Estado le proporciona un resumen en tiempo real de cualquier
amenaza detectada en su sistema en los últimos 30 días.
A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la información
en el área Resumen de amenazas en el panel inferior.
El Resumen de amenazas incluye:
•
Fecha de la última amenaza eliminada
•
Los dos principales vectores de amenazas, por categoría:
•
Web
Amenazas procedentes de sitios web o descargas.
Dispositivo o soporte
externo
Amenazas procedentes de dispositivos externos, tales como USB, 1394
firewire, eSATA, cintas, CD, DVD o discos.
Red
Amenazas procedentes de la red (no de recursos compartido de red).
Sistema local
Amenazas procedentes de los archivos de arranque de la unidad local
(normalmente C:) o unidades distintas de las clasificadas como
Dispositivo o soporte externo.
Recurso compartido de
archivos
Amenazas procedentes de los recursos compartidos de red.
Correo electrónico
Amenazas procedentes de correos electrónicos.
Mensaje instantáneo
Amenazas procedentes de mensajería instantánea.
Desconocido
Amenazas para las cuales no se ha podido determinar el vector de ataque
(debido a una condición de error u otro caso de error).
Número de amenazas por vector de amenaza
Si Cliente de Endpoint Security no puede llegar al Administrador de eventosCliente de Endpoint
Security, muestra un mensaje de error. En ese caso, reinicie el sistema para ver Resumen de amenazas.
16
McAfee Endpoint Security 10.2
Guía del producto
1
Introducción
Interacción con Endpoint Security
Cómo afecta la configuración al acceso al cliente
La configuración del Modo de interfaz de cliente asignada a su equipo determina a qué módulos y
funciones puede acceder.
Cambie el Modo de interfaz de cliente en la configuración de Ajustes generales.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Las opciones de Modo de interfaz de cliente son:
Acceso total
Permite el acceso a todas las funciones, incluidas:
• Activar o desactivar módulos y funciones individuales.
• Acceder a la página Configuración para ver o modificar la configuración de Cliente de
Endpoint Security.
(Opción predeterminada)
Acceso
estándar
Muestra el estado de la protección y permite acceder a la mayoría de las funciones:
• Actualizar los archivos de contenido y componentes de software en el equipo (si el
administrador lo ha activado).
• Realizar una comprobación exhaustiva de todas las áreas de su sistema, recomendado
si sospecha que su equipo podría estar infectado.
• Ejecutar una comprobación rápida (2 minutos) de las áreas de su sistema que sean
más susceptibles de infectarse.
• Acceder al Registro de eventos.
• Administrar los elementos en cuarentena.
Desde la interfaz de Acceso estándar, puede iniciar sesión como administrador para acceder
a todas las funciones, incluidos todos los ajustes.
Bloquear
interfaz de
cliente
Requiere una contraseña para acceder al cliente.
Una vez desbloquee la interfaz de cliente, podrá acceder a todas las funciones.
Si no puede acceder a Cliente de Endpoint Security o a tareas y funciones específicas que necesita para
hacer su trabajo, hable con su administrador.
Véase también
Control de acceso a la interfaz de cliente en la página 33
Cómo afectan al cliente los módulos instalados
Algunos aspectos del cliente podrían no estar disponibles, dependiendo de los módulos instalados en
su equipo.
Estas funciones solo están disponibles si Prevención de amenazas está instalado:
•
Botón
•
Botón Poner en cuarentena
McAfee Endpoint Security 10.2
Guía del producto
17
1
Introducción
Interacción con Endpoint Security
Las funciones que aparecen dependen de las funciones instaladas en el sistema:
•
En la lista desplegable Filtrar por módulo del menú Registro de eventos.
•
En la página Configuración.
Ajustes generales
Aparece si hay algún módulo instalado.
Prevención de amenazas Aparece solo si Prevención de amenazas está instalado.
Firewall
Aparece solo si Firewall está instalado.
Control web
Aparece solo si Control web está instalado.
Inteligencia de amenazas Aparece solo si Inteligencia de amenazas y Prevención de amenazas están
instalados.
Inteligencia de amenazas no es compatible con sistemas gestionados por
McAfee ePO Cloud.
Según el Modo de interfaz de cliente y de como el administrador haya configurado el acceso, todas o
algunas de estas funciones podrían no estar disponibles.
Véase también
Cómo afecta la configuración al acceso al cliente en la página 17
18
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisis
del sistema y administración de elemento en cuarentena.
Contenido
Abra Cliente de Endpoint Security
Obtener ayuda
Responder a avisos
Introduzca información sobre su protección
Actualización manual de protección y software
Ver el Registro de eventos
Administrar Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Abra Cliente de Endpoint Security
Abra Cliente de Endpoint Security para mostrar el estado de las funciones de protección instaladas en
el equipo.
Si el modo interfaz está configurado en Bloquear interfaz de cliente, debe introducir la contraseña de
administrador para abrir el Cliente de Endpoint Security.
Procedimiento
1
2
Use uno de estos métodos para mostrar Cliente de Endpoint Security:
•
Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuación
seleccione McAfee Endpoint Security.
•
Seleccione Inicio | Todos los programas | McAfee | McAfee Endpoint Security.
•
En Windows 8 y 10, inicie la aplicación McAfee Endpoint Security.
1
Pulse la tecla Windows.
2
Introduzca McAfee Endpoint Security en el área de búsqueda y pulse o haga doble clic en
la aplicaciónMcAfee Endpoint Security.
Si se le pide, introduzca la contraseña de administrador en la página Inicio de sesión de administrador, y
luego haga clic en Iniciar sesión.
Cliente de Endpoint Security se abre en el modo interfaz que el administrador haya configurado.
Véase también
Desbloqueo de la interfaz de cliente en la página 28
McAfee Endpoint Security 10.2
Guía del producto
19
2
Mediante Cliente de Endpoint Security
Obtener ayuda
Obtener ayuda
Los dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú y el icono ?.
Para utilizar la ayuda de Endpoint Security en Internet Explorer, Secuencias de comandos ActiveX debe
estar activado en el navegador.
Procedimiento
1
Abra Cliente de Endpoint Security.
2
Dependiendo de la página en la que esté:
•
Páginas Estado, Registro de eventos, y Cuarentena: desde el menú Acción
•
Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore Content y Cargar Extra.DAT: haga clic en ?
en la interfaz.
, seleccione Ayuda.
Responder a avisos
Dependiendo de su configuración, Endpoint Security podría pedirle que introduzca información cuando
un análisis bajo demanda planificado esté a punto de empezar.
Procedimientos
•
Responder a un aviso de detección de amenaza en la página 20
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice
una entrada antes de continuar, dependiendo de cómo se haya realizado la configuración.
•
Responder a aviso de análisis en la página 21
Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security
podría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura
para permitirle aplazar, pausar, resumir o cancelar el análisis.
•
Respuesta a un aviso de reputación de archivos en la página 21
Cuando un archivo con un nivel de reputación determinado intenta ejecutarse en el
sistema, Endpoint Security puede pedirle confirmación para continuar. La confirmación solo
aparece si la Inteligencia de amenazas está configurada para que se confirme.
Responder a un aviso de detección de amenaza
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entrada
antes de continuar, dependiendo de cómo se haya realizado la configuración.
Windows 8 y 10 usan notificaciones de alerta, es decir, mensajes que aparecen para notificarle alertas y
avisos. Haga clic en la notificación de alerta para verla en modo Escritorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
•
En la página Análisis en tiempo real, seleccione opciones para administrar las detecciones de amenazas.
Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
Véase también
Administrar detecciones de amenazas en la página 61
20
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Responder a avisos
2
Responder a aviso de análisis
Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría
pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirle
aplazar, pausar, resumir o cancelar el análisis.
Si no selecciona una opción, el análisis empezará automáticamente.
Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipo
está inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si se
configura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando está
inactivo.
Windows 8 y 10 usan notificaciones de alerta, es decir, mensajes que aparecen para notificarle alertas y
avisos. Haga clic en la notificación de alerta para verla en modo Escritorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
•
Cuando se le pida, seleccione una de estas opciones.
Las opciones que aparecen dependen de cómo está configurado el analizador.
Analizar ahora
Iniciar el análisis inmediatamente.
Ver análisis
Ver detecciones correspondientes a un análisis en curso.
Pausar análisis
Pausa el análisis. Dependiendo de la configuración, si hace clic en Pausar análisis
podría reconfigurar el análisis para ejecutarse solo cuando esté inactivo. Haga clic
en Reanudar análisis para reanudar el análisis desde el punto en el que se detuvo.
Reanudar análisis Reanudar un análisis pausado.
Cancelar análisis Cancela el análisis.
Aplazar análisis
Aplaza el análisis durante el número de horas especificado.
Las opciones de análisis planificado determinan cuántas veces puede aplazar el
análisis durante una hora. Es posible que no pueda aplazar el análisis más de una
vez.
Cierra la página de análisis.
Cerrar
Si el analizador detecta una amenaza, Endpoint Security puede pedirle que introduzca información
antes de continuar, dependiendo de cómo se haya realizado la configuración.
Respuesta a un aviso de reputación de archivos
Cuando un archivo con un nivel de reputación determinado intenta ejecutarse en el sistema, Endpoint
Security puede pedirle confirmación para continuar. La confirmación solo aparece si la Inteligencia de
amenazas está configurada para que se confirme.
Inteligencia de amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.
El administrador configura el umbral de reputación, momento en el que se muestra una confirmación.
Por ejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación para
todos los archivos con una reputación desconocida e inferior.
McAfee Endpoint Security 10.2
Guía del producto
21
2
Mediante Cliente de Endpoint Security
Introduzca información sobre su protección
Si no selecciona una opción, la Inteligencia de amenazas toma la acción predeterminada configurada
por el administrador.
La confirmación, el tiempo de espera y la acción predeterminada dependen de cómo se configure la
Inteligencia de amenazas.
Windows 8 y 10 usan notificaciones de alerta, es decir, mensajes que aparecen para notificarle alertas y
avisos. Haga clic en la notificación de alerta para verla en modo Escritorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
(Opcional) Cuando se le solicite, introduzca un mensaje para enviar al administrador.
Por ejemplo, utilice el mensaje para describir el archivo o para explicar su decisión de permitir o
bloquear el archivo en el sistema.
2
Haga clic en Permitir o Bloquear.
Permitir
Permitir el archivo.
Bloquear
Bloquear el archivo en el sistema.
Para indicar a la Inteligencia de amenazas que no vuelva a pedir confirmación para el archivo,
seleccione Recordar esta decisión.
La Inteligencia de amenazas actúa según su elección o la acción predeterminada y cierra la ventana de
confirmación.
Introduzca información sobre su protección
Puede encontrar más información sobre su protección Endpoint Security, incluidos el tipo de gestión,
módulos de protección, funciones, estado, número de versión y licencias.
Procedimiento
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acerca
de dicho elemento.
4
Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de.
, seleccione Acerca de.
Véase también
Tipos de administración en la página 22
Abra Cliente de Endpoint Security en la página 19
Tipos de administración
El tipo de administración indica cómo se administra Endpoint Security.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
22
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Actualización manual de protección y software
Tipo de administración
Descripción
McAfee ePolicy Orchestrator
Un administrador gestiona Endpoint Security mediante McAfee ePO
(local).
McAfee ePolicy Orchestrator
Cloud
Un administrador gestiona Endpoint Security mediante McAfee ePO
Cloud.
2
Para obtener la información más reciente sobre la licencia de gestión y
la autorización de Endpoint Security, consulte el artículo KB87057.
Autogestionado
Endpoint Security se gestiona localmente mediante el Cliente de
Endpoint Security. Este modo también se llama no gestionado o
independiente.
Actualización manual de protección y software
En función de cómo se hayan configurado los parámetros, puede buscar y descargar actualizaciones
de archivos de contenido y componentes de software de forma manual desde Cliente de Endpoint
Security.
Las actualizaciones manuales se denominan actualizaciones bajo demanda.
También puede ejecutar actualizaciones manuales desde el icono de la bandeja del sistema de McAfee.
Endpoint Security no es compatible con la recuperación y copia de forma manual de los archivos de
contenido actualizados en el sistema cliente. Si necesita ayuda para actualizar una versión de contenido
específica, póngase en contacto con el Soporte de McAfee .
Procedimiento
1
Abra Cliente de Endpoint Security.
2
Haga clic en
.
Si no aparece en el cliente, puede activarlo en la configuración.
Cliente de Endpoint Security comprueba si hay actualizaciones.
•
Haga clic en Cancelar para cancelar la actualización.
•
Si el sistema está actualizado, la página muestra No hay actualizaciones disponibles, así como la fecha
y hora de la actualización más reciente.
•
Si la actualización finaliza correctamente, la página muestra la fecha y la hora actuales como la
última actualización.
Los mensajes o errores aparecen en el área de Mensajes.
Consulte los registros PackageManager_Activity.log o PackageManager_Debug.log para obtener
más información.
3
Haga clic en Cerrar para cerrar la página Actualizar.
Véase también
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
en la página 12
Cómo se mantiene actualizada su protección en la página 11
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 25
Qué se actualiza en la página 24
Configure el comportamiento predeterminado de las actualizaciones en la página 37
Abra Cliente de Endpoint Security en la página 19
McAfee Endpoint Security 10.2
Guía del producto
23
2
Mediante Cliente de Endpoint Security
Ver el Registro de eventos
Qué se actualiza
Endpoint Security actualiza contenido de seguridad, software (hotfixes y parches) y la configuración de
directiva de forma diferente, según el tipo de administración.
Es posible configurar la visibilidad y el comportamiento del botón
.
Tipo de
administración
Método de actualización
McAfee ePO
Opción Actualizar seguridad en el menú del icono Solo contenido y software (no
configuraciones de directivas).
de la bandeja del sistema de McAfee
Botón
Endpoint Security
McAfee ePO Cloud
en Cliente de
Contenido, software y
configuraciones de directivas (si
se han especificado).
Opción Actualizar seguridad en el menú del icono Contenido, software y
configuraciones de directivas.
de la bandeja del sistema de McAfee
Botón
Endpoint Security
Autogestionado
Actualizaciones
en Cliente de
Contenido, software y
configuraciones de directivas (si
se han especificado).
Opción Actualizar seguridad en el menú del icono Solo contenido y software.
de la bandeja del sistema de McAfee
Botón
Endpoint Security
en Cliente de
Contenido, software y
configuraciones de directivas (si
se han especificado).
Véase también
Actualización manual de protección y software en la página 23
Ver el Registro de eventos
Los registros de actividades y depuración almacenan datos de eventos que se producen en el sistema
protegido por McAfee. Puede ver el Registro de eventos desde Cliente de Endpoint Security.
Procedimiento
Para obtener ayuda, en el menú Acción
, seleccione Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Registro de eventos en el lado izquierdo de la página.
Esta página muestra todos los eventos que Endpoint Security ha registrado en el sistema en los
últimos treinta días.
Si Cliente de Endpoint Security no puede acceder a Administrador de eventos, muestra un mensaje
de error de comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos.
3
Seleccione un evento en el panel superior para ver los detalles en el panel inferior.
Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y
arrástrelo entre los paneles.
24
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Ver el Registro de eventos
4
2
En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos.
Las opciones que aparecen dependen de cómo está configurado el analizador.
Para...
Pasos
Ordenar los eventos por
fecha, funciones, acción
realizada y gravedad.
Haga clic en el encabezado de columna.
Buscar en el registro de
eventos.
Introduzca el texto de búsqueda en el campo Buscar y pulse Intro
o haga clic en Buscar.
En la búsqueda no se distingue entre mayúsculas y minúsculas, y
el texto buscado se comprueba en todos los campos del registro
de eventos. La lista de eventos incluye todos los elementos con
texto coincidente.
Para cancelar la búsqueda y mostrar todos los eventos, haga clic
en x en el campo Buscar.
5
Filtrar los eventos por
gravedad o módulo.
En la lista desplegable de filtros, seleccione una opción.
Actualizar el Registro de eventos
con los eventos nuevos.
Haga clic en
Abrir la carpeta que contiene
los archivos de registro.
Haga clic en Ver directorio de registros.
Para eliminar el filtro y mostrar todos los eventos, seleccione
Mostrar todos los eventos de la lista desplegable.
.
Navegar en el Registro de eventos.
Para...
Pasos
Mostrar la página de eventos anterior.
Haga clic en Página anterior.
Mostrar la página de eventos siguiente.
Haga clic en Página siguiente.
Mostrar una página concreta del registro. Introduzca un número de página y pulse Intro o haga
clic en Ir.
De forma predeterminada, el Registro de eventos muestra 20 eventos por página. Para mostrar
más eventos por página, seleccione una opción de la lista desplegable Eventos por página.
Véase también
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 25
Abra Cliente de Endpoint Security en la página 19
Nombres y ubicaciones de los archivos de registro de Endpoint
Security
Los archivos de registro de actividades, errores y depuración almacenan los eventos que se producen
en los sistemas con Endpoint Security activada. Configure el registro en los Ajustes generales.
Los archivos de registro de actividades siempre aparecen en el idioma especificado en la configuración
regional predeterminada del sistema.
Todos los archivos de registro de actividades y depuración se almacenan en una de las ubicaciones
predeterminadas siguientes, según el sistema operativo.
Sistema operativo
Ubicación predeterminada
Microsoft Windows 10
%ProgramData%\McAfee\Endpoint Security\Logs
Microsoft Windows 8 y 8.1
McAfee Endpoint Security 10.2
Guía del producto
25
2
Mediante Cliente de Endpoint Security
Ver el Registro de eventos
Sistema operativo
Ubicación predeterminada
Microsoft Windows 7
Microsoft Vista
C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint
Security\Logs
Cada módulo, función o tecnología almacena el registro de actividades o de depuración en un archivo
aparte. Los módulos almacenan los registros de errores en un solo archivo
EndpointSecurityPlatform_Errors.log.
La activación del registro de depuración para cualquier módulo también lo activa para las funciones del
módulo Ajustes generales, como por ejemplo Autoprotección.
Tabla 2-1 Archivos de registro
Módulo
Función o tecnología
Ajustes generales
Nombre del archivo
EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoprotección
AccessProtection_Activity.log
AccessProtection_Debug.log
Actualizaciones
PackageManager_Activity.log
PackageManager_Debug.log
Errores
Prevención de
amenazas
EndpointSecurityPlatform_Errors.log
La activación del registro de ThreatPrevention_Activity.log
depuración para cualquier
ThreatPrevention_Debug.log
tecnología de la Prevención
de amenazas también lo
activa para Cliente de
Endpoint Security.
Protección de acceso
AccessProtection_Activity.log
AccessProtection_Debug.log
Prevención de exploit
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Análisis en tiempo real
OnAccessScan_Activity.log
OnAccessScan_Debug.log
Análisis bajo demanda
OnDemandScan_Activity.log
• Análisis rápido
OnDemandScan_Debug.log
• Análisis completo
• Análisis con el botón
derecho del ratón
Cliente de Endpoint Security MFEConsole_Debug.log
Firewall
Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.log
Registros bloqueados y eventos de tráfico
permitidos, si se ha configurado.
Control web
WebControl_Activity.log
WebControl_Debug.log
26
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Tabla 2-1 Archivos de registro (continuación)
Módulo
Función o tecnología
Inteligencia de
amenazas
Nombre del archivo
ThreatIntelligence_Activity.log
ThreatIntelligence_Debug.log
Contención de aplicación
dinámica
DynamicApplicationContainment_Activity.log
DynamicApplicationContainment_Debug.log
De forma predeterminada, los archivos de registro de instalación se almacenan en estas ubicaciones:
Autogestionado
%TEMP%\McAfeeLogs (carpeta TEMP de usuario de Windows)
Gestionado
TEMP\McAfeeLogs (carpeta TEMP del sistema de Windows)
Administrar Endpoint Security
Como administrador, puede gestionar Endpoint Security desde Cliente de Endpoint Security, mediante
tareas como activar y desactivar funciones, administrar archivos de contenido, especificar cómo se
comporta la interfaz de cliente y ajustar la configuración común.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Véase también
Iniciar sesión como administrador en la página 27
Desbloqueo de la interfaz de cliente en la página 28
Activación y desactivación de funciones en la página 28
Cambiar versión de AMCore content en la página 29
Utilice archivos Extra.DAT en la página 29
Configurar parámetros comunes en la página 30
Iniciar sesión como administrador
Inicie sesión en Cliente de Endpoint Security como administrador para activar y desactivar funciones, y
configurar opciones.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se debe establecer en Acceso estándar.
Procedimiento
Para obtener ayuda, en el menú Acción
, seleccione Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
En el campo Contraseña, introduzca la contraseña de administrador y haga clic en Iniciar sesión.
, seleccione Inicio de sesión de administrador.
Ahora podrá acceder a todas las funciones del Cliente de Endpoint Security.
Para cerrar sesión, seleccione Acción | Cerrar sesión de administrador. El cliente regresa al modo de interfaz
Acceso estándar.
McAfee Endpoint Security 10.2
Guía del producto
27
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Desbloqueo de la interfaz de cliente
Si la interfaz de Cliente de Endpoint Security está bloqueada, puede desbloquearla mediante la
contraseña de administrador a fin de acceder a toda la configuración.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se debe establecer en Bloquear interfaz
de cliente.
Procedimiento
1
Abra Cliente de Endpoint Security.
2
En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campo
Contraseña y, a continuación, haga clic en Iniciar sesión.
Cliente de Endpoint Security se abre y se puede acceder a todas las funciones del cliente.
3
Para cerrar sesión y cliente, en el menú Acción
, seleccione Cerrar sesión de administrador.
Activación y desactivación de funciones
Como administrador, puede activar y desactivar las funciones de Endpoint Security desde Cliente de
Endpoint Security.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
La página Estado muestra el estado activado del módulo, que puede no reflejar el estado real de las
funciones. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si el parámetro
Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: Desactivado).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en el nombre del módulo (por ejemplo, Prevención de amenazas o Firewall) en la página de
Estado principal.
En el menú Acción,
Configuración.
3
seleccione Configuración y haga clic en el nombre del módulo en la página
Seleccione o anule la selección de la opción Activar módulo o Función.
Activar cualquiera de las funciones Prevención de amenazas activa también el módulo Prevención de
amenazas.
Véase también
Iniciar sesión como administrador en la página 27
28
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
2
Cambiar versión de AMCore content
Utilice Cliente de Endpoint Security para cambiar la versión de AMCore content en el sistema.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores
en la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar
una versión anterior.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Seleccione la versión para cargar del elemento desplegable.
4
Haga clic en Aplicar.
, seleccione Revertir AMCore content.
Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente.
Véase también
Cómo funcionan los archivos de contenido en la página 11
Iniciar sesión como administrador en la página 27
Utilice archivos Extra.DAT
Puede instalar un archivo Extra.DAT para proteger los su equipo contra un brote de malware
importante hasta que se publique la próxima actualización de AMCore content.
Procedimientos
•
Descargar archivos Extra.DAT en la página 30
Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por
McAfee Labs.
•
Cargue un archivo Extra.DAT en la página 30
Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.
Véase también
Acerca de archivos Extra.DAT en la página 29
Acerca de archivos Extra.DAT
Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfee
Labs facilita un archivo Extra.DAT. Los archivos Extra.DAT contienen información que Prevención de
amenazas utiliza para manejar el nuevo malware.
Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud de
Extra.DAT de McAfee Labs.
Prevención de amenazas solo admite el uso de un archivo Extra.DAT.
McAfee Endpoint Security 10.2
Guía del producto
29
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivo
Extra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instalado
en el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha de
caducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. El
Extra.DAT se elimina del sistema en la siguiente actualización.
Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT.
Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Program Files\Common Files\McAfee
\Engine\content\avengine\extradat.
Descargar archivos Extra.DAT
Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfee
Labs.
Procedimiento
1
Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT
y haga clic en Guardar.
2
Si es preciso, descomprima el archivo EXTRA.ZIP.
3
Cargue el archivo Extra.DAT con Cliente de Endpoint Security.
Cargue un archivo Extra.DAT
Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú
3
Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, a
continuación, haga clic en Abrir.
4
Haga clic en Aplicar.
Acción, seleccione Cargar Extra.dat.
Las nuevas detecciones en el Extra.DAT se aplican inmediatamente.
Véase también
Iniciar sesión como administrador en la página 27
Configurar parámetros comunes
Configure parámetros aplicables a todos los módulos y las funciones de Endpoint Security en el
módulo Ajustes generales. Estos parámetros incluyen seguridad de interfaz y configuración de idioma
30
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
para Cliente de Endpoint Security, inicio de sesión, servidor proxy para McAfee GTI y configuración de
la actualización.
Procedimientos
•
Proteger recursos de Endpoint Security en la página 31
Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el
software de seguridad del sistema. Defina la configuración de autoprotección de Endpoint
Security en la configuración de Ajustes generales para evitar que se detengan o modifiquen
los servicios y archivos de Endpoint Security.
•
Configurar parámetros de registro en la página 32
Configure el registro Endpoint Security en los parámetros del Ajustes generales.
•
Permitir autenticación mediante certificados en la página 32
Los certificados permiten que un proveedor ejecute código en los procesos de McAfee.
•
Control de acceso a la interfaz de cliente en la página 33
Controle el acceso a Cliente de Endpoint Security mediante una contraseña en la
configuración del módulo Ajustes generales.
•
Configuración del servidor proxy para McAfee GTI en la página 34
Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en
la configuración deAjustes generales.
Proteger recursos de Endpoint Security
Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el software
de seguridad del sistema. Defina la configuración de autoprotección de Endpoint Security en la
configuración de Ajustes generales para evitar que se detengan o modifiquen los servicios y archivos
de Endpoint Security.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Al desactivar la autoprotección de Endpoint Security, el sistema se vuelve vulnerable ante ataques.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
Desde Autoprotección, verifique que Autoprotección está activado.
5
Especifique la acción para cada uno de los siguientes recursos de Endpoint Security:
6
, seleccione Configuración.
•
Archivos y carpetas: impide que los usuarios modifiquen bases de datos, archivos binarios, archivos
de búsqueda segura y archivos de configuración de McAfee.
•
Registro: impide que los usuarios modifiquen el subárbol del registro de McAfee y los
componentes COM, además de evitar que los desinstalen mediante el valor de registro.
•
Procesos: impide que se detengan los procesos de McAfee.
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
McAfee Endpoint Security 10.2
Guía del producto
31
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Véase también
Iniciar sesión como administrador en la página 27
Configurar parámetros de registro
Configure el registro Endpoint Security en los parámetros del Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
Configure los parámetros de Registro de cliente en la página.
5
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
, seleccione Configuración.
Véase también
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 25
Iniciar sesión como administrador en la página 27
Permitir autenticación mediante certificados
Los certificados permiten que un proveedor ejecute código en los procesos de McAfee.
Cuando se detecta un proceso, se completa la tabla de certificados con el Proveedor, Asunto y Hash de
la clave pública asociada.
Esta configuración puede dar lugar a problemas de compatibilidad y a un nivel de seguridad reducido.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
En la sección Certificados, seleccione Permitir.
5
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
, seleccione Configuración.
La información de certificado se muestra en la tabla.
32
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Control de acceso a la interfaz de cliente
Controle el acceso a Cliente de Endpoint Security mediante una contraseña en la configuración del
módulo Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Modo de interfaz de cliente está establecido como Acceso total de forma predeterminada, lo que permite a los
usuarios cambiar la configuración de seguridad, ya que los sistemas se pueden quedar sin protección
contra ataques de malware.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Defina la configuración de Modo de interfaz de cliente en la página.
, seleccione Configuración.
Práctica recomendada: Cambie el Modo de interfaz de cliente a Estándar o Bloquear interfaz de cliente para
mejorar la seguridad. Ambas opciones requieren una contraseña para acceder a la configuración de
Cliente de Endpoint Security.
4
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Efectos de definir una contraseña de administrador en la página 33
Iniciar sesión como administrador en la página 27
Efectos de definir una contraseña de administrador
Cuando se establece el modo de interfaz en Acceso estándar, también se debe definir una contraseña
de administrador.
Definir una contraseña de administrador en Cliente de Endpoint Security afecta a los usuarios
siguientes:
McAfee Endpoint Security 10.2
Guía del producto
33
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
No administradores
Los no administradores pueden:
(usuarios sin derechos de
administrador)
• Ver algunos parámetros de configuración.
• Ejecutar análisis.
• Buscar actualizaciones (si está activado).
• Ver la Cuarentena.
• Ver el Registro de eventos.
• Acceda a la página Configuración para ver o modificar reglas de
Firewall (si está activado).
Los no administradores no pueden:
• Cambiar parámetros de configuración.
• Vea, cree, elimine o modifique la configuración.
Una excepción es la posibilidad de ver o modificar reglas de Firewall
(si se ha activado).
Administradores
(usuarios con derechos de
administración)
Los administradores deben escribir la contraseña para acceder a las
áreas protegidas y modificar parámetros.
Configuración del servidor proxy para McAfee GTI
Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en la
configuración deAjustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
Configure los parámetros de Servidor proxy para McAfee GTI en la página.
5
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
, seleccione Configuración.
Véase también
Cómo funciona McAfee GTI en la página 34
Iniciar sesión como administrador en la página 27
Cómo funciona McAfee GTI
Si activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurística
para comprobar si existen archivos sospechosos. En el servidor de McAfee GTI, se almacenan las
calificaciones de sitio web y los informes de Control web. Si configura Control web para analizar los
34
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
2
archivos descargados, el analizador utiliza la reputación de archivos proporcionada por McAfee GTI
para comprobar la existencia de archivos sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central
alojado en McAfee Labs para determinar si son malware. Al enviar hashes, es posible que la detección
esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs
publique la actualización.
Puede configurar el nivel de sensibilidad que McAfee GTI utiliza cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitir más detecciones, también pueden obtenerse más
resultados falsos positivos.
•
Para Prevención de amenazas, el nivel de sensibilidad predeterminado de McAfee GTI es Medio.
Defina el nivel de sensibilidad de cada analizador en la configuración de Prevención de amenazas.
•
Para Control web, el nivel de sensibilidad predeterminado de McAfee GTI es Muy alto. Defina el
nivel de sensibilidad para analizar descargas de archivos en la configuración de Opciones de Control
web.
Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Configurar el comportamiento de las actualizaciones
Especifique el comportamiento de las actualizaciones iniciadas desde Cliente de Endpoint Security en
la configuración de Ajustes generales.
Procedimientos
•
Configurar sitios de origen para actualizaciones en la página 35
Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de
seguridad actualizados en la configuración del módulo Ajustes generales.
•
Configure el comportamiento predeterminado de las actualizaciones en la página 37
Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de Endpoint
Security en el módulo Ajustes generales.
•
Configure, planifique y actualice tareas de análisis en la página 39
Puede configurar tareas de actualización personalizadas o cambiar la planificación de la
tarea Actualización de cliente predeterminada desde Cliente de Endpoint Security en la
configuración del módulo Ajustes generales.
•
Configure, planifique y ejecute tareas de duplicación en la página 40
Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la
configuración del Ajustes generales .
Configurar sitios de origen para actualizaciones
Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de seguridad
actualizados en la configuración del módulo Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
McAfee Endpoint Security 10.2
Guía del producto
35
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
En Ajustes generales, haga clic en Opciones.
5
Ajuste la configuración de Sitios de origen para las actualizaciones en la página.
, seleccione Configuración.
Puede activar y desactivar el sitio de origen de copia de seguridad predeterminado, McAfeeHttp, y el
servidor de gestión (para sistemas gestionados), pero no podrá modificarlos ni eliminarlos.
El orden de los sitios determina el orden que Endpoint Security utiliza para buscar el sitio de
actualización.
Para...
Siga estos pasos
Agregar un sitio a la lista.
1 Haga clic en Agregar.
2 Especifique la configuración del sitio y haga clic en Aceptar.
El sitio aparece al principio de la lista.
Modificar un sitio
existente.
1 Haga clic en el nombre del sitio.
Eliminar un sitio.
Seleccione el sitio y haga clic en Eliminar.
Importar sitios desde un
archivo de lista de sitios
de origen.
1 Haga clic en Importar.
2 Modifique las opciones y haga clic en Aceptar.
2 Seleccione el archivo para importar y haga clic en Aceptar.
El archivo de lista de sitios reemplaza la lista de sitios de origen
actual.
Exportar la lista de sitios
de origen al archivo
SiteList.xml.
Cambiar el orden de los
sitios en la lista.
1 Haga clic en Exportar todo.
2 Seleccione la ubicación en la que guardar el archivo de lista de
sitios de origen y haga clic en Aceptar.
Para mover elementos:
1 Seleccione los elementos que mover.
El control de ajuste
puedan moverse.
aparece a la izquierda de los elementos que
2 Arrastre y coloque los elementos en su nueva ubicación.
Aparecerá una línea azul entre elementos en los puntos en los que
se pueden colocar los elementos arrastrados.
6
36
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
2
Véase también
Qué contiene la lista de repositorios en la página 37
Cómo funciona la tarea Actualización cliente predeterminada en la página 38
Iniciar sesión como administrador en la página 27
Configure, planifique y actualice tareas de análisis en la página 39
Qué contiene la lista de repositorios
La lista de repositorios especifica información acerca de los repositorios que McAfee Agent utiliza para
actualizar productos de McAfee, incluidos archivos DAT y de motor.
La lista de repositorios incluye:
•
Información y ubicación de repositorios
•
Orden de preferencia de repositorios
•
Configuración del servidor proxy, si se requiere
•
Credenciales cifradas necesarias para el acceso a cada repositorio
La tarea cliente de actualización de producto de McAfee Agent se conecta al primer repositorio
activado (sitio de actualización) en la lista de repositorios. Si este repositorio no está disponible, la
tarea establece contacto con el siguiente sitio de la lista, hasta que consigue conectarse o llega al final
de la lista.
Si la red utiliza un servidor proxy, puede especificar qué configuración de proxy utilizar, la dirección del
servidor proxy y si se utilizará autenticación. La información de proxy se almacena en la lista de
repositorios. La configuración de proxy especificada se aplicará a todos los repositorios de la lista.
La ubicación de la lista de repositorios depende del sistema operativo:
Sistema operativo Ubicación de lista de repositorios
Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Versiones anteriores C:\Documents and Settings\All Users\Datos de programa\McAfee\Common
Framework\SiteList.xml
Configure el comportamiento predeterminado de las actualizaciones
Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de Endpoint Security en el
módulo Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Utilice esta configuración para:
•
Mostrar u ocultar el botón
•
en el cliente.
Especificar qué actualizar cuando el usuario hace clic en el botón o ejecuta la tarea Actualización de
cliente predeterminada.
De forma predeterminada, la tarea Actualización de cliente predeterminada se ejecuta cada día a la
1:00 de la madrugada y se repite cada cuatro horas hasta las 23:59 h.
En sistemas autogestionados, la tarea Actualización de cliente predeterminado actualiza todo el
contenido y el software. En sistemas gestionados, esta tarea solo actualiza el contenido.
McAfee Endpoint Security 10.2
Guía del producto
37
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
Defina la configuración de Actualización de cliente predeterminado en la página.
5
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
, seleccione Configuración.
Véase también
Iniciar sesión como administrador en la página 27
Configurar sitios de origen para actualizaciones en la página 35
Configure, planifique y actualice tareas de análisis en la página 39
Cómo funciona la tarea Actualización cliente predeterminada
La tarea Actualización cliente predeterminada descarga la protección más reciente a Cliente de
Endpoint Security.
Endpoint Security incluye la tarea Actualización de cliente predeterminada que se ejecuta cada día a la
1:00. y se repite cada cuatro horas hasta las 23:59 h.
La tarea Actualización de cliente predeterminada:
1
Conecta al primer sitio de origen activado en la lista.
Si el sitio no está disponible, la tarea contacta el siguiente sitio hasta que logra establecer una
conexión o alcanza el final de la lista.
2
Se descarga un archivo CATALOG.Z codificado desde el sitio.
El archivo contiene información necesaria para llevar a cabo la actualización, incluyendo archivos
disponibles y actualizaciones.
3
Compara las versiones de software contenidas en el archivo con las versiones existentes en el
equipo y descarga cualquier actualización de software disponible.
Si la tarea Actualización de cliente predeterminada se interrumpe durante la actualización:
Actualización desde
Si se interrumpe
HTTP, UNC o un sitio local
Se reanuda desde donde se interrumpió la actualización la
próxima vez que se inicie la tarea de actualización.
Sitio FTP (descarga de un solo archivo) No se reanuda si se interrumpe.
Sitio FTP (descarga de varios archivos) Se reanuda antes del archivo que se estaba descargando en
el momento de la interrupción.
Véase también
Configurar sitios de origen para actualizaciones en la página 35
Configure, planifique y actualice tareas de análisis en la página 39
Qué contiene la lista de repositorios en la página 37
38
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
2
Configure, planifique y actualice tareas de análisis
Puede configurar tareas de actualización personalizadas o cambiar la planificación de la tarea
Actualización de cliente predeterminada desde Cliente de Endpoint Security en la configuración del módulo
Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Utilice esta configuración para definir desde el cliente cuándo se debe ejecutar la tarea Actualización de
cliente predeterminada. También puede configurar el comportamiento predeterminado de actualizaciones de
cliente iniciadas desde Cliente de Endpoint Security.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
En Ajustes generales, haga clic en Tareas.
5
Configure los ajustes de la tarea de actualización en la página.
, seleccione Configuración.
Para...
Siga estos pasos
Crear una tarea de
actualización
personalizada.
1 Haga clic en Agregar.
2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea,
seleccione Actualizar.
3 Configure los ajustes y haga clic en Aceptar para guardar la tarea.
Cambiar una tarea de
actualización.
• Haga doble clic en la tarea, efectúe los cambios y haga clic en
Aceptar para guardarla.
Eliminar una tarea de
actualización
personalizada.
• Seleccione la tarea y haga clic en Eliminar.
Crear una copia de una
tarea de actualización.
1 Seleccione la tarea y haga clic en Duplicar.
McAfee Endpoint Security 10.2
2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar
para guardar la tarea.
Guía del producto
39
2
Mediante Cliente de Endpoint Security
Administrar Endpoint Security
Para...
Siga estos pasos
Cambiar la planificación de 1 Haga doble clic en Actualización de cliente predeterminada.
una tarea de Actualización de
2 Haga clic en la ficha Planificación, modifique la planificación y haga
cliente predeterminada.
clic en Aceptar para guardar la tarea.
También puede configurar el comportamiento predeterminado de
actualizaciones de cliente iniciadas desde Cliente de Endpoint
Security.
Ejecutar una tarea de
actualización.
• Seleccione la tarea y haga clic en Ejecutar ahora.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el
botón cambia a Ver.
Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint
Security le pide confirmación para guardar la configuración.
6
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Cómo funciona la tarea Actualización cliente predeterminada en la página 38
Configurar sitios de origen para actualizaciones en la página 35
Configure el comportamiento predeterminado de las actualizaciones en la página 37
Configure, planifique y ejecute tareas de duplicación
Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la
configuración del Ajustes generales .
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
En Ajustes generales, haga clic en Tareas.
5
Configure los ajustes de la tarea de duplicación en la página.
, seleccione Configuración.
Para...
Siga estos pasos
Crear una tarea de
duplicación.
1 Haga clic en Agregar.
2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea,
seleccione Duplicar.
3 Configure los ajustes y haga clic en Aceptar.
Cambiar una tarea de
duplicación.
40
McAfee Endpoint Security 10.2
• Haga doble clic en la tarea de duplicación, efectúe los cambios y haga
clic en Aceptar.
Guía del producto
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Para...
Siga estos pasos
Eliminar una tarea de
duplicación.
• Seleccione la tarea y haga clic en Eliminar.
Crear una copia de una
tarea de duplicación.
1 Seleccione la tarea y haga clic en Duplicar.
Planificar una tarea de
duplicación.
Ejecutar una tarea de
duplicación.
2
2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar.
1 Haga doble clic en la tarea.
2 Haga clic en la ficha Planificación, modifique la planificación y haga clic
en Aceptar para guardar la tarea.
• Seleccione la tarea y haga clic en Ejecutar ahora.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el
botón cambia a Ver.
Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint
Security le pide confirmación para guardar la configuración.
6
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Cómo funcionan las tareas de duplicación
Las tareas de duplicación replican los archivos de actualización del primer repositorio accesible,
definido en la lista de repositorios, hasta un sitio de duplicación ubicado en su red.
El uso más habitual de estas tareas es el de duplicar el contenido del sitio de descarga de McAfee en
un servidor local.
Una vez replicado el sitio de McAfee que contiene los archivos de actualización, los equipos de la red
pueden descargar los archivos del sitio de duplicación. Esto permite actualizar cualquier ordenador de
la red, tanto si tiene acceso a Internet como si no. El uso de un sitio replicado es más eficaz porque lo
sistemas se comunican con un servidor más próximo al sitio de McAfee en Internet, lo que ahorra
tiempo de acceso y descarga.
Endpoint Security depende de un directorio para actualizarse. Por lo tanto, al duplicar un sitio, es
importante replicar toda la estructura de directorios.
Referencia a la interfaz de cliente: Ajustes generales
Los temas de ayuda de referencia de la interfaz proporcionan ayuda según el contexto para las
páginas de la interfaz de cliente.
Contenido
Página Registro de eventos
Ajustes generales: Opciones
Ajustes generales: Tareas
McAfee Endpoint Security 10.2
Guía del producto
41
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Página Registro de eventos
Muestra los eventos de actividad y depuración en el Registro de eventos.
Tabla 2-2
Opciones
Opción
Definición
Número de eventos
Muestra el número de eventos que Endpoint Security haya registrado en el
sistema en los últimos 30 días.
Actualiza la vista del Registro de eventos con cualquier información de evento
reciente.
Ver directorio de
registros
Abre la carpeta que contiene los archivos de instalación de registro en el
explorador de Windows.
Mostrar todos los
eventos
Quita cualquier filtro.
Filtrar por gravedad
Filtra los eventos por nivel de gravedad:
Filtrar por módulo
Alerta
Muestra solo los eventos de nivel de gravedad 1.
Crítico y más grave
Muestra solo los eventos de nivel de gravedad 1 y 2.
Advertencias y más
importantes
Muestra solo los eventos de nivel de gravedad 1, 2 y
3.
Aviso y más grave
Muestra los eventos de nivel de gravedad 1, 2, 3 y 4.
Filtra los eventos por módulo:
Ajustes generales
Muestra solo los eventos de Ajustes generales.
Prevención de amenazas
Muestra solo los eventos de Prevención de amenazas.
Firewall
Muestra solo los eventos de Firewall.
Control web
Muestra solo los eventos de Control web.
Inteligencia de amenazas
Muestra solo los eventos de Inteligencia de amenazas.
Las funciones que aparecen en el menú desplegable dependen de las funciones
instaladas en el sistema en el momento en que abrió el Registro de eventos.
Buscar
Busca una cadena en el Registro de eventos.
Eventos por página
Seleccione el número de eventos que mostrar en una página. (De forma
predeterminada, 20 eventos por página)
Página anterior
Muestra la página anterior en el Registro de eventos.
Página siguiente
Muestra la página siguiente en el Registro de eventos.
Página x de x
Seleccione una página en el Registro de eventos a la que navegar.
Introduzca un número en el campo Página y pulse Intro o haga clic en Ir para
navegar hasta la página.
42
Encabezados de
las columnas
Ordena la lista de eventos por...
Fecha
Fecha en la que se produjo el evento.
Función
Función que registró el evento.
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Encabezados de
las columnas
Ordena la lista de eventos por...
Acción realizada
Acción que Endpoint Security llevó a cabo, si realizó alguna, en respuesta al
evento.
La acción puede ajustarse en la configuración.
Permitido
Ha permitido el acceso al archivo.
Acceso denegado
Ha denegado el acceso al archivo.
Eliminado
Ha eliminado el archivo automáticamente.
Continuar
Limpiado
Ha quitado la amenaza del archivo detectado
automáticamente.
Movido
Ha movido el archivo a la cuarentena.
Bloqueado
Ha bloqueado el acceso al archivo.
Bloquearía
Una regla de protección de acceso habría bloqueado el
acceso al archivo si la regla hubiera estado implementada.
Nivel de gravedad del evento.
Gravedad
Crítico
1
Grave
2
Leve
3
Advertencia
4
Informativo
5
Véase también
Ver el Registro de eventos en la página 24
Ajustes generales: Opciones
Configure los parámetros de interfaz, autoprotección, registro de actividades y depuración y servidor
proxy de Cliente de Endpoint Security.
Tabla 2-3 Opciones
Sección
Opción
Definición
Modo de interfaz de
cliente
Acceso total
Permite el acceso a todas las funciones. (Opción
predeterminada)
Acceso estándar
Muestra el estado de la protección y permite acceder a la
mayoría de las funciones, como la ejecución de
actualizaciones y análisis.
El modo Acceso estándar requiere una contraseña para ver y
modificar la configuración de directivas en la página Cliente
de Endpoint Security de Cliente de Endpoint Security.
Bloquear interfaz de
cliente
McAfee Endpoint Security 10.2
Requiere una contraseña para acceder al Cliente de Endpoint
Security.
Guía del producto
43
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-3 Opciones (continuación)
Sección
Opción
Definición
Establecer contraseña
de administrador
En el caso de Acceso estándar y Bloquear interfaz de cliente,
especifica la contraseña de administrador con que acceder a
todas las funciones de la interfaz de Cliente de Endpoint
Security.
• Contraseña: especifica la contraseña.
• Confirmar contraseña: confirma la contraseña.
Desinstalación
Requerir contraseña
para desinstalar el
cliente
Solicita una contraseña para desinstalar Cliente de Endpoint
Security y especifica la contraseña.
La contraseña predeterminada es mcafee.
(Opción desactivada de forma predeterminada)
• Contraseña: especifica la contraseña.
• Confirmar contraseña: confirma la contraseña.
Tabla 2-4 Opciones avanzadas
Sección
Opción
Idioma de la interfaz Automático
de cliente
Idioma
Definición
Selecciona automáticamente el idioma que usar en el texto de la
interfaz de Cliente de Endpoint Security basándose en el idioma de
la interfaz del sistema cliente.
Especifica el idioma del texto de la interfaz de Cliente de Endpoint
Security.
En lo que se refiere a los sistemas gestionados, los cambios
realizados en Cliente de Endpoint Security anulan los cambios de
directivas del servidor de administración. El cambio de idioma se
aplicará después del reinicio de Cliente de Endpoint Security.
El idioma del cliente no afecta a los archivos de registro. Los
archivos de registro siempre aparecen en el idioma especificado en
la configuración regional predeterminada del sistema.
Autoprotección
Activar
autoprotección
Protege los recursos del sistema de Endpoint Security de
actividades maliciosas.
Acción
Especifica la acción que realizar cuando ocurran actividades
maliciosas:
• Bloquear e informar: Bloquea la actividad e informa a McAfee ePO.
(Opción predeterminada)
• Solo bloquear: Bloquea la actividad, pero no informa a McAfee ePO.
• Solo informar: Informa a McAfee ePO, pero no bloquea la actividad.
44
Archivos y carpetas
Impide que se modifiquen o eliminen carpetas y archivos de
sistema de McAfee.
Registro
Impide que se modifiquen o eliminen valores y claves de Registro
de McAfee.
Procesos
Impide la detención de procesos de McAfee.
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-4 Opciones avanzadas (continuación)
Sección
Opción
Definición
Excluir estos
procesos
Permite el acceso a los procesos especificados.
Se admiten caracteres comodín.
Agregar: agrega un proceso a la lista de exclusión. Haga clic en
Agregar e introduzca el nombre exacto del recurso, como por
ejemplo, avtask.exe.
Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
Eliminar: Elimina el elemento seleccionado. Seleccione el recurso y
haga clic en Eliminar.
Certificados
Especifica las opciones de los certificados.
Permitir
Permite que un proveedor ejecute código en los procesos de
McAfee.
Esta configuración puede dar lugar a problemas de
compatibilidad y a un nivel de seguridad reducido.
Proveedor
Especifica el nombre común (CN) de la autoridad que firmó y
emitió el certificado.
Asunto
Especifica el nombre distintivo del firmante (SDN) que define la
entidad asociada al certificado.
Esta información puede incluir:
• CN: nombre común
• OU: unidad organizativa
• O: organización
• L: localidad
• ST: estado o provincia
• C: código del país
Registro de cliente
Hash
Especifica el hash de la clave pública asociada.
Ubicación de
archivos de registro
Especifica la ubicación de los archivos de registro.
La ubicación predeterminada es:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
Escriba la ubicación deseada o haga clic en Examinar para llegar a
ella.
Registro de
actividades
Activar registro de
actividades
Activa el registro de todas las actividades de Endpoint Security.
Limitar tamaño (MB)
de cada uno de los
archivos de registro
de actividades
Limita cada archivo de registro de actividades al tamaño máximo
especificado (entre 1 MB y 999 MB). El valor predeterminado es
10 MB.
Si el archivo de registro supera este tamaño, los datos nuevos
sustituyen el 25 por ciento más antiguo de las entradas en el
archivo.
Desactive esta opción para permitir que los archivos de registro
tengan cualquier tamaño.
McAfee Endpoint Security 10.2
Guía del producto
45
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-4 Opciones avanzadas (continuación)
Sección
Opción
Registro de
depuración
Definición
La activación del registro de depuración para cualquier módulo
también lo activa para las funciones del módulo Ajustes generales,
como por ejemplo Autoprotección.
Práctica recomendada: Active el registro de depuración
durante, al menos, las primeras 24 horas durante las fases de
prueba y piloto. Si no se producen problemas durante este
tiempo, desactive el registro de depuración para evitar que el
rendimiento de los sistemas cliente se vea afectado.
Activar para
Prevención de
amenazas
Activa el registro detallado de Prevención de amenazas y
tecnologías concretas:
Activar para protección de acceso: los registros se realizan en
AccessProtection_Debug.log.
Activar para prevención de exploit: los registros se realizan en
ExploitPrevention_Debug.log.
Activar para análisis en tiempo real: los registros se realizan en
OnAccessScan_Debug.log.
Activar para análisis bajo demanda: los registros se realizan en
OnDemandScan_Debug.log.
La activación del registro de depuración para cualquier tecnología
de la Prevención de amenazas también lo activa para Cliente de
Endpoint Security.
Activar para firewall
Activa el registro detallado de actividades de Firewall.
Activar para Control Activa el registro detallado de actividades de Control web.
web
Activar para
Inteligencia de
amenazas
Activa el registro detallado de actividades de Inteligencia de
amenazas.
Limitar tamaño (MB)
de cada uno de los
archivos de registro
de depuración
Limita cada archivo de registro de depuración al tamaño máximo
especificado (entre 1 MB y 999 MB). El valor predeterminado es
50 MB.
Si el archivo de registro supera este tamaño, los datos nuevos
sustituyen el 25 por ciento más antiguo de las entradas en el
archivo.
Desactive esta opción para permitir que los archivos de registro
tengan cualquier tamaño.
Registro de eventos Enviar eventos a
McAfee ePO
Envía todos los eventos registrados en el Registro de eventos de
Cliente de Endpoint Security a McAfee ePO.
Esta opción solo se encuentra disponible en sistemas gestionados
por McAfee ePO.
Registrar eventos en Envía todos los eventos registrados en el Registro de eventos de
el registro de la
Cliente de Endpoint Security al registro de aplicaciones de
aplicación Windows Windows.
Se puede acceder al registro de aplicación de Windows en Visor de
eventos | Registros de Windows | Aplicación.
46
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
2
Tabla 2-4 Opciones avanzadas (continuación)
Sección
Opción
Definición
Niveles de
gravedad
Especifica el nivel de gravedad de los eventos que registrar en el
Registro de eventos en Cliente de Endpoint Security:
• Ninguno: no se envían alertas
• Solo alerta: se envían alertas solo de nivel 1.
• Crítico y alerta: se envían alertas de nivel 1 y 2.
• Advertencia, crítico y alerta: se envían alertas de nivel de 1 a 3.
• Todo excepto Informativo: se envían alertas de nivel de 1 a 4.
• Todo: se envían alertas de nivel de 1 a 5.
• 1: Alerta
• 2: Crítico
• 3: Advertencia
• 4: Aviso
• 5: Informativo
Eventos de
Prevención de
amenazas que
registrar
Especifica el nivel de gravedad de los eventos para cada función
de Prevención de amenazas que registrar:
Protección de acceso: Los registros se realizan en
AccessProtection_Activity.log.
Al activar el registro de eventos para Protección de acceso,
también se activa el registro de eventos para Autoprotección.
Prevención de exploit: Los registros se realizan en
ExploitPrevention_Activity.log.
Análisis en tiempo real: los registros se realizan en
OnAccessScan_Activity.log.
Análisis bajo demanda: Los registros se realizan en
OnDemandScan_Activity.log.
Eventos de Firewall
que registrar
Especifica el nivel de gravedad de los eventos de Firewall que
registrar.
Eventos de Control
web que registrar
Especifica el nivel de gravedad de los eventos de Control web que
registrar.
Eventos de
Inteligencia de
amenazas que
registrar
Especifica el nivel de gravedad de los eventos de Inteligencia de
amenazas que registrar.
Servidor proxy para Sin servidor proxy
McAfee GTI
Utilizar
configuración de
proxy del sistema
McAfee Endpoint Security 10.2
Especifica que los sistemas gestionados recuperan información
sobre reputación de McAfee GTI directamente a través de
Internet, en vez de a través de un servidor proxy. (Opción
predeterminada)
Especifica el uso de la configuración de proxy en el sistema cliente
y, opcionalmente, activa la autenticación de proxy HTTP.
Guía del producto
47
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-4 Opciones avanzadas (continuación)
Sección
Opción
Definición
Configurar servidor
proxy
Personaliza la configuración de proxy.
• Dirección: especifica la dirección IP o el nombre de dominio
completo del servidor proxy HTTP.
• Puerto: limita el acceso a través del puerto especificado.
• Excluir estas direcciones: No use el servidor proxy HTTP para sitios
web o direcciones IP que empiecen con las entradas
especificadas.
Haga clic en Agregar e introduzca la dirección que excluir.
Activar
autenticación de
proxy HTTP
Especifica que el servidor proxy HTTP requiere autenticación. (Esta
opción solo está disponible cuando selecciona un servidor proxy
HTTP). Introduzca unas credenciales de proxy HTTP:
• Nombre de usuario: especifica el nombre de la cuenta de usuario
con permisos para acceder al servidor proxy HTTP especificado.
• Contraseña: especifica la contraseña para el Nombre de usuario.
• Confirmar contraseña: confirma la contraseña especificada.
Actualización de
cliente
predeterminado
Activar el botón
Actualizar ahora en
el cliente
Muestra u oculta el botón
principal de Cliente de Endpoint Security.
en la página
Haga clic en este botón para comprobar y descargar manualmente
actualizaciones de archivos de contenido y componentes de
software en el sistema cliente.
Qué actualizar
Especifica qué actualizar al hacer clic en el botón
.
• Contenido de seguridad, hotfixes y parches: Actualiza a las versiones más
recientes todo el contenido de seguridad (ya sea contenido de
motor, AMCore o prevención de exploit), así como cualquier
hotfix y parche.
• Contenido de seguridad: Actualiza únicamente contenido de
seguridad. (Opción predeterminada)
• Hotfixes y parches: Actualiza únicamente hotfixes y parches.
Configura sitios desde los que obtener actualizaciones para
archivos de contenido y componentes de software.
Sitios de origen
para las
actualizaciones
Puede activar y desactivar el sitio de origen de copia de seguridad
predeterminado, McAfeeHttp, y el servidor de gestión (para sistemas
gestionados), pero no podrá modificarlos ni eliminarlos.
Indica elementos que pueden moverse en la lista.
Seleccione elementos y arrástrelos hasta la nueva ubicación.
Aparecerá una línea azul entre elementos en los puntos en los que
se pueden colocar los elementos arrastrados.
Agregar
Agrega un sitio a la lista de sitios de origen.
Hacer doble clic Modifica el elemento seleccionado.
en un elemento
Eliminar
48
McAfee Endpoint Security 10.2
Elimina el sitio seleccionado de la lista de sitios de origen.
Guía del producto
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
2
Tabla 2-4 Opciones avanzadas (continuación)
Sección
Opción
Definición
Importar
Importa sitios desde un archivo de lista de sitios de origen.
Seleccione el archivo para importar y haga clic en Aceptar.
El archivo de lista de sitios reemplaza la lista de sitios de origen
actual.
Exportar todo
Exporta la lista de sitios de origen al archivo SiteList.xml.
Seleccione la ubicación en la que guardar el archivo de lista de
sitios de origen y haga clic en Aceptar.
Servidor proxy para Sin servidor proxy
sitios de origen
Especifica que los sistemas gestionados recuperan información
sobre reputación de McAfee GTI directamente a través de
Internet, en vez de a través de un servidor proxy. (Opción
predeterminada)
Utilizar
configuración de
proxy del sistema
Especifica el uso de la configuración de proxy para el sistema
cliente, y activa opcionalmente la autenticación de proxy HTTP o
FTP.
Configurar servidor
proxy
Personaliza la configuración de proxy.
• Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del
servidor proxy HTTP o FTP.
• Puerto: Limita el acceso a través del puerto especificado.
• Excluir estas direcciones: Especifica las direcciones para sistemas
Cliente de Endpoint Security que no quiere que usen el servidor
proxy para obtener calificaciones de McAfee GTI.
Haga clic en Agregar e introduzca la dirección que excluir.
Activar
autenticación de
proxy HTTP/FTP
Especifica que el servidor proxy HTTP o FTP requiere
autenticación. (Esta opción solo está disponible cuando se ha
seleccionado un servidor proxy HTTP o FTP.) Introduzca unas
credenciales de proxy:
• Nombre de usuario: especifica el nombre de la cuenta de usuario
con permisos para acceder al servidor proxy.
• Contraseña: especifica la contraseña para el Nombre de usuario
especificado.
• Confirmar contraseña: Confirma la contraseña especificada.
Véase también
Proteger recursos de Endpoint Security en la página 31
Configurar parámetros de registro en la página 32
Control de acceso a la interfaz de cliente en la página 33
Configuración del servidor proxy para McAfee GTI en la página 34
Configure el comportamiento predeterminado de las actualizaciones en la página 37
Configurar sitios de origen para actualizaciones en la página 35
Agregar sitio o Editar sitio en la página 50
McAfee Endpoint Security 10.2
Guía del producto
49
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Agregar sitio o Editar sitio
Agrega o edita un sitio en la lista de sitios de origen.
Tabla 2-5 Definiciones de opciones
Option
Definición
Nombre
Indica el nombre del sitio de origen que contiene los archivos de actualización.
Activar
Activa o desactiva el uso del sitio de origen para descargar archivos de actualización.
Recuperar
archivos desde
Especifica de dónde se han de recuperar los archivos.
Repositorio
HTTP
Recupera los archivos desde la ubicación del repositorio HTTP designada.
HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red,
pero admite un mayor nivel de conexiones simultáneas que FTP.
URL
• Nombre DNS: indica que la URL es un nombre de dominio.
• IPv4: indica que la dirección URL es una dirección IPv4.
• IPv6: indica que la dirección URL es una dirección IPv6.
http:// : especifica la dirección del servidor HTTP y de la carpeta en la
que se encuentran los archivos de actualización.
Puerto: especifica el número de puerto para el servidor HTTP.
Utilizar
autenticación
Se selecciona para usar autenticación y especificar las credenciales de
acceso a la carpeta de archivos de actualización.
• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuario
especificado.
• Confirmar contraseña: confirma la contraseña especificada.
50
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-5 Definiciones de opciones (continuación)
Option
Definición
Repositorio FTP Recupera los archivos desde la ubicación del repositorio HTTP designada.
Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos de
seguridad de red. Dado que el FTP es menos propenso a ataques de código no deseados
que HTTP, puede ofrece una mejor tolerancia.
URL
• Nombre DNS: indica que la URL es un nombre de dominio.
• IPv4: indica que la dirección URL es una dirección IPv4.
• IPv6: indica que la dirección URL es una dirección Ipv6.
ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que se
encuentran los archivos de actualización.
Puerto: especifica el número de puerto para el servidor HTTP.
Utilizar inicio
de sesión
anónimo
Se selecciona para usar un FTP anónimo para acceder a la carpeta de
archivos de actualización.
Anule la selección de esta opción para especificar las credenciales de
acceso.
• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuario especificado.
• Confirmar contraseña: confirma la contraseña especificada.
Ruta UNC o
Ruta local
Recupera los archivos de la ubicación de ruta UNC o local designada.
Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entre
dominios requieren permisos de seguridad para cada dominio, lo que precisa mayor
configuración para la actualización.
Ruta
• Ruta UNC: especifica la ruta mediante la notación UNC (\
\nombredeservidor\ruta\).
• Ruta local: especifica la ruta de una carpeta en una unidad local o de red.
Utilizar
cuenta de
sesión
iniciada
Los accesos a los archivos actualizados mediante la cuenta en la que se
ha iniciado sesión. Esta cuenta debe tener permisos de lectura para las
carpetas que contienen los archivos de actualización.
Anule la selección de esta opción para especificar las credenciales de
acceso.
• Dominio: especifica el dominio para la cuenta de usuario.
• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuario especificado.
• Confirmar contraseña: confirma la contraseña especificada.
Ajustes generales: Tareas
Configure y planifique tareas de Cliente de Endpoint Security.
En sistemas gestionados, no puede iniciar, detener ni eliminar tareas de Administrador.
McAfee Endpoint Security 10.2
Guía del producto
51
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-6
Opciones
Sección Opción
Definición
Tareas
Indica las tareas actualmente definidas y planificadas.
• Nombre: nombre de la tarea planificada.
• Función: módulo o función con los que está asociada la tarea.
• Planificación: cuándo está planificada la ejecución de la tarea y si está
desactivada.
Por ejemplo, en sistemas gestionados, la tarea Actualización de cliente
predeterminada la puede desactivar el administrador.
• Estado: estado de la última vez que se ejecutó la tarea:
• (sin estado): no se ha ejecutado
• Ejecutar: actual en ejecución o pausada
• Pausado: pausado por el usuario (como por ejemplo un análisis)
• Aplazado: aplazado por el usuario (como por ejemplo un análisis)
• Finalizado: ejecución completada sin errores
• Finalizado (con errores): ejecución completada con errores
• Error: no se pudo completar
• Última ejecución: fecha y hora en la que la tarea se ejecutó por última vez.
• Origen: origen de la tarea:
• McAfee: proporcionado por McAfee.
• Administrador: (solo en sistemas gestionados) definido por el
administrador.
• Usuario: definido en Cliente de Endpoint Security.
En función del origen, algunas tareas no se pueden modificar ni eliminar.
Por ejemplo, la tarea Actualización de cliente predeterminada solo se
puede cambiar en sistemas autogestionados. Las tareas de Administrador,
definidas por el administrador en sistemas gestionados, no se pueden
modificar ni eliminar en Cliente de Endpoint Security.
52
Hacer doble
clic en un
elemento
Modifica el elemento seleccionado.
Agregar
Crea una tarea de análisis, actualización o duplicación.
Eliminar
Elimina la tarea seleccionada.
McAfee Endpoint Security 10.2
Guía del producto
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-6
Opciones (continuación)
Sección Opción
Definición
Duplicar
Crea una copia de la tarea seleccionada.
Ejecutar ahora
Ejecuta la tarea seleccionada.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón
cambia a Ver.
• Análisis rápido: abre el cuadro de diálogo Análisis rápido e inicia el análisis.
• Análisis completo: abre el cuadro de diálogo Análisis completo e inicia el análisis.
• Análisis personalizado: abre el cuadro de diálogo Análisis personalizado e inicia el
análisis.
• Actualización de cliente predeterminada: abre el cuadro de diálogo Actualización de
cliente predeterminada e inicia la actualización.
• Actualizar: abre el cuadro de diálogo Actualización personalizada e inicia la
actualización.
• Duplicar: abre el cuadro de diálogo Duplicar e inicia la replicación del
repositorio.
Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint
Security le pide confirmación para guardar la configuración.
Véase también
Ejecución de un Análisis completo o un Análisis rápido en la página 58
Actualización manual de protección y software en la página 23
Configure, planifique y ejecute tareas de duplicación en la página 40
Agregar tarea en la página 53
Agregar tarea
Agrega tareas de actualización, duplicación o análisis personalizado.
Opción
Definición
Nombre
Especifica el nombre de la tarea.
Seleccionar tipo de
tarea
Especifica el tipo de tarea:
• Análisis personalizado: configura y planifica análisis personalizados, como los análisis
de memoria diarios.
• Duplicación: replica en un sitio de duplicación en la red los archivos de contenido y
de motor actualizados del primer repositorio accesible.
• Actualización: configura y planifica actualizaciones de producto, del motor de
análisis o de archivos de contenido.
Véase también
Agregar tarea de análisis o Editar tarea de análisis en la página 54
Agregar tarea de duplicación o Editar tarea de duplicación en la página 55
Agregar tarea de actualización o Editar tarea de actualización en la página 54
McAfee Endpoint Security 10.2
Guía del producto
53
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Agregar tarea de análisis o Editar tarea de análisis
Planifique la tareaAnálisis completo o Análisis rápido o configure y planifique tareas de análisis
personalizado que se ejecutan en el sistema cliente.
Tabla 2-7
Ficha
Opciones
Opción
Definición
Configura la tarea de análisis.
Configuración
Nombre
Indica el nombre de la tarea.
Opciones Define la configuración del Análisis bajo demanda.
Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en
sistemas autogestionados.
Activa y planifica las tareas para que se ejecuten a una hora determinada.
Planificación
Véase también
Configure, planifique y ejecute tareas de análisis en la página 91
Configurar Análisis bajo demanda en la página 86
Ejecución de un Análisis completo o un Análisis rápido en la página 58
Página Prevención de amenazas: Análisis bajo demanda en la página 114
Planificación en la página 55
Agregar tarea de actualización o Editar tarea de actualización
Planifica la Actualización de cliente predeterminada o configura y planifica tareas de actualización
personalizadas que se ejecutan en el sistema cliente.
Tabla 2-8 Opciones
Ficha
Opción
Definición
Configura la tarea de actualización.
Configuración
Nombre
Indica el nombre de la tarea.
Qué actualizar Especifica qué actualizar:
• Contenido de seguridad, hotfixes y parches
• Contenido de seguridad
• Hotfixes y parches
Solo puede configurar estos parámetros en sistemas autogestionados.
Planificación
Activa y planifica las tareas para que se ejecuten a una hora determinada.
De forma predeterminada, la tarea Actualización de cliente predeterminada se
ejecuta cada día a las 00:00 y se repite cada cuatro horas hasta las 23:59.
Véase también
Ajustes generales: Opciones en la página 43
Configure el comportamiento predeterminado de las actualizaciones en la página 37
Configure, planifique y actualice tareas de análisis en la página 39
Planificación en la página 55
54
McAfee Endpoint Security 10.2
Guía del producto
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
2
Agregar tarea de duplicación o Editar tarea de duplicación
Configura y planifica tareas de duplicación.
Tabla 2-9 Opciones
Ficha
Opción
Configuración Nombre
Definición
Indica el nombre de la tarea.
Ubicación de duplicación Especifica la carpeta en la que guardar la réplica del repositorio.
Activa y planifica las tareas para que se ejecuten a una hora
determinada.
Planificación
Véase también
Configure, planifique y ejecute tareas de duplicación en la página 40
Planificación en la página 55
Planificación
Planifique tareas de análisis, actualización y duplicación.
Tabla 2-10
Opciones
Categoría Opción
Definición
Planificación
Planifica las tareas para que se ejecuten a una hora determinada.
(Opción activada de forma predeterminada)
Activar planificación
Seleccione esta opción para planificar la tarea.
Tipo de planificación
Especifica el intervalo para ejecutar la tarea.
• Diario: ejecuta la tarea a diario, ya sea a una hora específica, de
forma periódica entre dos horas del día o una combinación de
ambas formas.
• Semanal: ejecuta la tarea cada semana:
• Un día específico entre semana, todos los días entre semana, los
fines de semana o mediante una combinación de días
• A una hora específica en los días seleccionados o de forma
periódica entre dos horas en los días seleccionados
• Mensualmente: ejecuta la tarea cada mes, con dos opciones:
• El día del mes especificado
• Los días de la semana especificados: el primero, segundo, tercero,
cuarto o último
• Una vez: inicia la tarea a la hora y en la fecha especificadas.
• Al iniciar el sistema: ejecuta la tarea al iniciar el sistema.
• Al iniciar sesión: inicia la tarea la próxima vez que el usuario inicia
sesión en el sistema.
• Ejecutar inmediatamente: inicia la tarea de inmediato.
Frecuencia
Especifica la frecuencia para las tareas que se ejecutan a Diario y de
forma Semanal.
Ejecutar los
Especifica los días de la semana para tareas que se ejecutan de forma
Semanal y Mensual.
Ejecutar en
Especifica los meses del año para las tareas que se ejecutan de
manera Mensual.
Ejecutar esta tarea
solo una vez al día
Ejecuta la tarea una vez al día para las tareas Al iniciar el sistema yAl iniciar
sesión.
McAfee Endpoint Security 10.2
Guía del producto
55
2
Mediante Cliente de Endpoint Security
Referencia a la interfaz de cliente: Ajustes generales
Tabla 2-10
Opciones (continuación)
Categoría Opción
Definición
Retrasar la tarea
Especifica los minutos de retraso antes de ejecutar tareas Al iniciar el
sistema y Al iniciar sesión.
Fecha de inicio
Especifica la fecha de inicio para tareas que se ejecutan de manera
Semanal, Mensual, a Diario y Una vez.
Fecha de finalización
Especifica la fecha de finalización de las tareas diarias, semanales y
mensuales.
Hora de inicio
Especifica la hora para empezar la tarea.
• Ejecutar una vez a esa hora: ejecuta la tarea una vez a la Hora de inicio
especificada.
• Ejecutar a esa hora y repetir hasta: ejecuta la tarea a la Hora de inicio
especificada. A continuación, inicia la tarea según el intervalo de
horas/minutos especificado en Iniciar tarea cada hasta la hora de
finalización especificada.
• Ejecutar a esa hora y repetir durante: ejecuta la tarea a la Hora de inicio
especificada. A continuación, inicia la tarea según el intervalo de
horas/minutos especificado en Iniciar tarea cada hasta que se haya
ejecutado durante la duración especificada.
Opciones
Ejecutar esta tarea de Especifica si la planificación de la tarea se ejecuta en función de la
acuerdo con la hora
hora local del sistema gestionado o según la Hora universal
universal coordinada coordinada (UTC).
(UTC)
Detener la tarea si se
ejecuta durante más
de
Detiene la tarea una vez transcurrido el número de horas y minutos
indicado.
Hacer aleatoria la
hora de inicio de la
tarea
Especifica que la tarea se ejecute de forma aleatoria dentro del
periodo de tiempo elegido.
Si la tarea se interrumpe antes de completarse, la siguiente vez que
comience se reanudará desde donde lo dejó.
De lo contrario, la tarea se iniciará a la hora planificada,
independientemente de si hay o no otras tareas cliente planificadas
para ejecutarse a la misma hora.
Ejecutar tarea omitida Ejecuta la tarea una vez haya transcurrido el tiempo en minutos
especificado en Retrasar el inicio cuando se reinicia el sistema gestionado.
Especifica las credenciales a utilizar para ejecutar la tarea.
Cuenta
Si no se especifican credenciales, la tarea se ejecuta como cuenta
local del administrador del sistema.
Nombre de usuario
Especifica la cuenta de usuario.
Contraseña
Especifica la contraseña para la cuenta de usuario especificada.
Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.
Dominio
Especifica el dominio para la cuenta de usuario especificada.
Véase también
Agregar tarea de análisis o Editar tarea de análisis en la página 54
Agregar tarea de actualización o Editar tarea de actualización en la página 54
Agregar tarea de duplicación o Editar tarea de duplicación en la página 55
56
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Prevención de amenazas comprueba la existencia de virus, spyware, programas no deseados y otras
amenazas en el equipo.
Contenido
Analizar el equipo en busca de malware
Administrar detecciones de amenazas
Administrar elementos en cuarentena
Administrar Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Analizar el equipo en busca de malware
Analice en busca de malware en el equipo seleccionando opciones en Cliente de Endpoint Security o
desde el Explorador de Windows.
Procedimientos
•
Ejecución de un Análisis completo o un Análisis rápido en la página 58
Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su
equipo manualmente.
•
Analizar un archivo o carpeta en la página 60
Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente
un archivo o carpeta individual que sospeche que pueda estar infectado.
Véase también
Tipos de análisis en la página 57
Tipos de análisis
Endpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.
•
Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución en
los equipos gestionados. En el caso de equipos gestionados, configure el analizador en tiempo real
en la página Configuración.
Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real intercepta
la operación y analiza el elemento según los criterios definidos en la configuración.
•
Análisis bajo demanda
McAfee Endpoint Security 10.2
Guía del producto
57
3
Mediante Prevención de amenazas
Analizar el equipo en busca de malware
Manual
El administrador (o el usuario, en el caso de sistemas autogestionados) configura
análisis bajo demanda predefinidos o personalizados que los usuarios pueden
ejecutar en equipos gestionados.
• Ejecute un análisis bajo demanda predefinido en cualquier momento desde
Cliente de Endpoint Security haciendo clic en
seleccionando un tipo de análisis:
y
Análisis rápido ejecuta una comprobación rápida de las áreas del sistema más
susceptibles de infección.
Análisis completo realizar una comprobación exhaustiva de todas las áreas del
sistema. (Se recomienda si sospecha que el equipo está infectado.)
• Analice un archivo o una carpeta en cualquier momento desde el Explorador de
Windows haciendo clic con el botón derecho y seleccionando Analizar en busca de
amenazas en el menú emergente.
• Para configurar y ejecutar un análisis bajo demanda personalizado como
administrador desde Cliente de Endpoint Security:
1 Seleccione Configuración | Ajustes generales | Tareas.
2 Seleccione la tarea que ejecutar.
3 Haga clic en Ejecutar ahora.
Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura y
planifica análisis bajo demanda para su ejecución en los equipos.
Cuando un análisis bajo demanda planificado está a punto de iniciarse, Endpoint
Security muestra un mensaje de análisis en la parte inferior de la pantalla. Puede
iniciar el análisis inmediatamente o aplazarlo, si se ha configurado.
Para configurar y planificar los análisis bajo demanda predefinidos Análisis rápido y
Análisis completo:
1 Configuración | Análisis bajo demanda | Análisis completo o Análisis rápido: configura análisis
bajo demanda.
2 Configuración | Common | Tareas planifica análisis bajo demanda.
Véase también
Configure, planifique y ejecute tareas de análisis en la página 91
Responder a aviso de análisis en la página 21
Ejecución de un Análisis completo o un Análisis rápido
Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipo
manualmente.
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado la
configuración. Con credenciales de administrador puede modificar y planificar estos análisis en la
configuración Análisis bajo demanda.
58
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Analizar el equipo en busca de malware
3
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en
3
.
En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo.
Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema,
recomendado si sospecha que su equipo podría estar infectado.
Análisis rápido
Ejecuta una comprobación rápida de las áreas de su sistema que sean más
susceptibles de infectarse.
Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.
Asimismo, es posible que encuentre el botón Ver detecciones en el análisis en tiempo real,
dependiendo de la configuración y de si se ha detectado una amenaza. Haga clic en este botón
para abrir la página Análisis en tiempo real y administrar las detecciones en cualquier momento.
Cliente de Endpoint Security muestra el estado del análisis en otra página.
Práctica recomendada: La Fecha de creación de AMCore Content indica la última vez que se ha
actualizado el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice la
protección antes de ejecutar el análisis.
4
5
Haga clic en los botones de la parte superior de la página de estado para controlar el análisis.
Pausar análisis
Pausa el análisis antes de que se complete.
Reanudar análisis
Reanudar un análisis pausado.
Cancelar análisis
Cancela un análisis en ejecución.
Una vez completado el análisis, la página muestra el número de archivos analizados, el tiempo
transcurrido y las posibles detecciones.
Nombre de detección
Identifica el nombre del malware detectado.
Tipo
Muestra el tipo de amenaza.
Archivo
Identifica el archivo infectado.
Acción realizada
Describe la última acción de seguridad emprendida en el archivo infectado:
• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.
McAfee Endpoint Security 10.2
Guía del producto
59
3
Mediante Prevención de amenazas
Analizar el equipo en busca de malware
6
Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo
infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén
disponibles.
7
Haga clic en Cerrar para cerrar la página.
Véase también
Tipos de análisis en la página 57
Nombres de detecciones en la página 64
Actualización manual de protección y software en la página 23
Administrar detecciones de amenazas en la página 61
Configurar Análisis bajo demanda en la página 86
Configure, planifique y ejecute tareas de análisis en la página 91
Analizar un archivo o carpeta
Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivo
o carpeta individual que sospeche que pueda estar infectado.
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado la
configuración. Con credenciales de administrador puede modificar estos análisis en la configuración
Análisis bajo demanda.
Procedimiento
1
En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y
seleccione Analizar en busca de amenazas desde el menú emergente.
Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas.
2
3
Haga clic en los botones en la parte superior de la página para controlar el análisis.
Pausar análisis
Pausa el análisis antes de que se complete.
Reanudar análisis
Reanudar un análisis pausado.
Cancelar análisis
Cancela un análisis en ejecución.
Una vez completado el análisis, la página muestra el número de archivos analizados, el tiempo
transcurrido y las posibles detecciones.
Nombre de detección
Identifica el nombre del malware detectado.
Tipo
Muestra el tipo de amenaza.
Archivo
Identifica el archivo infectado.
Acción realizada
Describe la última acción de seguridad emprendida en el archivo infectado:
• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.
60
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar detecciones de amenazas
4
3
Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo
infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén
disponibles.
5
Haga clic en Cerrar para cerrar la página.
Véase también
Tipos de análisis en la página 57
Nombres de detecciones en la página 64
Configurar Análisis bajo demanda en la página 86
Administrar detecciones de amenazas
Dependiendo de su configuración, puede gestionar las detecciones de amenazas desde Cliente de
Endpoint Security.
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Analizar ahora para abrir la página Analizar sistema.
3
Desde Análisis bajo demanda, haga clic en Ver detecciones.
Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería de
usuario está desactivada.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
4
Desde la página Análisis en tiempo real, seleccione una de estas opciones.
Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena.
Limpiar
Endpoint Security usa información de los archivos de contenido para limpiar los
archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y
no se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfee
recomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copia
de seguridad limpia.
Elimina el elemento que contiene la amenaza.
Eliminar
Eliminar entrada Elimina una entrada de la lista de detección.
Cierra la página de análisis.
Cerrar
Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible.
Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
McAfee Endpoint Security 10.2
Guía del producto
61
3
Mediante Prevención de amenazas
Administrar elementos en cuarentena
Administrar elementos en cuarentena
Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puede
realizar acciones en los elementos en cuarentena.
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenido
con información que limpia la amenaza.
Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos,
registros o todo lo que Endpoint Security analice en busca de malware.
Procedimiento
Para obtener ayuda, en el menú Acción
, seleccione Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Poner en cuarentena en el lado izquierdo de la página.
La página muestra todos los elementos en cuarentena.
Si Cliente de Endpoint Security no puede acceder al Administrador de cuarentena, muestra un
mensaje de error de comunicación. De ser así, reinicie el sistema para ver la página Cuarentena.
62
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Administrar elementos en cuarentena
3
4
Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.
Para...
Haga lo siguiente...
Cambiar el tamaño relativo de los paneles.
Haga clic y arrastre el marco deslizante entre los
paneles.
Ordenar elementos de la tabla por nombre o
tipo de amenaza.
Haga clic en el encabezado de columna.
En la página Cuarentena, realice acciones en elementos seleccionados.
Para...
Siga estos pasos
Eliminar elementos
en cuarentena.
Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminar
para confirmar.
Los archivos eliminados no se pueden restaurar.
Restaurar
elementos en
cuarentena.
Seleccione elementos, haga clic en Restaurar y, a continuación, haga clic de
nuevo en Restaurar para confirmar.
Endpoint Security restaura los elementos a su ubicación original y los quita
de la cuarentena.
Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá
a la cuarentena la próxima vez que se acceda a dicho elemento.
Volver a analizar
elementos.
Seleccione elementos, luego haga clic en Volver a analizar.
Por ejemplo, puede volver a analizar un elemento tras actualizar la
protección. Si el elemento ya no es una amenaza, lo puede restaurar a su
ubicación original y quitarlo de la cuarentena.
Ver un elemento en
el Registro de
eventos.
Seleccione un elemento y haga clic en el vínculo Ver en Registro de eventos en el
panel de detalles.
Obtener más
información sobre
una amenaza.
Seleccione un elemento y haga clic en el vínculo Obtenga más información sobre
esta amenaza en el panel de detalles.
La página Registro de eventos se abre, y el evento relacionado con el elemento
seleccionado aparecerá resaltado.
Se abre una nueva ventana de navegador en el sitio web McAfee Labs con
más información acerca de la amenaza que provocó que el elemento se
pusiera en cuarentena.
Véase también
Nombres de detecciones en la página 64
Repetición de análisis de elementos en cuarentena en la página 65
Abra Cliente de Endpoint Security en la página 19
Actualización manual de protección y software en la página 23
McAfee Endpoint Security 10.2
Guía del producto
63
3
Mediante Prevención de amenazas
Administrar elementos en cuarentena
Nombres de detecciones
Los La cuarentena informa de amenazas por nombre de detección.
Nombre de
detección
Descripción
Adware
Genera ingresos mostrando anuncios dirigidos al usuario. El adware genera
ingresos a través del proveedor o los socios del proveedor. Algunos tipos de
adware pueden capturar o transmitir información personal.
Marcador
Redirige las conexiones de Internet a otra parte distinta del proveedor de
servicios de Internet predeterminado del usuario. Los marcadores están
diseñados para agregar costes de conexión para un proveedor de contenidos, un
vendedor u otro.
Broma
Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas no
afectan a la seguridad o la privacidad, pero pueden alarmar o molestar al
usuario.
Registrador de
pulsaciones de
teclado
Intercepta datos entre el usuario que los introduce y la aplicación a la que iban
destinados. Un caballo troyano y un programa no deseado registrador de
pulsaciones de teclado pueden funcionar de manera idéntica. El software de
McAfee detecta los dos tipos para evitar intrusiones de privacidad.
Cracker de
contraseñas
Permite al usuario o administrador recuperar las contraseñas perdidas u
olvidadas desde las cuentas o archivos de datos. En manos de un atacante,
permiten el acceso a información confidencial y son una amenaza para la
seguridad y la privacidad.
Programa
A menudo incluye software legítimo (que no es malware) que puede alterar el
potencialmente no estado de seguridad o la política de privacidad del sistema. Este software se
deseado
puede descargar con un programa que el usuario desea instalar. Puede incluir
spyware, adware, registradores de pulsaciones de teclado, crackers de
contraseñas, herramientas de hacker y aplicaciones de marcador.
Herramienta de
administración
remota
Otorga a un administrador el control remoto de un sistema. Estas herramientas
pueden suponer una amenaza de seguridad grave si las controla un atacante.
Spyware
Transmite información personal a terceros sin el conocimiento o consentimiento
del usuario. El spyware genera exploits en los equipos infectados con finalidades
comerciales mediante:
• Envío de anuncios emergentes no solicitados
• Robo de información personal, incluida su información financiera, como puede
ser el número de las tarjetas de crédito
• Supervisión de la actividad de navegación por la Web para fines de marketing
• Enrutamiento de solicitudes HTTP a sitios de publicidad
Consulte también Programa potencialmente no deseado.
Sigiloso
Es un tipo de virus que intenta evitar ser detectado por el software antivirus.
También conocido como interceptor interruptor.
Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando una
aplicación antivirus intenta leer archivos o sectores de arranque para encontrar
virus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virus
esconden el tamaño real del archivo infectado y muestran el tamaño del archivo
antes de infectarse.
64
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Nombre de
detección
Descripción
Troyano
Es un programa dañino que se hace pasar por una aplicación benigna. Un
troyano no se replica pero causa daño o pone en peligro la seguridad del equipo.
Los equipos suelen infectarse:
• Cuando un usuario abre un troyano adjunto en un correo electrónico.
• Cuando un usuario descarga un troyano de un sitio web.
• Redes de igual a igual.
Como no se replican, los troyanos no se consideran virus.
Virus
Capaz de incrustarse en discos u otros archivos y replicarse repetidamente,
normalmente sin el conocimiento o permiso del usuario.
Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo,
el virus también se ejecuta. Otros virus permanecen en la memoria del equipo e
infectan más archivos a medida que ese equipo los va abriendo, modificando o
creando. Algunos virus presentan síntomas, mientras que otros dañan los
archivos y sistemas del equipo.
Repetición de análisis de elementos en cuarentena
Cuando se vuelve a analizar elementos en cuarentena, Endpoint Security utiliza la configuración de
análisis diseñada para proporcionar la máxima protección.
Práctica recomendada: Vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos.
Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es
una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena.
Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el
análisis, las condiciones de análisis pueden cambiar, lo cual puede afectar a la detección de elementos
en cuarentena.
Cuando se vuelven a analizar elementos en cuarentena, Endpoint Security siempre:
•
Analiza archivos codificados mediante MIME.
•
Analiza archivos de almacenamiento comprimidos.
•
Fuerza una búsqueda de McAfee GTI en los elementos.
•
Establece el nivel de sensibilidad de McAfee GTI en Muy alto.
Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la
detección de una amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación de
Registro) cambian, volver a analizar puede producir un falso positivo incluso aunque el elemento siga
infectado.
Administrar Prevención de amenazas
Como administrador, puede especificar la configuración de Prevención de amenazas para prevenir el
acceso de amenazas y configurar los análisis.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
McAfee Endpoint Security 10.2
Guía del producto
65
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Configuración de exclusiones
Prevención de amenazas le permite ajustar la protección especificando elementos que excluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee
un archivo utilizado por una base de datos o un servidor. Un archivo bloqueado puede hacer que se
produzcan errores en la base de datos o el servidor.
Las exclusiones en las listas de exclusión son mutuamente exclusivos. Cada exclusión se evalúa por
separado de otras exclusiones de la lista.
Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.
Para esta
función...
Especificar
elementos que
excluir
Dónde
configurar
Excluir elementos
por
¿Usar
comodines?
Protección de acceso Procesos (para
todas las reglas o
para una regla
especificada)
Configuración de
Protección de acceso
Nombre de archivo
de proceso o ruta,
hash MD5 o firmante
Todos excepto
hash MD5
Prevención de
exploit
Configuración de
Prevención de exploit
Ruta o nombre de
Todos excepto
archivo del proceso o hash MD5
ruta, hash MD5 o
firmante
Procesos
Nombre de archivo
de módulo de autor
de llamada o ruta,
hash MD5 o firmante
API
Todos los análisis
Nombres de
detección
Configuración de
Opciones
Programas
potencialmente no
deseados
Análisis en tiempo
real
Archivos, tipos de
archivo y carpetas
Configuración de
Análisis en tiempo real
• Predeterminado
• Riesgo alto
URL ScriptScan
Nombre de detección
(distingue entre
mayúsculas y
minúsculas)
Sí
Nombre
Sí
Nombre de archivo o
carpeta, tipo de
archivo o antigüedad
de archivo
Sí
Nombre de URL
No
• Riesgo bajo
Análisis bajo
demanda
Archivos, carpetas
y unidades
Configuración de
Análisis bajo demanda
Nombre de archivo o
carpeta, tipo de
archivo o antigüedad
de archivo
Sí
Archivos, carpetas
y unidades
Ajustes generales |
Tareas | Agregar tarea
| Análisis
personalizado
Nombre de archivo o
carpeta, tipo de
archivo o antigüedad
de archivo
Sí
• Análisis rápido
• Análisis completo
• Análisis con el botón
derecho del ratón
Análisis bajo
demanda
personalizado
Véase también
Caracteres comodín en exclusiones en la página 67
66
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Caracteres comodín en exclusiones
Puede usar caracteres comodín para representar caracteres en exclusiones para archivos, carpetas,
nombres de detección y programas potencialmente no deseados.
Tabla 3-1 Caracteres comodín válidos
Carácter
comodín
Nombre
Representa
?
Signo de
interrogación
Un solo carácter.
Asterisco
Varios caracteres, excepto la barra invertida (\).
*
Este carácter comodín se utiliza solamente si el número de
caracteres coincide con la longitud del nombre de archivo o
carpeta. Por ejemplo: la exclusión W?? excluye WWW, pero no
WW o WWWW.
No se puede usar *\ al principio de una ruta de archivo. Utilice
**\ en su lugar. Por ejemplo: **\ABC\*.
**
Doble asterisco
Cero o más caracteres, incluida la barra invertida (\).
Este carácter comodín corresponde a cero o más caracteres.
Por ejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZ y
C:\ABC\XYZ.
Los caracteres comodines pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo,
C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.
Exclusiones a nivel de raíz
Prevención de amenazas requiere una ruta de acceso absoluta para las exclusiones a nivel de raíz.
Esto significa que no puede usar los caracteres comodín \ o ?:\ iniciales para hacer coincidir nombres
de unidad en el nivel de raíz.
Este comportamiento difiere de VirusScan Enterprise. Consulte el artículo de KnowledgeBase KB85746 y
la Guía de migración de McAfee Endpoint Security.
Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones a
nivel de raíz para hacer coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con lo
siguiente:
C:\test
D:\test
C:\temp\test
D:\foo\test
Protección de los puntos de acceso del sistema
La primera línea de defensa contra el malware es la protección de los puntos de acceso del sistema
cliente contra amenazas. Protección de acceso impide que se realicen cambios no deseados en equipos
gestionados, mediante la restricción del acceso a determinados archivos, recursos compartidos, claves
y valores de Registro, y procesos.
Protección de acceso utiliza tanto reglas definidas por McAfee como reglas definidas por el usuario
(también denominadas reglas personalizadas) para notificar o bloquear el acceso a elementos.
Protección de acceso compara una acción solicitada con una lista de reglas y actúa según la regla.
McAfee Endpoint Security 10.2
Guía del producto
67
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Protección de acceso se debe activar para detectar los intentos de acceso a archivos, recursos
compartidos, claves y valores de Registro, y procesos.
La función Protección de acceso está activada de forma predeterminada.
Cómo obtienen acceso las amenazas
Las amenazas obtienen acceso a un sistema mediante varios puntos de acceso.
Punto de acceso
Descripción
Macros
Incluidas en documentos de procesamiento de textos y aplicaciones de
hojas de cálculo.
Archivos ejecutables
Los programas aparentemente benignos pueden incluir virus junto con el
programa esperado. Algunas extensiones de archivo comunes
son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
Scripts
Los scripts como ActiveX y JavaScript están asociados a páginas web y
correo electrónico y, si se permite su ejecución, pueden incluir virus.
Mensajes de Internet
Relay Chat (IRC)
Los archivos enviados junto con estos mensajes pueden contener malware
como parte del mensaje. Por ejemplo, los procesos de inicio automático
pueden incluir gusanos y troyanos.
Archivos de ayuda de
aplicaciones y
navegadores
La descarga de estos archivos de ayuda expone el sistema a virus
incrustados y ejecutables.
Correo electrónico
Bromas, juegos e imágenes incluidos en mensajes de correo electrónico
que contienen datos adjuntos.
Combinaciones de todos Los creadores del malware más sofisticado combinan todos los métodos de
estos puntos de acceso entrega anteriores e incluso incluyen un elemento de malware dentro de
otro a fin de intentar acceder al equipo gestionado.
Cómo la Protección de acceso detiene amenazas
Protección de acceso detiene amenazas potenciales gestionando acciones basadas en reglas de
protección definidas por el usuario y por McAfee.
Prevención de amenazas sigue este proceso básico para proporcionar protección de acceso.
Cuando se produce una amenaza
Cuando un usuario o proceso actúa:
1
Protección de acceso analiza dicha acción conforme a las reglas definidas.
2
Si la acción incumple una regla, Protección de acceso administra la acción mediante la información
en las reglas configuradas.
3
Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor de
administración, si está administrado.
Ejemplo de amenaza de acceso
68
1
Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.
2
El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado.
3
MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.
4
Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
5
Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo e
informe.
6
Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra los
detalles del intento. Protección de acceso también genera y envía una alerta al servidor de
administración.
3
Acerca de las reglas de protección de acceso
Utilice reglas de Protección de acceso definidas por McAfee o por el usuario para proteger los puntos
de acceso a su sistema.
Las reglas definidas por McAfee siempre se aplican antes que cualquier regla definida por el usuario.
Tipo de regla
Descripción
Reglas definidas
por McAfee
• Estas reglas impiden la modificación de archivos y opciones de uso habitual.
Reglas definidas
por el usuario
• Estas reglas complementan la protección proporcionada por las reglas definidas
por McAfee.
• Puede activar, desactivar y cambiar la configuración de las reglas definidas por
McAfee, pero no puede eliminar estas reglas.
• Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
• Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los
usuarios.
• Puede agregar y quitar, así como activar, desactivar y cambiar la configuración
de estas reglas.
Exclusiones
En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel de
directivas, las exclusiones se aplican a todas las reglas. Las exclusiones son opcionales.
Véase también
Excluir procesos de Protección de acceso en la página 75
Configuración de reglas de Protección de acceso definidas por McAfee
Las reglas definidas por McAfee impiden a los usuarios modificar los archivos y las opciones usados
comúnmente.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Es posible:
•
Cambiar la configuración de bloqueo e informes para estas reglas.
•
Agregar ejecutables incluidos y excluidos a estas reglas.
No es posible:
•
Eliminar estas reglas.
•
Modificar los archivos y la configuración protegidos por estas reglas.
•
Agregar subreglas o nombres de usuario a estas reglas.
McAfee Endpoint Security 10.2
Guía del producto
69
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página principal Estado.
, seleccione Configuración y, a continuación, haga clic en Prevención de
O bien en el menú Acción
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Protección de acceso.
5
Modifique la regla:
a
6
En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla.
•
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
•
Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
b
Haga doble clic en una regla definida por McAfee para editarla.
c
En la página Editar regla definida por McAfee, configure las opciones.
d
En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dos
veces para guardar la regla.
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Acerca de las reglas de Protección de acceso definidas por McAfee en la página 70
Iniciar sesión como administrador en la página 27
Excluir procesos de Protección de acceso en la página 75
Acerca de las reglas de Protección de acceso definidas por McAfee
Utilice las reglas de Protección de acceso definidas por McAfee para proteger el ordenador de cambios
no deseados.
Regla definida por
McAfee
Descripción
Alteración de todos los
Protege las claves de Registro en HKEY_CLASSES_ROOT donde se registran
registros de extensiones de las extensiones de archivo.
archivos
Esta regla impide que el malware modifique los registros de extensiones de
archivos y se ejecute en modo silencioso.
Práctica recomendada: Desactive la regla al instalar aplicaciones válidas
que modifican los registros de extensiones de archivos en el Registro.
Esta regla es una alternativa más restrictiva que Hijacking .EXE y otras extensiones
ejecutables.
Alteración de las directivas
de derechos de usuario
Protege los valores de Registro que contienen información de seguridad de
Windows.
Esta regla impide que los gusanos alteren cuentas que poseen derechos de
administrador.
70
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Regla definida por
McAfee
Descripción
Creación de nuevos
archivos ejecutables en la
carpeta Archivos de
programa
Impide la creación de nuevos archivos ejecutables en la carpeta Archivos de
programa.
Esta regla impide que el adware y el spyware creen nuevos archivos .EXE
y .DLL o que instalen nuevos archivos ejecutables en la carpeta Archivos de
programa.
Práctica recomendada: Instale las aplicaciones antes de activar esta regla o
añada los procesos bloqueados a la lista de exclusión.
Creación de nuevos
archivos ejecutables en la
carpeta Windows
Impide la creación de archivos desde cualquier proceso, no solo a través de la
red.
Esta regla impide la creación de archivos .EXE y .DLL en la carpeta de
Windows.
Práctica recomendada: Agregue a la lista de exclusión los procesos que
deban colocar archivos en la carpeta de Windows.
Desactivación del Editor del Protege las entradas del Registro de Windows, con lo que evita la
Registro y del
desactivación del Editor del Registro y el Administrador de tareas.
Administrador de tareas
En caso de un brote, desactive esta regla para poder cambiar el Registro o
abra el Administrador de tareas para detener los procesos activos.
Ejecución de scripts desde
Windows Script Host
(CScript.exe o Wscript.exe)
desde cualquier carpeta
temporal
Impide que el host de scripts en Windows ejecute scripts VBScript y
JavaScript en cualquier carpeta cuyo nombre contenga la palabra "temp".
Hijacking .EXE u otras
extensiones ejecutables
Protege, entre otras, las claves de Registro ejecutables .EXE y .BAT en
HKEY_CLASSES_ROOT.
Esta regla protege contra muchos troyanos y mecanismos de instalación web
cuestionables, utilizados por aplicaciones de adware y spyware.
Esta regla podría bloquear la ejecución o instalación de scripts y aplicaciones
de terceros legítimas.
Esta regla impide que el malware modifique las claves de Registro y se
ejecute el virus junto con otro ejecutable.
La regla es una alternativa menos restrictiva a Alteración de todos los registros de
extensiones de archivos.
Instalación de objetos
auxiliares del explorador o
extensiones de shell
Impide que el adware, el spyware y los troyanos que se instalan como objetos
auxiliares del explorador se instalen en el equipo host.
Esta regla impide que el adware y el spyware se instalen en los sistemas.
Práctica recomendada: Agregue a la lista de exclusión las aplicaciones
personalizadas o de terceros que sean legítimas para permitirles que instalen
estos objetos. Tras la instalación, puede volver a activar la regla porque no
impide el funcionamiento de los objetos auxiliares del explorador.
Instalación de nuevos
CLSID, APPID y TYPELIB
Impide la instalación o el registro de nuevos servidores COM.
Esta regla protege contra los programas de adware y spyware que se instalan
como complementos COM en Internet Explorer o en aplicaciones de Microsoft
Office.
Práctica recomendada: Para permitir las aplicaciones legítimas que
registran complementos COM, incluidas algunas aplicaciones comunes como
Adobe Flash, agréguelas a la lista de exclusión.
McAfee Endpoint Security 10.2
Guía del producto
71
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Regla definida por
McAfee
Descripción
Ejecución de archivos
desde la carpeta Archivos
de programa descargados
por parte de Internet
Explorer
Impide que el software se instale a través del navegador web. Esta regla es
específica para Microsoft Internet Explorer.
Puesto que esta regla puede bloquear también la instalación de software
legítimo, instale la aplicación antes de activar esta regla o agregue el proceso
de instalación como una exclusión.
Esta regla está establecida de manera predeterminada en Informar.
Esta regla impide que el adware y el spyware instalen y ejecuten ejecutables
desde esta carpeta.
Modificación de procesos
centrales de Windows
Impide que se creen o ejecuten archivos con los nombres que más se
falsifican.
Esta regla impide que los virus y troyanos se ejecuten con el nombre de un
proceso de Windows. Esta regla excluye archivos auténticos de Windows.
Modificación de
Bloquea los procesos para que no modifiquen la configuración de Internet
configuraciones de Internet Explorer.
Explorer
Esta página impide que los troyanos, el adware y el spyware de páginas de
inicio modifiquen la configuración del explorador, como la página de inicio o
los favoritos.
Modificar configuración de
red
Impide que los procesos que no se encuentren en la lista de exclusión puedan
modificar las opciones de red del sistema.
Esta regla captura el tráfico de red y lo envía a sitios de terceros para
proteger de los proveedores de servicios por niveles que transmiten datos,
como su comportamiento de navegación.
Práctica recomendada: Agregue los procesos que deben cambiar la
configuración de la red a la lista de exclusión o desactive la regla mientras se
realizan los cambios.
Registro de programas para Bloquea adware, spyware, troyanos y virus cuando intentan registrarse para
su ejecución automática
cargarse cada vez que se reinicia el sistema.
Esta regla impide que los procesos que no están en la lista de exclusión
registren procesos que se ejecutan cada vez que se reinicia el sistema.
Práctica recomendada: Agregue aplicaciones legítimas a la lista de
exclusión o instálelas antes de activar esta regla.
Acceso remoto a archivos o Impide el acceso de lectura y escritura al equipo desde equipos remotos.
carpetas locales
Esta regla impide que se extienda un gusano entre los recursos compartidos.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero no
para servidores, y solo cuando los equipos están activamente bajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla impide
la instalación de actualizaciones o parches. Esta regla no afecta a las
funciones gestionadas de McAfee ePO.
Creación remota de
archivos de ejecución
automática
Impide que otros equipos realicen una conexión y creen o modifiquen
archivos de ejecución automática (autorun.inf).
Los archivos de ejecución automática se utilizan para iniciar automáticamente
archivos de programa, generalmente archivos de configuración de CD.
Esta regla impide que se ejecuten el spyware y el adware distribuidos en CD.
Esta regla está configurada de manera predeterminada para Bloquear e Informar.
72
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Regla definida por
McAfee
Descripción
Creación o modificación
remota de archivos o
carpetas
Bloquea el acceso de escritura a todos los recursos compartidos.
3
Esta regla resulta útil en un brote al prevenir el acceso de escritura y limitar
que se extienda la infección. La regla bloquea malware que de otro modo
limitaría seriamente el uso del equipo o la red.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero no
para servidores, y solo cuando los equipos están activamente bajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla impide
la instalación de actualizaciones o parches. Esta regla no afecta a las
funciones gestionadas de McAfee ePO.
Creación o modificación
remota de archivos de tipo
portable ejecutable
(PE), .INI, .PIF y ubicaciones
de núcleo del sistema
Impide que otros equipos realicen conexiones y modifiquen ejecutables, como
los archivos en la carpeta Windows. Esta regla afecta solo a los tipos de
archivo normalmente infectados por los virus.
Esta regla protege contra los gusanos o virus que se extienden rápidamente y
atraviesan una red mediante los recursos compartidos abiertos o
administrativos.
Esta regla es una alternativa menos segura que hacer de solo lectura todos los
recursos compartidos.
Ejecución de archivos
desde cualquier carpeta
temporal
Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo nombre
contenga la palabra "temp".
Esta regla protege contra el malware que se guarda y ejecuta desde la
carpeta temp del usuario o del sistema. Este malware puede incluir datos
adjuntos ejecutables en correos electrónicos y programas descargados.
Aunque esta regla proporciona la mayor protección, podría bloquear la
instalación de aplicaciones legítimas.
Ejecución de archivos de la Impide que las aplicaciones instalen software desde el navegador o el cliente
carpeta Temp por parte de
de correo electrónico.
los programas comunes
Esta regla impide que los ejecutables y los datos adjuntos de correos
electrónicos se ejecuten en páginas web.
Práctica recomendada: Agregue el proceso a la lista de exclusión para
instalar una aplicación que utilice la carpeta Temp.
Véase también
Configuración de reglas de Protección de acceso definidas por McAfee en la página 69
Configuración de las reglas de Protección de acceso definidas por el
usuario
Las reglas definidas por el usuario complementan la protección proporcionada por las reglas definidas
por McAfee. Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas
reglas.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Práctica recomendada: Para obtener información sobre cómo crear reglas de Protección de acceso
prevenir ransomware, consulte PD25203.
McAfee Endpoint Security 10.2
Guía del producto
73
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página principal Estado.
, seleccione Configuración y, a continuación, haga clic en Prevención de
O bien en el menú Acción
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Protección de acceso.
5
Cree la regla: en la sección Reglas, haga clic en Agregar.
En la página Agregar regla, configure las opciones.
a
En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clic
en Guardar.
Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
b
En la sección Nombres de usuario, haga clic en Agregar y configure las propiedades del nombre de
usuario.
Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.
c
En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla.
Práctica recomendada: Para evitar que el rendimiento se vea afectado, no seleccione la
operación Leer.
En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic en
Guardar dos veces.
6
7
En la sección Reglas, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.
•
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
•
Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Excluir procesos de Protección de acceso en la página 75
Cómo se evalúan los destinos de subreglas de Protección de acceso
Cada destino se agrega con una directiva Incluir o Excluir.
74
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor de
evaluación verdadero si:
•
Al menos una inclusión se evalúa como verdadero.
y
•
Todas las exclusiones se evalúan como falso.
Excluir tiene prioridad sobre Incluir. Por ejemplo:
•
Si una misma subregla incluye un archivo C:\marketing\jjaime y excluye el mismo archivo, la
subregla no se activa para dicho archivo.
•
Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subregla
se activa si el archivo no es C:\marketing\jjaime.
•
Si una subregla incluye el archivo C:\marketing\*, pero excluye el archivo C:\marketing\jjaime, la
subregla se activa para C:\marketing\cualquiera, pero no se activa para C:\marketing\jjaime.
Excluir procesos de Protección de acceso
Si un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada en
directivas o basada en reglas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página principal Estado.
O bien en el menú Acción
, seleccione Configuración y, a continuación, haga clic en Prevención de
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
McAfee Endpoint Security 10.2
Guía del producto
75
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
4
Haga clic en Protección de acceso.
5
Compruebe que la opción Protección de acceso está activada.
La función Protección de acceso está activada de forma predeterminada.
6
Realice una de las siguientes acciones:
Para...
Haga esto...
Crear una
exclusión basada
en directivas.
1 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir
de todas las reglas.
2 En la página Agregar ejecutable, configure las propiedades del ejecutable.
3 Haga clic en Guardar y luego en Aplicar para guardar la configuración.
Crear una
exclusión basada
en reglas.
1 Editar una regla existente o agregar una nueva regla.
2 En la página Agregar regla o Editar regla, haga clic en Agregar para agregar un
ejecutable que excluir.
3 En la página Agregar ejecutable, configure las propiedades del ejecutable.
4 Haga clic en Guardar para guardar las exclusiones.
Bloqueo de vulnerabilidades de desbordamiento del búfer
Prevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Esta
función supervisa las llamadas de modo usuario de API y reconoce cuándo son el resultado de un
desbordamiento del búfer.
Cuando se produce una detección, la información se incluye en el registro de actividades y se muestra
en el sistema cliente, y se envía al servidor de administración, si se ha configurado.
Prevención de amenazas utiliza el archivo de contenido de Prevención de exploit para proteger
aplicaciones como Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y
MSN Messenger.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security 10.2. Si
McAfee Host IPS está activado, se desactiva Prevención de exploit aunque esté activada en la
configuración de la directiva.
Vulnerabilidades de desbordamiento del búfer
Los atacantes utilizan las vulnerabilidades de desbordamiento del búfer para ejecutar un código que
desborda el búfer de tamaño fijo reservado para procesos de entrada. Este código permite al atacante
tomar el control del equipo de destino o poner en peligro sus datos.
Más del 25 % de los ataques de malware son ataques de desbordamiento del búfer que intentan
sobrescribir la memoria adyacente en el marco de pila.
Los dos tipos de vulnerabilidades de desbordamiento del búfer son:
•
Ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas de
usuario (más comunes).
•
Ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).
El objeto de memoria en pila de tamaño fijo se encuentra vacía a la espera de que el usuario realice
una entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenan
en la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesa
la pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa.
76
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
A continuación se describe un ataque por desbordamiento del búfer basado en pila:
1
Desbordar la pila.
Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los
datos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado para
ellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.
2
Vulnerar el desbordamiento.
El programa espera por información del usuario. Si el atacante introduce un comando ejecutable
que excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.
3
Ejecutar el malware.
El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En un
principio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó un
dirección de retorno proporcionada que hace referencia al comando malicioso, el programa intenta
recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el comando
malicioso se ejecuta.
4
Vulnerar permisos.
El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta en
peligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisos
heredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total del
sistema operativo.
Configurar Prevención de exploit
Para impedir que las aplicaciones ejecuten código arbitrario en su equipo, configure Prevención de
exploits.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página principal Estado.
, seleccione Configuración y, a continuación, haga clic en Prevención de
O bien en el menú Acción
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Prevención de exploits.
5
Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 27
McAfee Endpoint Security 10.2
Guía del producto
77
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Exclusión de procesos de Prevención de exploit
Cuando se produce un evento de infracción de Prevención de exploit, existe un proceso asociado y un
posible módulo autor de la llamada o una API.
Si cree que el evento de infracción es un falso positivo, puede añadir una exclusión que especifique el
proceso, el módulo autor de la llamada o la API.
Dentro de una exclusión, el proceso, el módulo y la API están vinculados mediante un conector lógico
AND. Para excluir la infracción y que no se repita, deben coincidir el proceso, el módulo y la API
asociados a la infracción.
Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante un conector
lógico OR de manera que, si una exclusión coincide, el evento de infracción no se produce.
Detección de programas potencialmente no deseados
Para proteger el equipo gestionado contra programas potencialmente no deseados, especifique
archivos y programas que detectar en el entorno y luego active la detección.
Los programas potencialmente no deseados son programas de software que molestan o que pueden
alterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmente
no deseados pueden ir incrustados en programas que los usuarios descargan intencionalmente. Los
programas no deseados pueden incluir spyware, adware y marcadores.
1
Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajo
demanda los detecten en la configuración de la Opciones.
2
Active la detección de programas no deseados y especifique acciones que emprender cuando se
producen detecciones en estas configuraciones:
•
Configuración de Análisis en tiempo real
•
Configuración de Análisis bajo demanda
Véase también
Especificar programas potencialmente no deseados a detectar en la página 78
Activar y configurar la detección de programas potencialmente no deseados y respuestas en la
página 79
Configure Análisis en tiempo real en la página 81
Configurar Análisis bajo demanda en la página 86
Especificar programas potencialmente no deseados a detectar
Especifique programas adicionales para que los analizadores en tiempo real y bajo demanda los traten
como programas no deseados en la configuración de Opciones.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Los analizadores detectan tanto los programas que especifique como los especificados en los archivos
de AMCore Content.
78
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página principal Estado.
, seleccione Configuración y, a continuación, haga clic en Prevención de
O bien en el menú Acción
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Opciones.
5
Desde Detecciones de programas potencialmente no deseados:
•
Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o
programa que tratar como programa potencialmente no deseado.
La Descripción aparece como nombre de detección cuando se produce una detección.
•
Haga doble clic en el nombre o descripción de un programa potencialmente no deseado ya
existente para modificarlo.
•
Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic en
Eliminar para quitarlo de la lista.
Véase también
Iniciar sesión como administrador en la página 27
Activar y configurar la detección de programas potencialmente no
deseados y respuestas
Active que los analizadores en tiempo real o bajo demanda detecten programas potencialmente no
deseados, y especifique respuestas cuando se encuentre alguno.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Configure la Análisis en tiempo real.
a
Abra Cliente de Endpoint Security.
b
Haga clic en Prevención de amenazas en la página principal Estado.
O bien en el menú Acción
, seleccione Configuración y, a continuación, haga clic en Prevención de
amenazas en la página Configuración.
c
Haga clic en Mostrar avanzado.
d
Haga clic en Análisis en tiempo real.
McAfee Endpoint Security 10.2
Guía del producto
79
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
2
e
En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no
deseados.
f
En Acciones, configure respuestas a los programas no deseados.
Configure la Análisis bajo demanda.
a
Abra Cliente de Endpoint Security.
b
Haga clic en Prevención de amenazas en la página principal Estado.
O bien en el menú Acción
, seleccione Configuración y, a continuación, haga clic en Prevención de
amenazas en la página Configuración.
c
Haga clic en Mostrar avanzado.
d
Haga clic en Análisis bajo demanda.
e
Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):
•
Seleccione Detectar programas no deseados.
•
En Acciones, configure respuestas a los programas no deseados.
Véase también
Configure Análisis en tiempo real en la página 81
Configurar Análisis bajo demanda en la página 86
Iniciar sesión como administrador en la página 27
Configurar parámetros de análisis de ajustes generales
Para especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, configure
los parámetros de la Opciones de Prevención de amenazas.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Esta configuración se aplicará a todos los análisis:
•
Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes
de eliminarlos automáticamente
•
Nombres de detecciones que excluir de los análisis
•
Programas potencialmente no deseados que detectar, como spyware y adware
•
Comentarios de telemetría basados en McAfee GTI
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página Estado principal.
O, en el menú Acción
, seleccione Configuración y, a continuación, haga clic en Prevención de amenazas
en la página Configuración.
3
80
Haga clic en Mostrar configuración avanzada.
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
4
Haga clic en Opciones.
5
Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
3
Véase también
Iniciar sesión como administrador en la página 27
Configure Análisis en tiempo real en la página 81
Configurar Análisis bajo demanda en la página 86
Cómo funciona McAfee GTI
Si activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurística
para comprobar si existen archivos sospechosos. En el servidor de McAfee GTI, se almacenan las
calificaciones de sitio web y los informes de Control web. Si configura Control web para analizar los
archivos descargados, el analizador utiliza la reputación de archivos proporcionada por McAfee GTI
para comprobar la existencia de archivos sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central
alojado en McAfee Labs para determinar si son malware. Al enviar hashes, es posible que la detección
esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs
publique la actualización.
Puede configurar el nivel de sensibilidad que McAfee GTI utiliza cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitir más detecciones, también pueden obtenerse más
resultados falsos positivos.
•
Para Prevención de amenazas, el nivel de sensibilidad predeterminado de McAfee GTI es Medio.
Defina el nivel de sensibilidad de cada analizador en la configuración de Prevención de amenazas.
•
Para Control web, el nivel de sensibilidad predeterminado de McAfee GTI es Muy alto. Defina el
nivel de sensibilidad para analizar descargas de archivos en la configuración de Opciones de Control
web.
Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Configure Análisis en tiempo real
Estos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación de
mensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más
opciones de análisis.
McAfee Endpoint Security 10.2
Guía del producto
81
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página principal Estado.
, seleccione Configuración y, a continuación, haga clic en Prevención de
O bien en el menú Acción
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Análisis en tiempo real.
5
Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.
6
Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos
para procesos de riesgo alto o bajo.
7
•
Configuración estándar: configure los parámetros de análisis en la ficha Estándar.
•
Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgo
bajo) y configure los parámetros de análisis para cada tipo de proceso.
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 27
Configurar parámetros de análisis de ajustes generales en la página 80
Funcionamiento de los análisis en tiempo real
El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de
filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez.
El analizador en tiempo real envía notificaciones a la interfaz del servicio cuando se producen
detecciones.
Cuando se produce un intento de abrir o cerrar un archivo, el analizador intercepta la operación y:
1
El analizador determina si el elemento debe analizarse según estos criterios:
•
La extensión del archivo coincide con la configuración.
•
El archivo no se ha almacenado en caché, excluido ni analizado previamente.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2
82
Si el archivo cumple los criterios de análisis, el analizador lo compara con las firmas que se
encuentran en ese momento en los archivos de AMCore content.
•
Si el archivo está limpio, el resultado se guarda en caché y se garantizan las operaciones de
lectura o escritura.
•
Si el archivo contiene una amenaza, se deniega la operación y el analizador lleva a cabo la
acción configurada.
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1
Utiliza la información en el archivo de AMCore Content cargado en ese momento para limpiar
el archivo.
2
Registra los resultados en el registro de actividades.
3
Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se
debe realizar (limpiar o eliminar el archivo).
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la
Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de
manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema
y remite a la Tienda Windows para una reinstalación.
3
Si el archivo no cumple los requisitos de análisis, el analizador lo almacena en caché y permite la
operación.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint
Security o el sistema.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos
cuando:
•
La configuración de Análisis en tiempo real cambia.
•
Se agrega un archivo Extra.DAT.
Analizar al escribir en disco, leer del disco o dejar que decida McAfee
Puede especificar cuándo debe analizar archivos el analizador en tiempo real: al escribir en disco, al
leer del disco o cuando lo decida McAfee.
McAfee Endpoint Security 10.2
Guía del producto
83
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Cuando se escriben archivos en el disco, el analizador en tiempo real analiza estos archivos:
•
Archivos entrantes escritos en la unidad de disco duro local.
•
Archivos (nuevos, modificados, o copiados o trasladados de una unidad a otra) creados en la
unidad de disco duro local o en una unidad de red asignada (si se ha habilitado).
Cuando se leen archivos del disco, el analizador analiza estos archivos:
•
Archivos salientes que se leen desde la unidad de disco duro local o desde unidades de red
asignadas (si se han habilitado).
•
Los archivos que intenten ejecutar un proceso en la unidad de disco duro local.
•
Archivos abiertos en el disco duro local.
Si opta por que McAfee decida si analizar un archivo, el analizador en tiempo real utiliza la lógica de
confianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el
rendimiento al evitar análisis innecesarios. Por ejemplo, McAfee analiza algunos programas y considera
que son dignos de confianza. Si McAfee verifica que estos programas no han sido manipulados, el
analizador podría llevar a cabo un análisis reducido u optimizado.
Práctica recomendada: Active esta opción para obtener la mejor protección y el mejor rendimiento.
Acerca de ScriptScan
El analizador de scripts de Prevención de amenazas funciona como componente de proxy del Windows
Script Host nativo, e intercepta y analiza los scripts antes de su ejecución.
84
•
Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.
•
Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Exclusiones de ScriptScan
Los sitios web que utilizan muchos scripts y las aplicaciones basadas en la Web podrían experimentar
un rendimiento deficiente cuando ScriptScan está activado. En lugar de desactivar ScriptScan, es
aconsejable especificar exclusiones de URL para sitios de confianza como, por ejemplo, los de una
intranet o aplicaciones web conocidas.
Al crear exclusiones de URL:
•
No utilice caracteres comodín.
•
No incluya números de puerto.
•
Es aconsejable utilizar solo Nombres de dominio completos (FQDN) y nombres de NetBIOS.
En los sistemas Windows Server 2008, las exclusiones de URL de ScriptScan no funcionan con Internet
Explorer a menos que se activen las extensiones de navegador de terceros y se reinicie el sistema.
Consulte el artículo KB69526 de la base de conocimiento.
ScriptScan e Internet Explorer
Con Prevención de amenazas instalado, la primera vez que se inicia Internet Explorer se ofrece la
posibilidad de añadir uno o más complementos de McAfee. Para que ScriptScan analice scripts:
•
Debe estar seleccionada la opción Activar ScriptScan.
•
El complemento debe estar activado en el navegador.
Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará
scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar
ScriptScan para que pueda detectar scripts maliciosos.
Cómo determinar la configuración de análisis para procesos
Siga este procedimiento para determinar si debe configurar opciones distintas basadas en un tipo de
proceso.
McAfee Endpoint Security 10.2
Guía del producto
85
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Configurar Análisis bajo demanda
Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisis
completo, Análisis rápido y Análisis con el botón derecho.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más
opciones de análisis.
86
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Prevención de amenazas en la página Estado principal.
, seleccione Configuración y, a continuación, haga clic en Prevención de amenazas
O, en el menú Acción
en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Análisis bajo demanda.
5
Haga clic en una ficha para configurar ajustes para el análisis especificado.
6
•
Análisis completo
•
Análisis rápido
•
Análisis con el botón derecho del ratón
Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 27
Configurar parámetros de análisis de ajustes generales en la página 80
Configure, planifique y ejecute tareas de análisis en la página 91
Cómo funciona el análisis bajo demanda
El analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otros
elementos en busca de malware que pueda haber infectado el equipo.
Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizar
sistemas manualmente, a una hora programada o cuando el sistema arranca.
1
El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debe
analizar:
•
La extensión del archivo coincide con la configuración.
•
El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizador
utiliza la caché de análisis).
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2
Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas de
malware conocido que se encuentran en ese momento en los archivos de AMCore content.
•
Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba el
siguiente elemento.
•
Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.
McAfee Endpoint Security 10.2
Guía del producto
87
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1
Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiar
el archivo.
2
Registra los resultados en el registro de actividades.
3
Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del
elemento y la acción que se ha realizado.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la
Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de
manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema
y remite a la Tienda Windows para una reinstalación.
3
Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, el
analizador continúa hasta que se han analizado todos los datos.
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando
se carga un Extra.DAT.
Reducción del impacto de los análisis en los usuarios
A fin de minimizar el impacto que tienen los análisis bajo demanda en un sistema, especifique las
opciones de rendimiento a la hora de configurar estos análisis.
Analizar solo cuando el sistema está inactivo
La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los usuarios es ejecutar
el análisis bajo demanda solo cuando el equipo esté inactivo.
88
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Cuando se selecciona esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad
del disco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazas
reanuda el análisis si el usuario no accede al sistema durante tres minutos.
Como opción, puede:
•
Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad del
usuario.
•
Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.
Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los usuarios acceden
mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para
determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante el escritorio
remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para evitar este
problema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Program Files\McAfee
\Agent\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto.
Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la ficha Configuraciónde la
tarea de análisis.
Pausar análisis automáticamente
Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de la
batería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completa
una aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisis
se reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se está
ejecutando en modo de pantalla completa.
Seleccione estas opciones en la sección Rendimiento de la ficha Configuración de la tarea de análisis:
•
No analizar si el sistema funciona mediante la batería
•
No analizar si el sistema está en modo de presentación (disponible cuando se ha seleccionado Analizar en cualquier
momento)
Permitir que los usuarios aplacen los análisis
Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisis
planificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cada
usuario puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, el
usuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horas
máximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción a
cero, el usuario puede seguir aplazando el análisis para siempre.
Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la ficha Configuración de la
tarea de análisis:
Limitar la actividad de análisis con análisis incrementales
Utilice los análisis incrementales o reanudables para limitar cuándo se produce la actividad del análisis
bajo demanda, y analizar igualmente todo el sistema en varias sesiones. Para usar análisis
incrementales, agregue un límite al análisis planificado. El análisis se detiene cuando se alcanza el
límite de tiempo. La próxima vez que se inicia esta tarea, continúa el análisis desde el lugar de la
estructura del archivo y carpeta en que se detuvo el análisis previo.
Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la ficha Planificación de la
tarea de análisis.
McAfee Endpoint Security 10.2
Guía del producto
89
3
Mediante Prevención de amenazas
Administrar Prevención de amenazas
Configuración de la utilización del sistema
La Utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante el
análisis. En los sistemas con actividad por parte del usuario final, establezca el valor de utilización del
sistema en Bajo.
Seleccione Utilización del sistema en la sección Rendimiento de la ficha Configuración de la tarea de
análisis.
Véase también
Configurar Análisis bajo demanda en la página 86
Configure, planifique y ejecute tareas de análisis en la página 91
Funcionamiento de la utilización del sistema
El analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisis
y la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite al
sistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibe
durante el proceso de análisis.
Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto de
aplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuario
final. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finaliza
más rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y poca
actividad del usuario final.
Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Tabla 3-2 Configuración de procesos predeterminada
Configuración de
procesos de Prevención
de amenazas
Esta opción...
parámetro
Windows Set
Priority
Bajo
Proporciona un rendimiento mejorado del resto
de las aplicaciones en ejecución. Seleccione
esta opción para sistemas con actividad del
usuario final.
Bajo
Por debajo de lo normal
Establece la utilización del sistema para el
análisis en el valor predeterminado de McAfee
ePO.
Por debajo de lo
normal
Normal (predeterminado)
Permite que el análisis finalice más rápido.
Normal
Seleccione esta opción para sistemas que tienen
grandes volúmenes y poca actividad del usuario
final.
Cómo funciona el análisis de Almacenamiento remoto
Puede configurar el analizador bajo demanda para que analice el contenido de los archivos
gestionados por Almacenamiento remoto.
El Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando
resulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivos
pertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta.
Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recupera
automáticamente los datos del dispositivo de almacenamiento.
Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo
demanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el
analizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes del
análisis.
90
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Administrar Prevención de amenazas
3
Para obtener más información, consulte Qué es el Almacenamiento remoto.
Configure, planifique y ejecute tareas de análisis
Puede planificar las tareas Análisis completo y Análisis rápido, o crear tareas de análisis personalizadas
desde Cliente de Endpoint Security en la configuración de Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
En el menú Acción
3
Haga clic en Mostrar avanzado.
4
En Ajustes generales, haga clic en Tareas.
5
Configure los ajustes de la tarea de análisis en la página.
, seleccione Configuración.
Para...
Siga estos pasos
Crear una tarea de
análisis personalizada.
1 Haga clic en Agregar.
2 Introduzca el nombre, seleccione Análisis personalizado en la lista
desplegable y haga clic en Siguiente.
3 Configure los ajustes de la tarea de análisis y haga clic en Aceptar para
guardar la tarea.
Cambiar una tarea de
análisis.
• Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar
para guardarla.
Eliminar una tarea de
análisis personalizada.
• Seleccione la tarea y haga clic en Eliminar.
Crear una copia de una
tarea de análisis.
1 Seleccione la tarea y haga clic en Duplicar.
McAfee Endpoint Security 10.2
2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar para
guardar la tarea.
Guía del producto
91
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Para...
Siga estos pasos
Cambiar la planificación
de una tarea de Análisis
completo o Análisis rápido.
1 Haga doble clic en Análisis completo o Análisis rápido.
2 Haga clic en la ficha Planificación, modifique la planificación y haga clic
en Aceptar para guardar la tarea.
Solo puede configurar parámetros de tarea de Análisis completo y Análisis
rápido en sistemas autogestionados.
De forma predeterminada, la ejecución del análisis completo está
planificada el miércoles a las 12 de la noche. La ejecución del análisis
rápido está planificada cada día a las 19 horas. Las planificaciones están
activadas.
Ejecutar una tarea de
análisis.
• Seleccione la tarea y haga clic en Ejecutar ahora.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el
botón cambia a Ver.
Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint
Security le pide confirmación para guardar la configuración.
6
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 27
Configurar Análisis bajo demanda en la página 86
Ejecución de un Análisis completo o un Análisis rápido en la página 58
Referencia de la interfaz de cliente: Prevención de amenazas
Los temas de ayuda de referencia de la interfaz proporcionan ayuda según el contexto para las
páginas de la interfaz de cliente.
Contenido
Página Poner en cuarentena
Prevención de amenazas: Protección de acceso
Prevención de amenazas: Prevención de exploit
Prevención de amenazas: Análisis en tiempo real
Página Prevención de amenazas: Análisis bajo demanda
Ubicaciones de análisis
McAfee GTI
Acciones
Agregar exclusión o Editar exclusión
Prevención de amenazas: Opciones
Revertir AMCore Content
92
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
3
Página Poner en cuarentena
Administre los elementos en cuarentena.
Tabla 3-3
Opciones
Opción
Definición
Eliminar
Elimina los eventos seleccionados de la cuarentena.
Los archivos eliminados no se pueden restaurar.
Restaura elementos de la cuarentena.
Restaurar
Endpoint Security restaura los elementos a su ubicación original y los quita de la
cuarentena.
Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a la
cuarentena inmediatamente.
Volver a analizar Vuelve a analizar elementos en la cuarentena.
Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicación
original y lo quita de la cuarentena.
Encabezados de las
columnas
Ordena la lista de cuarentena por...
Nombre de detección
Nombre de la detección.
Tipo
Tipo de amenaza; por ejemplo, Troyano o Adware.
Hora de cuarentena
La cantidad de tiempo que el elemento ha estado en cuarentena.
Número de objetos
El número de objetos en la detección.
Versión de AMCore Content
El número de versión de AMCore Content que identifica la amenaza.
Volver a analizar estado
El estado del nuevo análisis, si el elemento se ha vuelto a analizar:
• Limpio: el nuevo análisis no ha detectado amenazas.
• Infectado: Endpoint Security ha detectado una amenaza al volver a
analizar.
Véase también
Administrar elementos en cuarentena en la página 62
Nombres de detecciones en la página 64
Repetición de análisis de elementos en cuarentena en la página 65
Prevención de amenazas: Protección de acceso
Proteja los puntos de acceso del sistema de acuerdo con las reglas configuradas.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.
La protección de acceso compara una acción solicitada con una lista de reglas configuradas y actúa
según la regla.
Práctica recomendada: Para obtener información sobre cómo crear reglas de Protección de acceso
prevenir ransomware, consulte PD25203.
Tabla 3-4
Opciones
Sección
Opción
Definición
PROTECCIÓN DE ACCESO
Activar protección de acceso
Activa la función Protección de acceso.
McAfee Endpoint Security 10.2
Guía del producto
93
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-5 Opciones avanzadas
Sección
Exclusiones
Opción Descripción
Permite el acceso a los procesos especificados, también llamados ejecutables,
para todas las reglas.
• Agregar: Agrega un proceso a la lista de exclusión.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
Reglas
Configura reglas de protección de acceso.
Puede activar, desactivar y cambiar las reglas definidas por McAfee, pero no
puede eliminar estas reglas.
• Agregar: crea una regla personalizada y la agrega a la lista.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
• (Solo) Bloquear: Bloquea los intentos de acceso sin registro.
• (Solo) Informar: advierte sobre los intentos de acceso sin bloquear.
• Bloquear e informar: bloquea y registra los intentos de acceso.
Práctica recomendada: Si no se conoce la repercusión total de una regla,
seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los
intentos de acceso. Para determinar si se debe bloquear el acceso, supervise los
registros e informes.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
Véase también
Configuración de reglas de Protección de acceso definidas por McAfee en la página 69
Configuración de las reglas de Protección de acceso definidas por el usuario en la página 73
Agregar regla o Editar regla en la página 94
Acerca de las reglas de Protección de acceso definidas por McAfee en la página 70
Agregar regla o Editar regla
Agregue o edite reglas de protección de acceso definidas por el usuario.
94
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-6
3
Opciones
Sección Opción
Definición
Opciones
Nombre
Especifica o indica el nombre de la regla. (Obligatorio)
Acción
Especifica acciones para la regla.
• (Solo) Bloquear: bloquea los intentos de acceso sin registro.
• (Solo) Informar: advierte sobre los intentos de acceso sin bloquear.
• Bloquear e informar: Bloquea y registra los intentos de acceso.
Práctica recomendada: Si no se conoce la repercusión total de una regla,
seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los
intentos de acceso. Para determinar si se debe bloquear el acceso, supervise los
registros e informes.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera
fila.
Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
Ejecutables
Especifica ejecutables para la regla.
• Agregar: crea un nuevo ejecutable y lo agrega a la lista.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre
Incluir y Excluir.
Nombres de
usuario
Especifica los nombres de usuario a los que se aplica la regla (solo para reglas
definidas por el usuario).
• Agregar: Selecciona un nombre de usuario y lo añade a la lista.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre
Incluir y Excluir.
Subreglas
Configura subreglas (solo para reglas definidas por el usuario).
• Agregar: Crea una subregla y la agrega a la lista.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
Notas
Proporciona más información sobre el elemento.
Véase también
Agregar ejecutable o Editar ejecutable en la página 104
Agregar Nombre de usuario o Editar Nombre de usuario en la página 96
Agregar subregla o Editar subregla en la página 96
McAfee Endpoint Security 10.2
Guía del producto
95
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Agregar Nombre de usuario o Editar Nombre de usuario
Agregue o edite el usuario al que se aplica la regla (solo para reglas definidas por el usuario).
Tabla 3-7
Opciones
Opción
Definición
Nombre
Especifica el nombre de usuario al que se aplica la regla.
Utilice el siguiente formato para especificar el usuario:
• Usuario local. Entre las entradas válidas se incluyen:
<nombre_máquina>\<nombre_usuario_local>
.\<nombre_usuario_local>
.\administrator (para el administrador local)
• Usuario del dominio: <nombre dominio>\<nombre_usuario dominio>
• Sistema local: Local\Sistema especifica la cuenta de NT AUTHORITY\System del
sistema.
Estado de
inclusión
Determina el estado de inclusión para el usuario.
• Incluir: Activa la regla si el usuario especificado ejecuta el ejecutable que infringe una
subregla.
• Excluir: No activa la regla si el usuario especificado ejecuta el ejecutable que infringe
una subregla.
Véase también
Agregar regla o Editar regla en la página 94
Agregar subregla o Editar subregla
Agrega o edita una subregla (solo para reglas definidas por el usuario).
Tabla 3-8
Sección
Opciones
Opción
Definición
Descripción Nombre
Especifica el nombre de la subregla.
Propiedades Tipo de
subregla
Especifica el tipo de subregla.
Al cambiar el tipo de subregla, se eliminan las entradas definidas con
anterioridad en la tabla de destinos.
• Archivos: protege un archivo o directorio. Por ejemplo, cree una regla
personalizada para bloquear o informar si se intenta eliminar una hoja de
Excel con información confidencial.
• Clave de Registro: protege la clave especificada. La clave de Registro es el
contenedor del valor de Registro. Por ejemplo: HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
• Valor de Registro: Protege el valor especificado. Los valores de registro se
almacenan en las claves de registro y se hace referencia a ellos por
separado de las claves de registro. Por ejemplo: HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.
• Procesos: protege los procesos especificados. Por ejemplo, cree una regla
personalizada para bloquear intentos de operaciones de un proceso o para
informar sobre ello.
96
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-8
Sección
Opciones (continuación)
Opción
Definición
Operaciones
Indica las operaciones permitidas con el tipo de subregla. Debe seleccionar
como mínimo una operación para aplicar a la subregla.
Práctica recomendada: Para evitar que el rendimiento se vea afectado, no
seleccione la operación Leer.
• Archivos:
• Cambiar atributos ocultos o de solo lectura: bloquea o informa de los cambios de
estos atributos de los archivos en la carpeta especificada.
• Crear: bloquea o informa de la creación de archivos en la carpeta
especificada.
• Eliminar: bloquea o informa de la eliminación de archivos en la carpeta
especificada.
• Ejecutar: bloquea o informa de la ejecución de archivos en la carpeta
especificada.
• Cambiar permisos: bloquea o informa de los cambios de la configuración de
permisos de los archivos en la carpeta especificada.
• Lectura: bloquea o informa del acceso de lectura a los archivos
especificados.
• Renombrar: Bloquea o informa del intento de cambiar el nombre a los
archivos especificados.
McAfee Endpoint Security 10.2
Guía del producto
97
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-8
Sección
Opciones (continuación)
Opción
Definición
Si se especifica el destino del Archivo de destino, Cambiar nombre es la única
operación válida.
• Escritura: Bloquea o informa del acceso de escritura a los archivos
especificados.
• Clave de Registro:
• Escritura: bloquea o informa del acceso de escritura a la clave
especificada.
• Crear: bloquea o informa de la creación de la clave especificada.
• Eliminar: bloquea o informa de la eliminación de la clave especificada.
• Lectura: bloquea o informa del acceso de lectura a la clave especificada.
• Enumerar: bloquea o informa de la enumeración de las subclaves de la
clave de Registro especificada.
• Cargar: bloquea o informa de la posibilidad de descargar la clave de
Registro especificada y sus subclaves del Registro.
• Sustituir: bloquea o informa de la posibilidad de reemplazar la clave de
Registro especificada y sus subclaves con otro archivo.
• Restaurar: bloquea o informa de la posibilidad de guardar información de
Registro en un archivo especificado y copia la clave especificada.
• Cambiar permisos: bloquea o informa de los cambios de la configuración de
permisos de la clave de Registro especificada y de sus subclaves.
• Valor de Registro:
• Escritura: bloquea o informa del acceso de escritura al valor especificado.
• Crear: bloquea o informa de la creación del valor especificado.
• Eliminar: bloquea o informa de la eliminación del valor especificado.
• Lectura: bloquea o informa del acceso de lectura al valor especificado.
• Procesos:
• Cualquier acceso: Bloquea o informa del inicio de un proceso con cualquier
acceso.
• Crear subproceso: Bloquea o informa del inicio de un proceso con acceso
para crear un subproceso.
• Modificar: Bloquea o informa del inicio de un proceso con acceso para
modificar.
• Finalizar: Bloquea o informa del inicio de un proceso con acceso para
terminar.
• Ejecutar: Bloquea o informa de la ejecución del archivo ejecutable de
destino especificado.
Debe agregar, al menos, un archivo ejecutable de destino a la subregla.
En el caso de la operación Ejecutar, se genera un evento cuando se intenta
ejecutar el proceso de destino. En el caso de las demás operaciones, se
genera un evento cuando el destino está abierto.
Destinos
98
• Agregar: especifica los destinos de la regla. Los destinos varían según la
selección de tipo de regla. Debe añadir, al menos, un destino a la subregla.
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-8
Sección
3
Opciones (continuación)
Opción
Definición
Haga clic en Agregar, seleccione el estado de inclusión e introduzca o
seleccione el destino que va a incluir o excluir.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
Véase también
Agregar regla o Editar regla en la página 94
Destinos en la página 100
Agregar ejecutable o Editar ejecutable en la página 104
McAfee Endpoint Security 10.2
Guía del producto
99
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Destinos
Especifican la definición y el estado de inclusión para un destino.
Tabla 3-9
Opciones
Sección Opción
Definición
Destinos
Determina si el destino es compatible con la subregla. También especifica
el estado de inclusión para el destino.
• Incluir: indica que la subregla puede coincidir con el destino
especificado.
• Excluir: indica que la subregla no debe coincidir con el destino
especificado.
Si ha
Especifica el nombre del archivo, el nombre de la carpeta, la ruta o el tipo
seleccionado el de unidad de destino para una subregla de Archivos.
tipo de subregla
• Ruta de archivo: Busque y seleccione el archivo seleccionado.
de Archivos...
• Archivo de destino: Busque y seleccione el nombre o la ruta del archivo de
destino para realizar la operación Renombrar.
Si se ha seleccionado el destino del archivo de destino, (solo) la opción
Renombrar debe estar seleccionada.
• Tipo de unidad: Seleccione el tipo de unidad de destino en la lista
desplegable:
• Extraíble: Archivos de una unidad USB o de otra unidad extraíble
conectada al puerto USB, incluidas las que disponen de Windows To
100
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-9
3
Opciones (continuación)
Sección Opción
Definición
Go. En este tipo de unidad, no se incluyen los archivos de un CD,
DVD o disquete.
Al bloquear este tipo de unidad, también se bloquean las unidades
con Windows To Go.
• Red: Archivos de la red compartida
• Fija: archivos del disco duro local o de otro disco duro fijo
• CD/DVD: archivos de un CD o DVD
• Disquete: archivos de una unidad de disquete
Puede utilizar ?, * y ** como caracteres comodín.
Prácticas recomendadas de destino de subregla de archivos
Por ejemplo, para proteger:
• Un archivo o carpeta llamado c:\testap, utilice un destino c:\testap o c:
\testap\
• El contenido de una carpeta, utilice el asterisco como carácter comodín
(c:\testap\*)
• El contenido de una carpeta y de sus subcarpetas, utilice dos asteriscos
(c:\testap\**)
Se admiten las variables de entorno del sistema. Las variables de entorno
se pueden especificar en uno de estos formatos:
• $(EnvVar) - $(SystemDrive), $(SystemRoot)
• %EnvVar% - %SystemRoot%, %SystemDrive%
No todas las variables de entorno definidas por el sistema son accesibles
mediante la sintaxis $(var), específicamente las que contienen los
caracteres or. Para evitar este problema, puede usar la sintaxis %var%.
No se admiten variables de entorno del usuario.
McAfee Endpoint Security 10.2
Guía del producto
101
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-9
Opciones (continuación)
Sección Opción
Definición
Si ha
Define las claves de registro mediante claves raíz. Se admiten estas
seleccionado el claves raíz:
tipo de subregla
• HKLM o HKEY_LOCAL_MACHINE
Clave de Registro...
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/
SYSTEM/ControlSet00X
• HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a
HKLM/Software/Wow6432Node solo en sistemas de 64 bits
• HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a
HKCU/Software/Wow6432Node solo en sistemas de 64 bits
• HKULM tratada como HKLM y HKCU
• HKULMS tratada como HKLMS y HKCUS
• HKALL tratada como HKLM y HKU
Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical)
como carácter de escape.
Prácticas recomendadas de destino de subregla de clave de
registro
Por ejemplo, para proteger:
• Una clave del registro denominada HKLM\SOFTWARE\testap, utilice un
destino HKLM\SOFTWARE\testap o HKLM\SOFTWARE\testap\
• El contenido de una clave de registro, utilice el asterisco como carácter
comodín (HKLM\SOFTWARE\testap\*)
• El contenido de una clave de registro y de sus subclaves, utilice dos
asteriscos (HKLM\SOFTWARE\testap\**)
• Las claves de registro y los valores de una clave de registro, permiten
la operación Escribir
102
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-9
3
Opciones (continuación)
Sección Opción
Definición
Si ha
Define los valores de registro mediante claves raíz. Se admiten estas
seleccionado el claves raíz:
tipo de subregla
• HKLM o HKEY_LOCAL_MACHINE
Valor de Registro...
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/
SYSTEM/ControlSet00X
• HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a
HKLM/Software/Wow6432Node solo en sistemas de 64 bits
• HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a
HKCU/Software/Wow6432Node solo en sistemas de 64 bits
• HKULM tratada como HKLM y HKCU
• HKULMS tratada como HKLMS y HKCUS
• HKALL tratada como HKLM y HKU
Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical)
como carácter de escape.
Prácticas recomendadas de destino de subregla de valor de
registro
Por ejemplo, para proteger:
• Un valor de registro llamado HKLM\SOFTWARE\testap, utilice un
destino HKLM\SOFTWARE\testap
• Los valores de registro de una clave de registro, utilice un asterisco
como carácter comodín (HKLM\SOFTWARE\testap\*)
• Los valores de registro de una clave de registro y de sus subclaves,
utilice dos asteriscos (HKLM\SOFTWARE\testap\**)
Si ha
Especifica el nombre de archivo o la ruta, el hash MD5 o el destino del
seleccionado el firmante para una subregla Procesos.
tipo de subregla Puede utilizar ?, *, y ** como caracteres comodín para todos excepto
de Procesos...
para hash MD5.
Prácticas recomendadas de destino de subregla de procesos
Por ejemplo, para proteger:
• Un proceso denominado c:\testap.exe, utilice una ruta o un nombre de
archivo de destino c:\testap.exe
• Todos los procesos de una carpeta, utilice el asterisco como carácter
comodín (c:\testap\*)
• Todos los procesos de una carpeta y de sus subcarpetas, utilice dos
asteriscos (c:\testap\**)
Véase también
Agregar subregla o Editar subregla en la página 96
McAfee Endpoint Security 10.2
Guía del producto
103
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Agregar ejecutable o Editar ejecutable
Agregar o editar un ejecutable para excluir o incluir.
Para la protección de acceso de Prevención de amenazas, puede excluir ejecutables en el nivel de la
directiva o bien incluirlos o excluirlos en el nivel de la regla. Para la Contención dinámica de
aplicaciones de Inteligencia de amenazas, puede excluir ejecutables en el nivel de la directiva.
Al especificar exclusiones e inclusiones, tenga en cuenta lo siguiente:
•
Debe especificar, al menos, un identificador: Ruta o nombre de archivo, Hash MD5 o Firmante.
•
Si especifica más de un identificador, se aplicarán todos los identificadores.
•
Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash
MD5 no se aplican al mismo archivo), ni la exclusión ni la inclusión son válidas.
•
En las exclusiones y las inclusiones se distingue entre mayúsculas y minúsculas.
•
Se aceptan caracteres comodín para todo excepto para hash MD5.
Tabla 3-10
Opciones
Opción
Definición
Nombre
Especifica el nombre que le da al ejecutable.
Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo, Hash
MD5 o Firmante.
Estado de
inclusión
Determina el estado de inclusión para el ejecutable.
• Incluir: Activa la regla si el ejecutable infringe una subregla.
• Excluir: No activa la regla si el ejecutable infringe una subregla.
El Estado de inclusión solo aparece en Protección de acceso de Prevención de amenazas
cuando se añade un ejecutable a una regla o al destino de la subregla Procesos.
Ruta o nombre
de archivo
Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
Hash MD5
104
Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-10
3
Opciones (continuación)
Opción
Definición
Firmante
Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado
desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.
• Firmado por: Permite solo los archivos firmados por el firmante del proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente
con las entradas en el campo adjunto, incluidos comas y espacios.
El firmante del proceso aparece en el formato correcto en los eventos del Cliente de
Endpoint Security de Cliente de Endpoint Security y en el Registro de eventos de
amenazas de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3 En la ficha General haga clic en Ver certificado.
4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del firmante
aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del
firmante:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
Notas
Proporciona más información sobre el elemento.
Véase también
Agregar regla o Editar regla en la página 94
Prevención de amenazas: Prevención de exploit
Active y configure Prevención de vulnerabilidades para impedir que las vulnerabilidades de
desbordamiento del búfer ejecuten código arbitrario en el equipo.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security 10.2. Si
McAfee Host IPS está activado, se desactiva Prevención de exploit aunque esté activada en la
configuración de la directiva.
McAfee Endpoint Security 10.2
Guía del producto
105
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-11
Opciones
Sección
Opción
Definición
PREVENCIÓN DE EXPLOIT Activar Prevención de exploit Activa la función Prevención de exploit.
Si no se activa esta opción, el sistema quedará
desprotegido ante los ataques de malware.
Tabla 3-12 Opciones avanzadas
Sección
Opción
Definición
Especifica el nivel de protección de Prevención de exploit.
Nivel de
protección
Estándar
Detecta y bloquea solo exploits de desbordamiento del búfer de gravedad
alta identificados en el archivo de contenido de prevención de exploit y
detiene el subproceso detectado.
Usa la función en el modo Estándar durante un tiempo breve. Revise el archivo
de registro durante ese tiempo para determinar si cambiar al nivel de
protección Máximo.
Máximo
Detecta y bloquea los exploits de desbordamiento del búfer de gravedad alta
y mediana que se han identificado en el archivo de contenido de prevención
de exploits y detiene la amenaza detectada.
Este parámetro puede producir falsos positivos.
Prevención
genérica de la
escalación de
privilegios
Activar la
Prevención
genérica de
la escalación
de privilegios
Activa el soporte de la Prevención genérica de la escalación de privilegios
(GPEP). (Opción desactivada de forma predeterminada)
GPEP usa firmas GPEP en el contenido de prevención de exploit para ofrecer
cobertura a los exploits de la escalación de privilegios en el modo kernel y el
modo de usuario.
Debido a que GPEP podría generar informes de falsos positivos, esta opción
está desactivada de forma predeterminada.
Prevención
de ejecución
de datos de
Windows
Activar la
Prevención
de ejecución
de datos de
Windows
Activa la integración de la Prevención de ejecución de datos de Windows
(DEP). (Opción desactivada de forma predeterminada)
Seleccione esta opción para:
• Activar DEP para aplicaciones de 32 bits en la lista de protección de
aplicaciones de McAfee, si aún no está activada, y utilizarla en lugar de
protección genérica contra desbordamiento del búfer (GBOP).
La validación del autor de la llamada y la supervisión de API dirigida siguen
implementadas.
• Supervisar las detecciones de DEP en aplicaciones de 32 bits con DEP
activado.
• Supervisar las detecciones de DEP en aplicaciones de 64 bits de la lista de
protección de aplicaciones de McAfee.
• Registrar las detecciones de DEP y enviar un evento a McAfee ePO.
La desactivación de esta opción no afecta a ningún proceso que tenga la
Prevención de ejecución de datos activada como resultado de esta directiva
de Windows.
Acción
Especifica las acciones Bloquear o Informar para Prevención de exploit.
La configuración de los informes no se aplica si está activada la Prevención
de ejecución de datos de Windows.
106
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-12 Opciones avanzadas (continuación)
Sección
Opción
Definición
Bloquear
Bloquea el proceso especificado. Seleccione Bloquear para activar Prevención
de exploit o anule la selección para desactivar Prevención de exploit.
Para bloquear los intentos de acceso sin registrarlos, seleccione Bloquear pero
no seleccione Informe.
Informar
Activa los informes sobre los intentos de infracción de prevención de exploit.
Cuando se detecta una infracción, la información se incluye en el registro de
actividades.
Práctica recomendada: Si no se conoce la repercusión total de una regla,
seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los
intentos de acceso. Para determinar si se debe bloquear el acceso, supervise
los registros e informes.
Exclusiones
Especifica el proceso, el módulo del autor de la llamada o la API para excluir.
Las exclusiones con el Módulo autor de llamada o la API no se aplican a la
Prevención de ejecución de datos.
• Agregar: crea una exclusión y la agrega a la lista.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
Véase también
Configurar Prevención de exploit en la página 77
Agregar exclusión o Editar exclusión en la página 107
Agregar exclusión o Editar exclusión
Agregue o edite exclusiones de Prevención de exploit.
Debe especificar, al menos, uno de los siguientes elementos: un proceso, un módulo de autor de llamada o
una API. Las exclusiones con el Módulo autor de llamada o la API no se aplican a la Prevención de
ejecución de datos.
Al especificar exclusiones, tenga en cuenta lo siguiente:
•
Debe especificar, al menos, un identificador: Ruta o nombre de archivo, Hash MD5 o Firmante.
•
Si especifica más de un identificador, todos los identificadores se aplicarán a la exclusión.
•
Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash
MD5 no se aplican al mismo archivo), la exclusión no es válida.
•
Las exclusiones distinguen entre mayúsculas y minúsculas.
•
Se aceptan caracteres comodín para todo excepto para hash MD5.
McAfee Endpoint Security 10.2
Guía del producto
107
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-13
Opciones
Sección
Opción
Definición
Proceso
Nombre
Especifica el nombre del proceso que se va a excluir. La prevención de
exploit excluye el proceso, sea cual sea su ubicación.
Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de
archivo, Hash MD5 o Firmante.
Ruta o nombre Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o
de archivo
editar.
Haga clic en Examinar para seleccionar el ejecutable.
Hash MD5
Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Firmante
Activar comprobación de firma digital : Garantiza que el código no se ha alterado o
dañado desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante
de proceso.
• Firmado por: Permite solo los archivos firmados por el firmante del proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir
exactamente con las entradas en el campo adjunto, incluidos comas y
espacios.
El firmante del proceso aparece en el formato correcto en los eventos del
Cliente de Endpoint Security de Cliente de Endpoint Security y en el
Registro de eventos de amenazas de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,
OU=MOPR, CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3 En la ficha General haga clic en Ver certificado.
4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del
firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre
distintivo del firmante:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
Módulo autor
de llamada
Nombre
Especifica el nombre del módulo al que pertenece la memoria con permiso
de escritura que realiza la llamada.
Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de
archivo, Hash MD5 o Firmante.
Ruta o nombre Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o
de archivo
editar.
Haga clic en Examinar para seleccionar el ejecutable.
Hash MD5
108
McAfee Endpoint Security 10.2
Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-13
Sección
Opciones (continuación)
Opción
Definición
Firmante
Activar comprobación de firma digital : Garantiza que el código no se ha alterado o
dañado desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante
de proceso.
• Firmado por: Permite solo los archivos firmados por el firmante del proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir
exactamente con las entradas en el campo adjunto, incluidos comas y
espacios.
El firmante del proceso aparece en el formato correcto en los eventos del
Cliente de Endpoint Security de Cliente de Endpoint Security y en el
Registro de eventos de amenazas de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,
OU=MOPR, CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3 En la ficha General haga clic en Ver certificado.
4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del
firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre
distintivo del firmante:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
API
Nombre
Especifica el nombre de la API (interfaz de programación de aplicaciones) a
la que se llama.
Notas
Proporciona más información sobre el elemento.
Véase también
Prevención de amenazas: Prevención de exploit en la página 105
Exclusión de procesos de Prevención de exploit en la página 78
Prevención de amenazas: Análisis en tiempo real
Active y configure el análisis en tiempo real.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.
McAfee Endpoint Security 10.2
Guía del producto
109
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-14
Opciones
Sección
Opción
Definición
ANÁLISIS EN
TIEMPO REAL
Activar análisis en
tiempo real
Activa la función Análisis en tiempo real.
Activar análisis en
tiempo real al iniciar
el sistema
Activa la función Análisis en tiempo real cada vez que se inicia el
equipo.
Especificar el
número máximo de
segundos para el
análisis de los
archivos
Limita el análisis de cada archivo al número especificado de
segundos.
(Opción activada de forma predeterminada)
(Opción activada de forma predeterminada)
(Opción activada de forma predeterminada)
El valor predeterminado es 45 segundos.
Si un análisis excede el límite de tiempo, se detiene y se registra un
mensaje.
Analizar sectores de Analiza el sector de arranque del disco.
arranque
(Opción activada de forma predeterminada)
Práctica recomendada: Desactive el análisis del sector de
arranque cuando el disco contenga un sector de arranque único o
poco común que no se pueda analizar.
Analizar los
Vuelve a analizar todos los procesos que se encuentran en memoria
procesos al iniciar
cada vez que:
servicios y actualizar
• Vuelve a activar análisis en tiempo real.
contenido
• Los archivos de contenido se actualizan.
• El sistema se inicia.
• Se inicia el proceso McShield.exe.
Práctica recomendada: Como algunos programas o ejecutables se
inician automáticamente al iniciar el sistema, desactive esta opción
para reducir el tiempo de inicio del sistema.
(Opción desactivada de forma predeterminada)
Cuando se activa el analizador en tiempo real, este analiza siempre
todos los procesos cuando se ejecutan.
Analizar instaladores Analiza los archivos MSI (instalados por msiexec.exe y firmados por
de confianza
McAfee o Microsoft) o los archivos del servicio Instalador de
confianza de Windows.
(Opción desactivada de forma predeterminada)
Práctica recomendada: Desactive esta opción para mejorar el
rendimiento de los instaladores de aplicaciones de Microsoft de gran
tamaño.
110
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-14
Sección
Opciones (continuación)
Opción
Definición
Analizar al copiar
entre carpetas
locales
Analiza los archivos cuando el usuario copia de una carpeta local a
otra.
Si esta opción está:
• Desactivada: solo se analizan los elementos de la carpeta de
destino.
• Desactivada: se analizan los elementos tanto en la carpeta de
origen (lectura) como en la de destino (escritura).
(Opción desactivada de forma predeterminada)
Activa y define la configuración de McAfee GTI.
McAfee GTI
ScriptScan
Activar ScriptScan
Activa el análisis de scripts JavaScript y VBScript para impedir que se
ejecuten scripts no deseados.
(Opción activada de forma predeterminada)
Si ScriptScan está desactivado al iniciar Internet Explorer y, a
continuación, se activa, no detectará scripts maliciosos en esa
instancia de Internet Explorer. Deberá reiniciar Internet Explorer
tras activar ScriptScan para que pueda detectar scripts maliciosos.
Excluir estas URL
Especifica exclusiones de ScriptScan por URL.
Agregar: agrega una URL a la lista de exclusiones.
Eliminar : quita una URL de la lista de exclusiones.
Las URL no pueden incluir caracteres comodín. Sin embargo,
cualquier URL que contenga una cadena de una URL excluida
también se excluirá. Por ejemplo, si se excluye la URL msn.com,
también se excluirán las siguientes URL:
• http://weather.msn.com
• http://music.msn.com
En los sistemas Windows Server 2008, las exclusiones de URL de
ScriptScan no funcionan con Internet Explorer a menos que se
activen las extensiones de navegador de terceros y se reinicie el
sistema. Consulte el artículo KB69526 de la base de conocimiento.
McAfee Endpoint Security 10.2
Guía del producto
111
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-15 Opciones avanzadas
Sección
Opción
Definición
Mensajería de
usuario de
detección de
amenazas
Mostrar la ventana de
análisis en tiempo real a los
usuarios cuando se detecta
una amenaza
Muestra la página de Análisis en tiempo real con el mensaje
especificado a los usuarios cliente cuando se produce una
detección.
(Opción activada de forma predeterminada)
Cuando se selecciona esta opción, los usuarios pueden abrir
esta página desde la página Analizar ahora en cualquier
momento en que la lista de detecciones incluya al menos
una amenaza.
La lista de detecciones del análisis en tiempo real se borra
cuando se reinicia el servicio de Endpoint Security o el
sistema.
Mensaje
Especifica el mensaje que se mostrará a los usuarios cliente
cuando se produzca una detección.
El mensaje predeterminado es: McAfee Endpoint Security ha
detectado una amenaza.
Configuración de
procesos
Usar la configuración
Estándar para todos los
procesos
Aplica la misma configuración a todos los procesos cuando
se realiza un análisis en tiempo real.
Configurar opciones
distintas para procesos de
Riesgo alto y Riesgo bajo
Configura diferentes parámetros de análisis para cada tipo
de proceso que se identifique.
Estándar
Configura parámetros de procesos que no se identifican
como de riesgo alto o bajo.
(Opción activada de forma predeterminada)
Análisis
Riesgo alto
Configura parámetros de procesos que son de riesgo alto.
Riesgo bajo
Configura parámetros de procesos que son de riesgo bajo.
Agregar
Agrega un proceso a la lista Riesgo alto o Riesgo bajo.
Eliminar
Quita un proceso de la lista Riesgo alto o Riesgo bajo.
Cuándo analizar
Al escribir en el disco
Intenta analizar todos los archivos a medida que se escriban
o se cambien en el equipo o en otro dispositivo de
almacenamiento de datos.
Al leer el disco
Analiza todos los archivos a medida que se leen en el equipo
o en otro dispositivo de almacenamiento de datos.
Dejar que McAfee decida
Permite que McAfee decida si se debe analizar un archivo
mediante la lógica de confianza para optimizar el análisis.
La lógica de confianza mejora la seguridad y aumenta el
rendimiento al evitar análisis innecesarios.
Práctica recomendada: Active esta opción para obtener
la mejor protección y el mejor rendimiento.
No analizar al leer o escribir
en el disco
Especifica que no se analicen procesos de Riesgo bajo.
Qué analizar
112
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-15 Opciones avanzadas (continuación)
Sección
Opción
Definición
Todos los archivos
Analiza todos los archivos, independientemente de su
extensión.
Si no se activa Todos los archivos, el sistema es vulnerable
ante ataques de malware.
Tipos de archivo
predeterminados y
especificados
Análisis:
• La lista predeterminada de extensiones de archivos
definida en el archivo de AMCore Content actual, incluidos
los archivos sin extensión.
• Las extensiones de archivos adicionales que especifique
Separe las extensiones con una coma.
• (Opcional) Amenazas de macros conocidas en la lista de
extensiones de archivo predeterminadas y especificadas
Solo tipos de archivos
especificados
Analiza una de las opciones siguientes o ambas:
• Solo los archivos con las extensiones (separadas por
comas) que especifique
• Todos los archivos sin extensión
En unidades de red
Analiza recursos en unidades de red asignadas.
Práctica recomendada: Desactive esta opción para
mejorar el rendimiento.
Abierto para copia de
seguridad
Analiza los archivos al acceder mediante el software de
copia de seguridad.
Práctica recomendada: En la mayoría de los entornos,
no se necesita activar esta configuración.
Archivos de
almacenamiento
comprimidos
Examina el contenido de archivos de almacenamiento
(comprimidos), incluidos los archivos .jar.
El análisis de archivos comprimidos puede afectar
negativamente al rendimiento del sistema.
Archivos comprimidos
codificados mediante MIME
Detecta, descodifica y analiza archivos cifrados con
extensiones Multipurpose Internet Mail Extensions (MIME).
Opciones de análisis adicionales
Detectar programas no
deseados
Permite que el analizador detecte programas
potencialmente no deseados.
El analizador utiliza la información que ha configurado en los
parámetros de Prevención de amenazas de Prevención de
amenazas para detectar programas potencialmente no
deseados.
Acciones
McAfee Endpoint Security 10.2
Detectar amenazas de
programas desconocidos
Utiliza McAfee GTI para detectar archivos ejecutables que
tengan código similar al malware.
Detectar amenazas de
macros desconocidas
Utiliza McAfee GTI para detectar virus de macros
desconocidos.
Especifica cómo responde el analizador cuando detecta una
amenaza.
Guía del producto
113
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-15 Opciones avanzadas (continuación)
Sección
Opción
Definición
Especifica archivos, carpetas y unidades que excluir del
análisis.
Exclusiones
Agregar
Agrega un elemento a la lista de exclusión.
Eliminar
Quita un elemento de la lista de exclusión.
Véase también
Configure Análisis en tiempo real en la página 81
McAfee GTI en la página 119
Acciones en la página 120
Agregar exclusión o Editar exclusión en la página 122
Página Prevención de amenazas: Análisis bajo demanda
Defina la configuración de Análisis bajo demanda para los análisis personalizados y preconfigurados
que se ejecutan en el sistema.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.
Estos parámetros especifican el comportamiento del analizador al:
•
Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Cliente de Endpoint Security.
•
Como administrador, ejecutar una tarea de análisis bajo demanda desde Configuración | Ajustes
generales | Tareas desde Cliente de Endpoint Security.
•
Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca de
amenazas en el menú emergente.
Tabla 3-16
Opciones
Sección
Opción
Definición
Qué analizar
Sectores de arranque
Analiza el sector de arranque del disco.
Práctica recomendada: Desactive el análisis del sector de
arranque cuando el disco contenga un sector de arranque único
o poco común que no se pueda analizar.
Archivos que se han
migrado al
almacenamiento
Analiza archivos que gestiona el Almacenamiento remoto.
Algunas soluciones de almacenamiento de datos offline sustituyen
archivos con un archivo stub. Cuando el analizador se encuentra
un archivo stub que indica que el archivo se ha migrado, el
analizador restaura el archivo al sistema local antes del análisis.
Le recomendamos que desactive esta opción.
Archivos comprimidos
codificados mediante
MIME
Detecta, descodifica y analiza archivos cifrados con extensiones
Multipurpose Internet Mail Extensions (MIME).
Archivos de
almacenamiento
comprimidos
Examina el contenido de archivos de almacenamiento
(comprimidos), incluidos los archivos .jar.
Práctica recomendada: Utilice esta opción en los análisis que
se realizan en las horas extraordinarias, cuando el sistema no se
está utilizando, porque el análisis de archivos comprimidos
puede afectar de forma negativa al rendimiento del sistema.
114
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-16
Sección
Opciones de
análisis
adicionales
Opciones (continuación)
Opción
Definición
Subcarpetas (solo
Análisis con el botón
derecho del ratón)
Examina todas las subcarpetas de la carpeta especificada.
Detectar programas no
deseados
Permite que el analizador detecte programas potencialmente no
deseados.
El analizador utiliza la información que ha configurado en los
parámetros de Prevención de amenazas de Prevención de
amenazas para detectar programas potencialmente no deseados.
Detectar amenazas de
programas
desconocidos
Utiliza McAfee GTI para detectar archivos ejecutables que tengan
código similar al malware.
Detectar amenazas de
macros desconocidas
Utiliza McAfee GTI para detectar virus de macros desconocidos.
Ubicaciones de
análisis
(solo Análisis
completo y Análisis
rápido)
Especifica las ubicaciones que analizar.
Tipos de
archivos que
analizar
Todos los archivos
Analiza todos los archivos, independientemente de su extensión.
Estas opciones solo se aplican a Análisis completo, Análisis rápido y a
los análisis personalizados.
McAfee recomienda encarecidamente la activación de Todos los
archivos.
Si no se activa Todos los archivos, el sistema es vulnerable ante
ataques de malware.
Tipos de archivo
predeterminados y
especificados
Análisis:
• La lista predeterminada de extensiones de archivos definida en
el archivo de AMCore Content actual, incluidos los archivos sin
extensión.
• Las extensiones de archivos adicionales que especifique
Separe las extensiones con una coma.
• (Opcional) Amenazas de macros conocidas en la lista de
extensiones de archivo predeterminadas y especificadas
Solo tipos de archivos
especificados
Analiza una de las opciones siguientes o ambas:
• Solo los archivos con las extensiones (separadas por comas)
que especifique
• Todos los archivos sin extensión
McAfee GTI
Activa y define la configuración de McAfee GTI.
Exclusiones
Especifica archivos, carpetas y unidades que excluir del análisis.
Agregar
Agrega un elemento a la lista de exclusión.
Eliminar
Quita un elemento de la lista de exclusión.
Especifica cómo responde el analizador cuando detecta una
amenaza.
Acciones
Rendimiento
Usar caché de análisis
Permite que el analizador utilice los resultados de análisis
existentes.
Seleccione esta opción para reducir la duplicación de los análisis y
mejorar el rendimiento.
McAfee Endpoint Security 10.2
Guía del producto
115
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-16
Sección
Opciones (continuación)
Opción
Definición
Utilización del sistema
Permite al sistema operativo especificar la cantidad de tiempo de
CPU que el analizador recibe durante el análisis.
Cada tarea se ejecuta independientemente, sin tener en cuenta
los límites de otras tareas.
• Bajo: el rendimiento del resto de las aplicaciones en ejecución es
superior.
Práctica recomendada: Seleccione esta opción para
sistemas con actividad del usuario final.
• Por debajo de lo normal: establece los valores predeterminados de
McAfee ePO en cuanto a la utilización del sistema para el
análisis.
• Normal (predeterminado): permite que el análisis finalice más
rápido.
Práctica recomendada: Seleccione esta opción para
sistemas que tienen grandes volúmenes y poca actividad del
usuario final.
Opciones del
análisis
planificado
Estas opciones solo se aplican a Análisis completo, Análisis rápido y a
los análisis personalizados.
Analizar solo cuando el Ejecuta el análisis solo cuando el sistema está inactivo.
sistema está inactivo
Prevención de amenazas pausa el análisis cuando el usuario
accede al sistema mediante el teclado o ratón. Prevención de
amenazas reanuda el análisis cuando el usuario (y la CPU) está
inactivo durante cinco minutos.
Desactive esta opción solo en los sistemas servidor y en los
sistemas a los que los usuarios acceden mediante una conexión
de Escritorio remoto (RDP). Prevención de amenazas depende de
McTray para determinar si el sistema está inactivo. En sistemas a
los que solo se accede mediante el escritorio remoto, McTray no
se inicia y el analizador bajo demanda no se ejecuta nunca. Para
evitar este problema, los usuarios pueden iniciar McTray (de
manera predeterminada en C:\Program Files\McAfee\Agent
\mctray.exe) manualmente cuando inicien sesión en el escritorio
remoto.
Analizar en cualquier
momento
Ejecuta el análisis incluso si el usuario está activo y especifica
opciones para el análisis.
Los usuarios pueden aplazar el análisis: Permite al usuario aplazar análisis
planificados y especificar opciones de aplazamiento de análisis.
• Máximo número de veces que el usuario puede aplazar el análisis una hora:
Especifica el número de veces (de 1 a 23) que el usuario puede
aplazar el análisis una hora.
• Mensaje de usuario: Especifica el mensaje que aparecerá cuando un
análisis esté a punto de comenzar.
El mensaje predeterminado es: McAfee Endpoint Security va a
analizar el sistema.
• Duración del mensaje (segundos): especifica cuánto tiempo (en
segundos) aparece el mensaje de usuario cuando un análisis
está a punto de comenzar. El intervalo válido de duración es de
30 a 300; la duración predeterminada es de 45 segundos.
116
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-16
Sección
Opciones (continuación)
Opción
Definición
No analizar si el sistema está en modo de presentación: pospone el análisis
mientras el sistema está en modo de presentación.
No analizar si el
sistema funciona
mediante la batería
Pospone el análisis cuando el sistema está alimentándose con
batería.
Véase también
Configurar Análisis bajo demanda en la página 86
Configure, planifique y ejecute tareas de análisis en la página 91
Ejecución de un Análisis completo o un Análisis rápido en la página 58
Analizar un archivo o carpeta en la página 60
Ubicaciones de análisis en la página 117
McAfee GTI en la página 119
Acciones en la página 120
Agregar exclusión o Editar exclusión en la página 122
Ubicaciones de análisis
Especifique las ubicaciones que analizar.
Estas opciones solo se aplican a Análisis completo, Análisis rápido y a los análisis personalizados.
Tabla 3-17
Opciones
Sección
Opción
Definición
Ubicaciones de
análisis
Analizar subcarpetas
Examina todas las subcarpetas en los volúmenes especificados
cuando se selecciona alguna de estas opciones:
• Carpeta de inicio
• Carpeta Temp
• Carpeta de perfil del usuario
• Archivo o carpeta
• Carpeta Archivos de programa
Cancele la selección de esta opción para analizar solo el nivel
raíz de los volúmenes.
Especificar
ubicaciones
Especifica las ubicaciones que analizar.
• Agregar: Agrega una ubicación al análisis.
Haga clic en Agregar y seleccione la ubicación en el menú
desplegable.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: Quita una ubicación del análisis.
Seleccione la ubicación y haga clic en Eliminar.
Memoria para rootkits
Analiza la memoria del sistema para buscar rootkits instalados,
procesos ocultos y otros comportamientos que puedan sugerir
que un malware está intentando ocultarse. Este análisis se
produce antes que los demás análisis.
Si no se activa esta opción, el sistema quedará desprotegido
ante los ataques de malware.
McAfee Endpoint Security 10.2
Guía del producto
117
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-17
Sección
Opciones (continuación)
Opción
Definición
Procesos en ejecución Analiza la memoria de todos los procesos en ejecución.
Las acciones que no sean Limpiar archivos se tratan como Continuar
analizando.
Si no se activa esta opción, el sistema quedará desprotegido
ante los ataques de malware.
Archivos registrados
Analiza archivos a los que hace referencia el Registro de
Windows.
El analizador busca nombres de archivo en el registro,
determina si el archivo existe, crea una lista de archivos para
analizar y analiza los archivos.
Mi equipo
Analiza todas las unidades conectadas físicamente al equipo o
asignadas de forma lógica a una letra de unidad en el equipo.
Todas las unidades
locales
Analiza todas las unidades y las subcarpetas del equipo.
Todas las unidades de
disco duro
Analiza todas las unidades conectadas físicamente al equipo.
Todas las unidades
extraíbles
Analiza todas las unidades extraíbles o cualquier otro
dispositivo de almacenamiento conectado al ordenador,
excepto las incluyen Windows To Go.
Todas las unidades
asignadas
Analiza las unidades de red asignadas lógicamente a una
unidad de red del equipo.
Carpeta de inicio
Analiza la carpeta de inicio del usuario que inicie el análisis.
Carpeta de perfil del
usuario
Analiza el perfil del usuario que empieza el análisis, incluida la
carpeta Mis documentos del usuario.
Carpeta Windows
Analiza el contenido de la carpeta Windows.
Carpeta Archivos de
programa
Analiza el contenido de la carpeta Archivos de programa.
Carpeta Temp
Analiza el contenido de la carpeta Temp.
Papelera de reciclaje
Analiza el contenido de la papelera de reciclaje.
Archivo o carpeta
Analiza el archivo o carpeta especificados.
Véase también
Página Prevención de amenazas: Análisis bajo demanda en la página 114
118
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
McAfee GTI
Activa y configura los ajustes de McAfee GTI (Global Threat Intelligence).
Tabla 3-18
Sección
Opciones
Opción Definición
Activa y desactiva las comprobaciones heurísticas.
Activar
McAfee GTI
• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a
McAfee Labs para determinar si se trata de malware. Al enviar hashes, la
detección podría estar disponible antes que la próxima publicación de
archivos de AMCore content, cuando McAfee Labs publique la actualización.
• Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs.
Configura el nivel de sensibilidad que se debe utilizar para determinar si una
muestra detectada es malware.
Nivel de
sensibilidad
Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitir más detecciones, también
podrían obtenerse más resultados falsos positivos.
Muy bajo Las detecciones y el riesgo de falsos positivos son iguales que con archivos de
AMCore Content normales. Puede disponer de una detección para Prevención
de amenazas cuando McAfee Labs la publique en lugar de esperar a la siguiente
actualización de archivos de AMCore Content.
Utilice esta configuración para los equipos de sobremesa y servidores con
derechos de usuario restringidos y un espacio de utilización con un nivel alto de
seguridad (huella).
Esta configuración da lugar a una media de entre 10 y 15 consultas al día por
equipo.
Bajo
Esta configuración es la recomendación mínima para portátiles o equipos de
sobremesa y para servidores con un espacio de utilización con un nivel alto de
seguridad.
Esta configuración da lugar a una media de entre 10 y 15 consultas al día por
equipo.
Medio
Utilice este nivel cuando el riesgo normal de exposición a malware sea mayor
que el riesgo de un falso positivo. McAfee Labs realiza comprobaciones
heurísticas propias que producen detecciones de probable malware. Sin
embargo, algunas detecciones podrían producir un falso positivo. Con este
parámetro, McAfee Labs comprueba que las aplicaciones habituales y los
archivos del sistema operativo no produzcan falsos positivos.
Esta configuración es la recomendación mínima para portátiles o equipos de
sobremesa y para servidores.
Esta configuración da lugar a una media de entre 20 y 25 consultas al día por
equipo.
McAfee Endpoint Security 10.2
Guía del producto
119
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-18
Sección
Opciones (continuación)
Opción Definición
Utilice esta configuración para el despliegue en sistemas o áreas que se
infectan con frecuencia.
Alto
Esta configuración da lugar a una media de entre 20 y 25 consultas al día por
equipo.
Muy alto
McAfee recomienda utilizar este nivel solamente para analizar volúmenes y
directorios que no admitan la ejecución de programas ni sistemas operativos.
Las detecciones encontradas con este nivel son supuestamente maliciosas, pero
no se han comprobado en su totalidad para confirmar que no se trata de falsos
positivos.
Práctica recomendada: Utilizar esta configuración en volúmenes de sistemas
que no se encuentren en funcionamiento.
Esta configuración da lugar a una media de entre 20 y 25 consultas al día por
equipo.
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 109
Página Prevención de amenazas: Análisis bajo demanda en la página 114
Control web: Opciones en la página 164
Acciones
Especifica cómo responde el analizador cuando detecta una amenaza.
Tabla 3-19
Opciones
Sección
Opción
Definición
Tipo de análisis
Análisis en
tiempo real
Primera respuesta
al detectar una
amenaza
Especifica la primera acción que debe realizar el analizador al detectar
una amenaza.
Negar el
acceso a los
archivos
Impide que los usuarios accedan
a archivos con amenazas
potenciales.
Continuar con
el análisis
Continúa con el análisis de
archivos cuando se detecta una
amenaza. El analizador no pone
elementos en cuarentena.
Limpiar
archivos
Quita la amenaza del archivo
detectado, si es posible.
Eliminar
archivos
Elimina los archivos con
amenazas potenciales.
Especifica la acción que desea que realice el analizador al detectarse
una amenaza si la primera acción no resuelve el problema.
Si la primera
respuesta falla
120
Análisis bajo
demanda
Negar el
acceso a los
archivos
Impide que los usuarios accedan
a archivos con amenazas
potenciales.
Continuar con
el análisis
Continúa con el análisis de
archivos cuando se detecta una
amenaza. El analizador no pone
elementos en cuarentena.
McAfee Endpoint Security 10.2
Guía del producto
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-19
3
Opciones (continuación)
Sección
Opción
Definición
Tipo de análisis
Análisis en
tiempo real
Eliminar
archivos
Análisis bajo
demanda
Elimina los archivos con
amenazas potenciales.
Especifica la primera acción que el analizador debe realizar al
detectarse un programa potencialmente no deseado.
Primera respuesta
al detectar
programa no
deseado
Esta opción solo está disponible si se ha seleccionado Detectar programas
no deseados.
Negar el
acceso a los
archivos
Impide que los usuarios accedan
a archivos con amenazas
potenciales.
Permitir el
acceso a los
archivos
Permite que los usuarios accedan
a archivos con amenazas
potenciales.
Continuar con
el análisis
Continúa con el análisis de
archivos cuando se detecta una
amenaza. El analizador no pone
elementos en cuarentena.
Limpiar
archivos
Quita la amenaza del archivo de
programa potencialmente no
deseado, si es posible.
Eliminar
archivos
Quita archivos de programas
potencialmente no deseados.
Especifica la acción que el analizador debe realizar al detectarse un
programa potencialmente no deseado si la primera acción no resuelve
el problema.
Si la primera
respuesta falla
Esta opción solo está disponible si se ha seleccionado Detectar programas
no deseados.
Negar el
acceso a los
archivos
Impide que los usuarios accedan
a archivos con amenazas
potenciales.
Permitir el
acceso a los
archivos
Permite que los usuarios accedan
a archivos con amenazas
potenciales.
Continuar con
el análisis
Continúa con el análisis de
archivos cuando se detecta una
amenaza. El analizador no pone
elementos en cuarentena.
Eliminar
archivos
Elimina automáticamente
archivos de programas
potencialmente no deseados.
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 109
Página Prevención de amenazas: Análisis bajo demanda en la página 114
McAfee Endpoint Security 10.2
Guía del producto
121
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Agregar exclusión o Editar exclusión
Agregue o edite una definición de exclusión.
Tabla 3-20
Sección
Opciones
Opción
Definición
Tipo de análisis
En tiempo
real
Bajo
demanda
Especifica el tipo de exclusión y los detalles de la misma.
Qué excluir
Ruta o nombre de Especifica el nombre de archivo o la ruta
archivo
que se debe excluir.
La ruta del archivo puede incluir
caracteres comodín.
Para excluir una carpeta en
sistemas Windows, agregue una
barra invertida (\) al final de la
ruta.
Seleccione Excluir también subcarpetas si es
necesario.
Tipo de archivo
Especifica tipos de archivo (extensiones
de archivo) que excluir.
Antigüedad del
archivo
Especifica el tipo de acceso (Modificación,
Con acceso [solo Análisis bajo demanda] o
Creación) de los archivos que excluir y la
Antigüedad mínima en días.
Especifica cuándo excluir el elemento seleccionado.
Cuándo
excluir
Al escribir o leer
del disco
Excluye del análisis cuando los archivos
se escriban o lean en el disco u otro
dispositivo de almacenamiento de datos.
Al leer el disco
Excluye del análisis cuando los archivos
se lean en el equipo u otro dispositivo
de almacenamiento de datos.
Al escribir en el
disco
Excluye del análisis cuando los archivos
se escriban o modifiquen en el disco u
otro dispositivo de almacenamiento de
datos.
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 109
Página Prevención de amenazas: Análisis bajo demanda en la página 114
Caracteres comodín en exclusiones en la página 67
Configuración de exclusiones en la página 66
Prevención de amenazas: Opciones
Configure los parámetros que se aplican a la función Prevención de amenazas, como cuarentena,
programas potencialmente no deseados y exclusiones.
Esta sección solo incluye opciones avanzadas.
122
McAfee Endpoint Security 10.2
Guía del producto
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-21
Opciones avanzadas
Sección
Opción
Definición
Administrador de
cuarentena
Carpeta de
cuarentena
Especifica la ubicación de la carpeta de cuarentena o acepta la
ubicación predeterminada:
c:\Quarantine
La carpeta de cuarentena tiene un límite de 190 caracteres.
Exclusiones por
nombre de
detección
Especificar el
número máximo de
días que se
guardarán los datos
en cuarentena
Especifica el número de días (entre 1 y 999) que se guardan los
elementos en cuarentena antes de eliminarlos automáticamente.
El valor predeterminado es 30 días.
Excluir estos
nombres de
detección
Especifica exclusiones de detección por nombre de detección.
Por ejemplo, para especificar que los analizadores en tiempo real
y bajo demanda no detecten amenazas de Comprobación de
instalación, introduzca Comprobación de instalación.
Agregar : agrega un nombre de detección a la lista de exclusiones.
Haga clic en Agregar; a continuación, introduzca el nombre de
detección.
Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
Eliminar : quita un nombre de detección de la lista de exclusión.
Seleccione el nombre y, después, haga clic en Eliminar.
Detecciones de
programas
potencialmente no
deseados
Excluir los
programas no
deseados
personalizados
Especifica los archivos o programas individuales que se
consideran programas potencialmente no deseados.
Los analizadores detectan tanto los programas que especifique
como los especificados en los archivos de AMCore Content.
El analizador no detecta un programa no deseado de cero bytes
definido por el usuario.
• Agregar: define un programa no deseado personalizado.
Haga clic en Agregar, introduzca el nombre y pulse la tecla Tab
para introducir la descripción.
• Nombre: especifica el nombre de archivo del programa
potencialmente no deseado.
• Descripción: especifica la información que se mostrará como
nombre de detección cuando se produzca una detección.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: quita de la lista un programa potencialmente no
deseado.
Seleccione el programa de la lista y haga clic en Eliminar.
Análisis proactivo
de datos
McAfee Endpoint Security 10.2
Envía datos de uso y diagnóstico anónimos a McAfee.
Comentarios sobre
McAfee GTI
Permite los comentarios de telemetría relacionados con McAfee
GTI para recopilar datos anónimos de archivos y procesos que se
ejecutan en el sistema cliente.
Guía del producto
123
3
Mediante Prevención de amenazas
Referencia de la interfaz de cliente: Prevención de amenazas
Tabla 3-21
Opciones avanzadas (continuación)
Sección
Opción
Definición
Comprobación
regular de la
seguridad
Efectúa una comprobación de la salud del sistema cliente antes y
después de las actualizaciones de archivos de AMCore Content,
así como a intervalos regulares, y envía los resultados a McAfee.
Los resultados se cifran y se envían a McAfee mediante SSL. A
continuación, McAfee agrega y analiza los datos de estos informes
para identificar anomalías que pudieran suponer problemas
potenciales relativos al contenido. La identificación precoz de
dichos problemas es fundamental para proporcionar la contención
y la corrección oportunas.
Comprobación regular de la seguridad recopila los tipos de datos
siguientes:
• Versión del sistema operativo y configuración regional
• Versión del producto de McAfee
• Versión del motor y de AMCore Content
• Información de procesos de ejecución de McAfee y Microsoft
Reputación de
AMCore Content
Efectúa una búsqueda de reputación de McAfee GTI en el archivo
de AMCore Content antes de actualizar el sistema cliente.
• Si McAfee GTI permite el acceso al archivo, Endpoint Security
actualiza AMCore Content.
• Si McAfee GTI no permite el acceso al archivo, Endpoint
Security no actualiza AMCore Content.
Véase también
Configurar parámetros de análisis de ajustes generales en la página 80
Revertir AMCore Content
Cambia AMCore content a una versión anterior.
Opción
Definición
Seleccione la versión
que cargar
Especifica el número de versión de un archivo de AMCore content anterior que
hay que cargar.
Endpoint Security conserva las dos versiones previas en el sistema cliente.
Cuando cambia a una versión anterior, Endpoint Security elimina la versión actual
de AMCore content del sistema.
Véase también
Cambiar versión de AMCore content en la página 29
124
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Firewall actúa como filtro entre su equipo y la red o Internet.
Contenido
Cómo funciona Firewall
Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja
del sistema de McAfee
Administrar Firewall
Referencia de la interfaz de cliente: Firewall
Cómo funciona Firewall
El Firewall analiza todo el tráfico entrante y saliente.
A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es un
conjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla,
el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall.
La información sobre detecciones de amenazas se guarda para crear informes que notifican al
administrador sobre cualquier problema de seguridad relativo al equipo.
Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan las
reglas de firewall para una administración más fácil.
Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador,
puede configurar las reglas y grupos mediante Cliente de Endpoint Security. Para los sistemas
gestionados, las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegue
una directiva actualizada.
Véase también
Configurar opciones deFirewall en la página 127
Cómo funcionan las reglas de firewall en la página 131
Cómo funcionan los grupos de reglas de firewall en la página 133
Activación y desactivación de Firewall en el icono de la bandeja
del sistema de McAfee
Según la configuración definida, puede activar o desactivar el Firewall en el icono de la bandeja del
sistema de McAfee.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.
McAfee Endpoint Security 10.2
Guía del producto
125
4
Uso de Firewall
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee
Procedimiento
•
Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione
Desactivar Firewall de Endpoint Security una opción del menú Configuración rápida.
Si el Firewall está activado, la opción es Desactivar Firewall de Endpoint Security.
Dependiendo de la configuración, es posible que deba proporcionar un motivo al administrador para
desactivar el Firewall.
Activación o visualización de los grupos sincronizados de
Firewall mediante el icono de la bandeja del sistema de McAfee
Active, desactive o visualice los grupos sincronizados de Firewall mediante el icono de la bandeja del
sistema de McAfee.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.
Procedimiento
•
Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione una
opción del menú Configuración rápida.
•
Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante un período
determinado para permitir el acceso a Internet antes de que se apliquen las reglas que
restringen el acceso. Cuando los grupos sincronizados están activados, la opción que se muestra
es Desactivar grupos sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el tiempo asignado a los grupos.
Dependiendo de la configuración, es posible que se le pida que proporcione al administrador un
motivo para activar los grupos sincronizados.
•
Ver grupos sincronizados de firewall: muestra los nombres de los grupos sincronizados y el tiempo
restante de activación de cada grupo.
Información acerca de los grupos sincronizados
Los grupos sincronizados son grupos de reglas de Firewall que se activan por un periodo de tiempo
establecido.
Por ejemplo, se puede activar un grupo sincronizado para permitir que un sistema cliente se conecte a
una red pública y establezca una conexión VPN.
Dependiendo de la configuración de la , se pueden activar los grupos:
•
En una planificación específica.
•
De forma manual, seleccionando las opciones del icono de la bandeja del sistema de McAfee.
Administrar Firewall
Como administrador, puede configurar las opciones de Firewall y crear reglas y grupos en Cliente de
Endpoint Security.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
126
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Administrar Firewall
Modificar opciones de Firewall
Como administrador, puede modificar las opciones de Firewall desde el Cliente de Endpoint Security.
Procedimientos
•
Configurar opciones deFirewall en la página 127
Configure los parámetros en Opciones active o desactive la protección por firewall, active el
modo de adaptación y configure otras opciones de Firewall.
•
Bloqueo del tráfico DNS en la página 128
Para ajustar la protección por firewall, puede crear una lista de nombres de dominio
completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se
resuelven en los nombres de dominio.
•
Definir redes para usar en reglas y grupos en la página 129
Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los
grupos. También puede especificar las redes que son de confianza.
•
Configuración de ejecutables de confianza en la página 130
Defina o edite la lista de ejecutables de confianza que se consideren seguros para su
entorno.
Véase también
Preguntas frecuentes: McAfee GTI y Firewall en la página 128
Configurar opciones deFirewall
Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo de
adaptación y configure otras opciones de Firewall.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O, en el menú Acción
Configuración.
3
, seleccione Configuración y, a continuación, haga clic en Firewall en la página
Seleccione Activar Firewall para activarlo y modificar sus opciones.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security 10.2. Si
el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint
Security aunque esté activado en la configuración de directiva.
4
Haga clic en Mostrar avanzado.
5
Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 27
McAfee Endpoint Security 10.2
Guía del producto
127
4
Uso de Firewall
Administrar Firewall
Bloqueo del tráfico DNS
Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que
desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres
de dominio.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O bien en el menú Acción
página Configuración.
, seleccione Configuración y, a continuación, haga clic en Firewall en la
3
En Bloqueo de DNS, haga clic en Agregar.
4
Introduzca los nombres de dominio completos que desea bloquear y haga clic en Guardar.
Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.
Las entradas duplicadas se eliminan automáticamente.
5
Haga clic en Guardar.
6
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Preguntas frecuentes: McAfee GTI y Firewall
A continuación se incluyen las respuestas a las preguntas más frecuentes.
La configuración de las Opciones de Firewall le permiten bloquear el tráfico entrante y saliente de una
conexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentes
explican qué hace McAfee GTI y cómo afecta al firewall.
¿Qué es McAfee GTI?
McAfee GTI es un sistema de inteligencia global de reputación en Internet que determina qué es
un buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa el análisis en
tiempo real de comportamientos mundiales y de patrones de envío de correo electrónico, la
actividad web, el malware y el comportamiento de sistema a sistema. Usando los datos
obtenidos del análisis, McAfee GTI calcula de forma dinámica las calificaciones de reputación que
representan el nivel de riesgo para su red cuando visita una página web. El resultado es una
base de datos de calificaciones de reputación para direcciones IP, dominios, mensajes
específicos, URL e imágenes.
¿Cómo funciona?
Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitir
servicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexión
a McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y el
umbral de bloqueo configurado.
¿Qué quiere decir "reputación"?
McAfee GTI calcula un valor de reputación para cada dirección IP en Internet. McAfee GTI se
basa en el comportamiento de envío y de hosting, y los varios datos de entorno recogidos de los
128
McAfee Endpoint Security 10.2
Guía del producto
Uso de Firewall
Administrar Firewall
4
clientes y socios acerca del panorama de amenazas en Internet. La reputación se expresa en
cuatro clases, basadas en nuestro análisis:
•
No bloquear (riesgo mínimo): es una fuente o destino legítimo de contenido/tráfico.
•
Sin verificar: este sitio web parece ser una fuente o destino legítimo de contenido/tráfico. Sin
embargo, también muestra algunas propiedades que sugieren la necesidad de una inspección
adicional.
•
Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos que
creemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino o
procedente del mismo requiere un escrutinio especial.
•
Riesgo alto: se sabe o sospecha que esta fuente/destino envía/aloja contenido/tráfico
potencialmente malicioso. Creemos que supone un serio riesgo.
¿McAfee GTI introduce latencia? ¿Cuánta?
Cuando McAfee GTI recibe una solicitud de búsqueda de reputación, algo de latencia es
inevitable. McAfee ha hecho todo lo posible para minimizar dicha latencia. McAfee GTI:
•
Comprueba la reputación solo cuando se seleccionan las opciones.
•
Usa una arquitectura de almacenamiento en caché inteligente. En un uso normal de la red, la
caché resuelve la mayoría de las conexiones deseadas sin consultas a la reputación en línea.
Si el firewall no puede llegar a los servidores de McAfee GTI, ¿se detiene el tráfico?
Si el firewall no puede llegar a cualquiera de los servidores de McAfee GTI, asigna
automáticamente a todas las conexiones aplicables una reputación predeterminada permitida. A
continuación, el firewall sigue con un análisis de las reglas posteriores.
Definir redes para usar en reglas y grupos
Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los grupos.
También puede especificar las redes que son de confianza.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O bien en el menú Acción
página Configuración.
3
, seleccione Configuración y, a continuación, haga clic en Firewall en la
Haga clic en Mostrar avanzado.
McAfee Endpoint Security 10.2
Guía del producto
129
4
Uso de Firewall
Administrar Firewall
4
En Redes definidas, realice cualquiera de las siguientes acciones:
Para...
Pasos
Definir una nueva
red.
Haga clic en Agregar e introduzca la información de la red de confianza.
Para definir la red como de confianza, seleccione Sí en el menú desplegable
De confianza.
Si selecciona No, la red se define para su uso en reglas y grupos, pero el
tráfico entrante y saliente de la red no se considera de confianza
automáticamente.
5
Cambiar una
definición de red.
En cada columna, haga doble clic en el elemento y, a continuación,
introduzca la nueva información.
Eliminar una red.
Seleccione una fila y haga clic en Eliminar.
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Acerca de las redes de confianza
Las redes de confianza son las direcciones IP, intervalos de direcciones IP y subredes que su
organización considera seguras.
Al definir una red como de confianza, se crea una regla bidireccional Permitir para dicha red remota en
la primera posición de la lista de reglas de Firewall.
Una vez definidas, puede crear reglas de firewall que se aplicarán a estas redes de confianza. Las
redes de confianza también funcionan como excepciones a McAfee GTI en el firewall.
Práctica recomendada: Al añadir redes a las reglas o grupos de Firewall, seleccione Redes definidas en
el Tipo de red al que quiere aplicar esta función.
Configuración de ejecutables de confianza
Defina o edite la lista de ejecutables de confianza que se consideren seguros para su entorno.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O bien en el menú Acción
página Configuración.
3
130
, seleccione Configuración y, a continuación, haga clic en Firewall en la
Haga clic en Mostrar avanzado.
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Administrar Firewall
4
5
En Ejecutables de confianza, realice cualquiera de las siguientes acciones:
Para...
Pasos
Definir un ejecutable de
confianza nuevo.
Haga clic en Agregar y, a continuación, introduzca la información
del ejecutable.
Cambiar una definición de
ejecutable.
En cada columna, haga doble clic en el elemento y, a
continuación, introduzca la nueva información.
Eliminar un ejecutable.
Seleccione una fila y haga clic en Eliminar.
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
A cerca de aplicaciones y ejecutables de confianza
Los ejecutables de confianza son archivos ejecutables que no tienen vulnerabilidades conocidas y se
consideran seguros.
Al configurar un ejecutable de confianza, se crea una regla bidireccional Permitir para dicho ejecutable
en la primera posición de la lista de reglas de Firewall.
Mantener una lista de ejecutables seguros en un sistema reduce o elimina la mayoría de los falsos
positivos. Por ejemplo, cuando se ejecuta una aplicación de copias de seguridad, pueden darse
muchos eventos de falsos positivos. Para evitar que se produzcan falsos positivos, convierta la
aplicación de copias de seguridad en un ejecutable de confianza.
Un ejecutable de confianza puede sufrir vulnerabilidades comunes como desbordamiento del búfer y uso
ilegal. Por lo tanto, Firewall supervisa los ejecutables de confianza y puede desencadenar eventos para
prevenir exploits.
El Catálogo de Firewall contiene tanto ejecutables como aplicaciones. Los ejecutables del catálogo se
pueden asociar a una aplicación contenedora. Puede agregar ejecutables y aplicaciones del catálogo a
la lista de ejecutables de confianza. Una vez definidos, puede hacer referencia a los ejecutables en
reglas y grupos.
Administración de directivas y grupos de Firewall
Como administrador, puede configurar las reglas y grupos de Firewall desde Cliente de Endpoint
Security.
Procedimientos
•
Creación y administración de directivas y grupos de Firewall en la página 137
Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint
Security podrían sobrescribirse cuando el administrador despliegue una directiva
actualizada.
•
Creación de grupos de aislamiento de conexión en la página 139
Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto
de reglas que se apliquen solo cuando se conecta a una red con unos parámetros
determinados.
•
Creación de grupos sincronizados en la página 140
Cree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que un
sistema cliente se conecte a través de una conexión VPN.
Cómo funcionan las reglas de firewall
Las reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece un
conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el
tráfico.
Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acción
asociada.
McAfee Endpoint Security 10.2
Guía del producto
131
4
Uso de Firewall
Administrar Firewall
Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (por
ejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones.
Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para así
facilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red,
transporte, aplicación, programa y localización.
Firewall usa la prioridad para aplicar reglas:
1
Firewall aplica la regla situada en primera posición en la lista de reglas de firewall.
Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intenta
aplicar ninguna otra regla de la lista.
2
No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguiente
regla de la lista hasta que encuentre una regla que coincida con el tráfico.
3
Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente.
Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, el
tráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewall
aplique solo la primera regla coincidente de la lista.
Recomendaciones
Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este orden
asegura que Firewall filtra el tráfico adecuadamente.
132
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Administrar Firewall
Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, la
dirección IP 10.10.10.1), cree dos reglas:
•
Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla es
específica.
•
Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.
Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewall
que la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde la
dirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico a
través del firewall.
Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraría
una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de
bloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP
provenientes de una dirección específica.
Cómo funcionan los grupos de reglas de firewall
Utilice los grupos de reglas de Firewall para organizar las reglas de firewall y facilitar así la
administración. Los grupos de reglas de Firewall no afectan a la forma en que Firewall trata las reglas
incluidas en ellos; Firewall sigue procesando las reglas de arriba a abajo.
Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas que
contiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.
Hacer que los grupos detecten la ubicación
Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento de
conexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detecten
el adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador para
equipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre,
los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientes
para cada adaptador de red:
Ubicación:
•
Requerir el acceso a McAfee ePO
•
Dirección IP de Servidor WINS principal
•
Sufijo DNS específico de conexión
•
Dirección IP de Servidor WINS secundario
•
Dirección IP de Gateway predeterminada
•
Posibilidad de alcance del dominio
•
Dirección IP de Servidor DHCP
•
Clave de Registro
•
Servidor DNS consultado para resolver las
URL
Redes:
•
Dirección IP de Red local
•
Tipos de conexión
Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normal
y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en el
primer grupo, prosigue con el procesamiento de la regla.
McAfee Endpoint Security 10.2
Guía del producto
133
4
Uso de Firewall
Administrar Firewall
Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y una
conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeño
de reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado,
el firewall las omite.
Si esta opción está
seleccionada...
Entonces...
Activar detección de ubicación
Se requiere un nombre de localización.
Requerir el acceso a McAfee
ePO
El servidor de McAfee ePO es accesible y se ha resuelto el nombre de
dominio completo del servidor.
Red local
La dirección IP del adaptador debe coincidir con una de las entradas
de la lista.
Sufijo DNS específico de
conexión
El sufijo DNS del adaptador debe coincidir con una de las entradas
de la lista.
Gateway predeterminada
La dirección IP de gateway predeterminada del adaptador debe
coincidir al menos con una de las entradas de la lista.
Servidor DHCP
La dirección IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
Servidor DNS
La dirección IP del servidor DNS del adaptador debe coincidir con
cualquiera de las entradas de la lista.
Servidor WINS principal
La dirección IP del servidor WINS principal del adaptador debe
coincidir al menos con una de las entradas de la lista.
Servidor WINS secundario
La dirección IP del servidor WINS secundario del adaptador debe
coincidir al menos con una de las entradas de la lista.
Posibilidad de alcance del
dominio
El dominio especificado debe ser accesible.
Grupos de reglas y aislamiento de conexión de Firewall
Use el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una red
designada.
Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC)
activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con:
•
Permitir reglas anteriores al grupo en la lista de reglas de firewall
•
Criterios de grupo
El resto del tráfico se bloquea.
Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporte
ni ejecutables.
134
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Administrar Firewall
Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: un
entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en este
orden:
1
Reglas para una conexión básica
2
Reglas para una conexión VPN
3
Grupo con reglas de conexión de LAN corporativa
4
Grupo con reglas de conexión VPN
McAfee Endpoint Security 10.2
Guía del producto
135
4
Uso de Firewall
Administrar Firewall
Ejemplo: aislamiento de conexión en la red corporativa
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LAN
corporativa. Este grupo contiene esta configuración:
•
Tipo de conexión = con cable
•
Sufijo DNS específico de conexión: mycompany.com
•
Gateway predeterminada
•
Aislamiento de conexión = Activado
El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa con
una conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que se
conecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas de
acceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable está
activa y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través de
LAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que no
pasa por la LAN queda bloqueado.
Ejemplo: aislamiento de conexión en un hotel
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Este
grupo contiene esta configuración:
•
Tipo de conexión = virtual
•
Sufijo DNS específico de conexión: vpn.mycompany.com
•
Dirección IP: una dirección en un intervalo específico para el concentrador VPN
•
Aislamiento de conexión = Activado
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel para
poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN.
Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criterios
del grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráfico
básico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder al
equipo a través de la red, ya sea por cable o de forma inalámbrica.
Grupos de reglas de firewall predefinidos
Firewall incluye varios grupos de reglas predefinidos.
Grupo de
Firewall
Descripción
Redes principales de
McAfee
Contiene las reglas de redes principales proporcionadas por McAfee e incluye
reglas para admitir DNS y aplicaciones de McAfee.
Estas reglas no se pueden modificar ni eliminar. Se puede desactivar el grupo en
las Firewall de firewall, pero hacerlo podría deteriorar las comunicaciones de red
en el cliente.
Agregado por
administrador
Contiene reglas definidas por el administrador en el servidor de administración.
Estas reglas no se pueden modificar ni eliminar en Cliente de Endpoint Security.
136
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Administrar Firewall
Grupo de
Firewall
Descripción
Agregado por usuario
Contiene reglas definidas en Cliente de Endpoint Security.
Dependiendo de la configuración de directiva, estas reglas podrían sobrescribirse
al implementarse la directiva.
Contiene reglas creadas de forma dinámica por otros módulos de Endpoint
Security instalados en el sistema.
Dinámico
Por ejemplo, Prevención de amenazas podría enviar un evento al módulo Cliente
de Endpoint Security para crear una regla que bloquee el acceso a un sistema en
la red.
Adaptación
Contiene reglas de excepciones de cliente que se crean automáticamente cuando
el sistema está en modo de adaptación.
Dependiendo de la configuración de directiva, estas reglas podrían sobrescribirse
al implementarse la directiva.
Predeterminado
Contiene reglas predeterminadas proporcionadas por McAfee.
Estas reglas no se pueden modificar ni eliminar.
Creación y administración de directivas y grupos de Firewall
Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Security
podrían sobrescribirse cuando el administrador despliegue una directiva actualizada.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar las
reglas por columna.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O bien en el menú Acción
página Configuración.
3
, seleccione Configuración y, a continuación, haga clic en Firewall en la
Use estas tareas para gestionar reglas y grupos de firewall.
Para hacer esto...
Siga estos pasos
Vea las reglas en un grupo del
firewall.
Haga clic en
.
Contraiga un grupo de firewall.
Haga clic en
.
McAfee Endpoint Security 10.2
Guía del producto
137
4
Uso de Firewall
Administrar Firewall
Para hacer esto...
Siga estos pasos
Modificar una regla existente.
1 Expandir el grupo Agregado por usuario.
Puede modificar las reglas
solo en el grupo Agregado por
el usuario.
2 Haga doble clic en la regla.
3 Cambie la configuración de reglas.
4 Haga clic en Aceptar para guardar los cambios.
Ver una regla existente en
cualquier grupo.
1 Expanda el grupo.
Crear una regla.
1 Haga clic en Agregar regla.
2 Seleccione la regla para ver sus detalles en el panel inferior.
2 Especifique la configuración de reglas.
3 Haga clic en Aceptar para guardar los cambios.
La regla aparece al final del grupo Agregado por el usuario.
Crear copias de reglas.
1 Seleccione la regla o reglas y haga clic en Duplicar.
Las reglas copiadas aparecen con el mismo nombre al final
del grupo Agregado por el usuario.
2 Modificar las reglas para cambiar el nombre y la
configuración.
Eliminar reglas.
Puede eliminar reglas solo
desde los grupos Agregado por
el usuario y Adaptación.
Crear un grupo.
1 Expanda el grupo.
2 Seleccione la regla o reglas y haga clic en Eliminar.
1 Haga clic en Agregar grupo.
2 Especifique la configuración del grupo.
3 Haga clic en Aceptar para guardar los cambios.
El grupo aparece en el grupo Agregado por el usuario.
Mover reglas y grupos dentro y
entre grupos.
Puede modificar las reglas y
grupos solo en el grupo
Agregado por el usuario.
Para mover elementos:
1 Seleccione los elementos que mover.
El control de ajuste
aparece a la izquierda de los
elementos que puedan moverse.
2 Arrastre y coloque los elementos en su nueva ubicación.
Una línea azul aparece entre elementos allí donde pueda
colocar los elementos arrastrados.
4
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Caracteres comodín en reglas de firewall en la página 139
Iniciar sesión como administrador en la página 27
Creación de grupos de aislamiento de conexión en la página 139
138
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Administrar Firewall
Caracteres comodín en reglas de firewall
Puede usar caracteres comodín para representar caracteres para algunos valores en las reglas de
firewall.
Caracteres comodín en valores de ruta y dirección
Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientes
caracteres comodín.
Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen los
valores de los comodines.
?
Signo de interrogación Un solo carácter.
*
Asterisco
Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utilice
este carácter para hacer coincidir los contenidos del nivel raíz de una
carpeta sin subcarpetas.
** Doble asterisco
Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).
|
Escape de caracteres comodín.
canalización
Para el asterisco doble (**), el escape es |*|*.
Caracteres comodín en todos los demás valores
Para los valores que normalmente no contienen información de ruta con barras, use los siguientes
caracteres comodín.
? Signo de interrogación
Un solo carácter.
* Asterisco
Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).
| canalización
Escape de caracteres comodín.
Creación de grupos de aislamiento de conexión
Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas
que se apliquen solo cuando se conecta a una red con unos parámetros determinados.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O bien en el menú Acción
página Configuración.
, seleccione Configuración y, a continuación, haga clic en Firewall en la
3
En REGLAS, haga clic en Agregar grupo.
4
En Descripción, especifique las opciones para el grupo.
McAfee Endpoint Security 10.2
Guía del producto
139
4
Uso de Firewall
Administrar Firewall
5
En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación,
seleccione los criterios de ubicación para la búsqueda de coincidencias.
6
Bajo Redes, para Tipos de conexión, seleccione el tipo de conexión (Con cable, Inalámbrica o Virtual) para
aplicar a las reglas de este grupo.
La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.
7
Haga clic en Aceptar.
8
Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglas
de firewall.
9
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Grupos de reglas y aislamiento de conexión de Firewall en la página 134
Cómo funcionan los grupos de reglas de firewall en la página 133
Creación de grupos sincronizados
Cree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que un sistema cliente
se conecte a través de una conexión VPN.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Firewall en la página Estado principal.
O bien en el menú Acción
página Configuración.
3
, seleccione Configuración y, a continuación, haga clic en Firewall en la
Cree un grupo deFirewall con una configuración predeterminada que permita la conexión a
Internet.
Por ejemplo, puede permitir el tráfico HTTP en el puerto 80.
4
En la sección Planificación, seleccione la forma de activar el grupo.
•
Activar planificación: especifica la hora de inicio y de finalización del grupo que se va a activar.
•
Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee: permite que los
usuarios activen el grupo en la bandeja del sistema de McAfee y mantiene el grupo activado
durante un periodo de minutos concreto.
Si permite que los usuarios administren los grupos sincronizados, puede, de manera opcional,
solicitar que proporcionen una justificación antes de activar el grupo.
5
Haga clic en Aceptar para guardar los cambios.
6
Cree un grupo de aislamiento de conexión correspondiente a la red VPN para permitir el tráfico
necesario.
Práctica recomendada: Para dejar tráfico saliente únicamente del grupo de aislamiento de la
conexión en el sistema cliente, no coloque reglas de Firewall bajo este grupo.
7
140
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Véase también
Creación de grupos de aislamiento de conexión en la página 139
Referencia de la interfaz de cliente: Firewall
Los temas de ayuda de referencia de la interfaz proporcionan ayuda según el contexto para las
páginas de la interfaz de cliente.
Contenido
Firewall: Opciones
Firewall: Reglas
Firewall: Opciones
Activa y desactiva el módulo de Firewall, establece las opciones de protección y defines las redes y los
ejecutables de confianza.
Para restablecer la configuración predeterminada de McAfee y cancelar los cambios, haga clic en
Restablecer a predeterminado.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security 10.2. Si el
Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint Security
aunque esté activado en la configuración de directiva.
Tabla 4-1
Sección
Opciones de
protección
Opciones
Opción
Definición
Activar Firewall
Activa y desactiva el módulo Firewall.
Permitir tráfico de
protocolos
incompatibles
Permite el tráfico que usa protocolos no admitidos. Si esta opción
está desactivada, todo el tráfico que use protocolos no admitidos se
bloqueará.
Permitir tráfico saliente
hasta que los servicios
de firewall se hayan
iniciado
Permite el tráfico saliente, pero no el tráfico entrante, hasta que el
servicio Firewall se haya iniciado.
Si se desactiva esta opción, Firewall permite todo el tráfico antes
de iniciar los servicios, lo que podría volver el sistema vulnerable.
Permitir tráfico mediante Permite:
puentes
• Paquetes entrantes si la dirección MAC de destino se encuentra
en el intervalo de dirección MAC de VM admitido y no en una
dirección MAC local del sistema.
• Paquetes salientes si la dirección MAC de origen se encuentra
en el intervalo de dirección MAC admitido y no en una dirección
MAC local del sistema.
Activar la protección
contra falsificación de
direcciones IP
Bloquea el tráfico de red de direcciones IP no locales del host, o de
los procesos locales que intenten falsificar sus direcciones IP.
Activar reglas de
bloqueo dinámicas
Permite que otros módulos de Endpoint Security creen y agreguen
reglas de bloqueo de manera dinámica al grupo de Reglas dinámicas de
Cliente de Endpoint Security.
(Opción desactivada de forma predeterminada)
McAfee Endpoint Security 10.2
Guía del producto
141
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-1
Sección
Bloqueo de
DNS
Opciones (continuación)
Opción
Definición
Activar alertas de
intrusión de firewall
Muestra las alertas automáticamente cuando Firewall detecta un
posible ataque.
Nombre de dominio
Define nombres de dominio a bloquear.
Cuando se aplica, esta opción agrega una regla cerca de la parte
superior de las reglas de firewall que bloquea las conexiones a las
direcciones IP que se resuelven en los nombres de dominio.
• Agregar: agrega un nombre de dominio a la lista de bloqueados.
Separe los dominios entre sí con una coma (,) o un retorno de
carro.
Puede usar los caracteres comodín * y ?. Por ejemplo,
*dominio.com.
Las entradas duplicadas se eliminan automáticamente.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: elimina el nombre de dominio seleccionado de la lista de
bloqueados.
Tabla 4-2 Opciones avanzadas
Sección
Opción
Definición
Opciones de
ajuste
Activar el modo de
adaptación
Crea reglas automáticamente para permitir el tráfico.
Práctica recomendada: Active el modo de adaptación
temporalmente solo en algunos sistemas mientras configura el
Firewall. La activación de este modo puede generar varias reglas de
cliente, que el servidor de McAfee ePO debe procesar, lo que afecta de
forma negativa al rendimiento.
Desactivar las reglas Desactiva las reglas de red integradas de McAfee (en el grupo de
de redes principales reglas Redes principales de McAfee).
de McAfee
(Opción desactivada de forma predeterminada)
Activar esta opción podría deteriorar las comunicaciones de red en el
cliente.
Registrar todo el
tráfico bloqueado
Registra todo el tráfico bloqueado en el registro de eventos de Firewall
(FirewallEventMonitor.log) en el Cliente de Endpoint Security.
(Opción activada de forma predeterminada)
Registrar todo el
tráfico permitido
Registra todo el tráfico permitido en el registro de eventos de Firewall
(FirewallEventMonitor.log) en el Cliente de Endpoint Security.
(Opción desactivada de forma predeterminada)
Activar esta opción puede tener un efecto negativo en el rendimiento.
142
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-2 Opciones avanzadas (continuación)
Sección
Opción
Definición
Reputación de Tratar coincidencia
El tráfico que coincide con la configuración del umbral de bloqueo de
red McAfee
de McAfee GTI como McAfee GTI se trata como una intrusión. Al activar esta opción, se
GTI
intrusión
muestra una alerta, se envía un evento al servidor de administración y
se agrega el elemento al archivo de registro de Cliente de Endpoint
Security.
Todas las direcciones IP de una red de confianza quedan excluidas de
la búsqueda de McAfee GTI.
(Opción activada de forma predeterminada)
Registrar tráfico
coincidente
El tráfico que coincide con la configuración del umbral de bloqueo de
McAfee GTI se trata como una detección. Al activar esta opción, se
envía un evento al servidor de administración y se agrega el elemento
al archivo de registro de Cliente de Endpoint Security.
(Opción activada de forma predeterminada)
Todas las direcciones IP de una red de confianza quedan excluidas de
la búsqueda de McAfee GTI.
Bloquear todos los
ejecutables no
fiables
Bloquea todos los ejecutables que no están firmados o cuya
reputación de McAfee GTI es desconocida.
Umbral de
reputación de red
entrante
Especifica el umbral de riesgo de McAfee GTI a partir del cual debe
bloquearse el tráfico entrante o saliente desde una conexión de red.
Umbral de
reputación de red
saliente
• No bloquear: este sitio web es una fuente o un destino legítimo de
contenido/tráfico.
• Riesgo alto: este origen/destino envía o alberga contenido/tráfico
potencialmente malicioso que McAfee considera de riesgo.
• Riesgo medio: este origen/destino muestra un comportamiento que
McAfeeMcAfee considera sospechoso. Cualquier contenido/tráfico
procedente del sitio web requiere un escrutinio especial.
• Sin verificar: este sitio web parece ser una fuente o un destino legítimo
de contenido/tráfico, pero también muestra algunas propiedades
que sugieren la necesidad de una inspección adicional.
Firewall con
seguimiento
de estado
Usar inspección de
protocolo FTP
Permite rastrear conexiones FTP, de modo que solo se requiera una
regla de Firewall para el tráfico FTP de cliente saliente y el tráfico FTP
de servidor entrante.
Si esta opción no está seleccionada, las conexiones FTP requerirán una
regla adicional para el tráfico FTP de cliente entrante y otra para el
tráfico FTP de servidor saliente.
Número de
segundos (1 a 240)
antes de que la
conexión TCP agote
el tiempo de espera
Especifica el tiempo en segundos durante el cual sigue activa una
conexión TCP no establecida si no se envían ni reciben más paquetes
que coincidan con la conexión. El intervalo válido es de 1 a 240.
Número de
segundos (1 a 300)
antes de que las
conexiones virtuales
de eco UDP e ICMP
agoten el tiempo de
espera
Especifica el tiempo en segundos durante el cual sigue activa una
conexión virtual de eco UDP o ICMP si no se envían ni reciben más
paquetes que coincidan con la conexión. Esta opción restablece el
valor configurado cada vez que se envía o recibe un paquete que
coincide con la conexión virtual. El intervalo válido es de 1 a 300.
McAfee Endpoint Security 10.2
Guía del producto
143
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-2 Opciones avanzadas (continuación)
Sección
Opción
Definición
Establece las direcciones de red, las subredes o los intervalos que usar
en reglas y grupos.
Redes
definidas
• Agregar: Agrega una dirección de red, subred o intervalo a la lista de
redes definidas.
Haga clic en Agregar y rellene los campos de la fila para definir la red.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: elimina la dirección seleccionada de la lista de redes
definidas.
Tipo de dirección
Especifica el tipo de dirección de la red por definir.
De confianza
• Sí: Permite todo el tráfico de la red.
Al definir una red como de confianza, se crea una regla bidireccional
Permitir para dicha red remota en la primera posición de la lista de
reglas de Firewall.
• No: agrega la red a la lista de redes definidas para crear reglas.
Propietario
Ejecutables de
confianza
Especifica ejecutables que son seguros en cualquier entorno y que no
tienen vulnerabilidades conocidas. Estos ejecutables tienen permiso
para realizar todas las operaciones excepto aquellas que indiquen que
los ejecutables están en peligro.
Al configurar un ejecutable de confianza, se crea una regla
bidireccional Permitir para dicho ejecutable en la primera posición de
la lista de reglas de Firewall.
• Agregar: agrega un ejecutable de confianza.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el ejecutable de la lista de confianza.
Véase también
Configurar opciones deFirewall en la página 127
Definir redes para usar en reglas y grupos en la página 129
Configuración de ejecutables de confianza en la página 130
Agregar ejecutable o Editar ejecutable en la página 150
Firewall: Reglas
Administre grupos y reglas de firewall.
Solo puede agregar y eliminar reglas y grupos en el grupo Agregado por usuario. Firewall mueve de
manera automática a este grupo las reglas que se acaban de agregar.
Para restablecer la configuración a la configuración predeterminada de fábrica y cancelar los cambios,
haga clic en Restablecer a predeterminado.
Tabla 4-3 Opciones
144
Sección Opción
Definición
REGLAS
Agregar regla
Crea una regla de firewall.
Agregar grupo
Crea un grupo de firewall.
McAfee Endpoint Security 10.2
Regla Grupo
Guía del producto
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-3 Opciones (continuación)
Sección Opción
Definición
Hacer doble clic en
un elemento
Modifica el elemento seleccionado.
Duplicar
Crea una copia del elemento seleccionado.
Eliminar
Elimina un elemento de firewall seleccionado.
Regla Grupo
Indica elementos que pueden moverse en la lista.
Seleccione elementos y arrástrelos hasta la nueva
ubicación. Aparecerá una línea azul entre elementos
en los puntos en los que se pueden colocar los
elementos arrastrados.
Véase también
Creación y administración de directivas y grupos de Firewall en la página 137
Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 145
Agregar regla o Editar regla, Agregar grupo o Editar grupo
Agregue o edite grupos y reglas de firewall.
Tabla 4-4
Opciones
Sección
Opción
Definición
Regla Grupo
Descripción
Nombre
Especifica el nombre descriptivo del elemento (obligatorio).
Estado
Activa o desactiva el elemento.
Especificar
acciones
Permitir: permite el tráfico a través del firewall si el elemento
coincide.
Bloquear: impide el tráfico a través del firewall si el elemento
coincide.
Tratar coincidencia como intrusión: El tráfico que coincide con la
regla se trata como una intrusión. Al activar esta opción, se
muestra una alerta, se envía un evento al servidor de
administración y se agrega el elemento al archivo de
registro de Cliente de Endpoint Security.
Práctica recomendada: No active esta opción en una
regla Permitir porque da lugar a numerosos eventos.
Registrar tráfico coincidente: el tráfico que coincide con la regla
se trata como una detección. Al activar esta opción, se
envía un evento al servidor de administración y se agrega el
elemento al archivo de registro de Cliente de Endpoint
Security.
Dirección
Especifica la dirección:
• Cualquiera: supervisa tanto el tráfico entrante como el
saliente.
• En: supervisa el tráfico entrante.
• Salida: supervisa el tráfico saliente.
Notas
McAfee Endpoint Security 10.2
Proporciona más información sobre el elemento.
Guía del producto
145
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-4
Opciones (continuación)
Sección
Opción
Definición
Regla Grupo
Ubicación
Activar
detección de
ubicación
Activa o desactiva la información de ubicación para el
grupo.
Nombre
Especifica el nombre de la ubicación (obligatorio).
Activar
aislamiento de
conexión
Bloquea el tráfico en los adaptadores de red que no
coincidan con el grupo cuando haya un adaptador que sí
coincida con él.
La configuración de Transporte y Ejecutables no está
disponible para grupos de aislamiento de conexión.
Uno de los usos de esta opción consiste en bloquear el
tráfico generado por fuentes potencialmente no deseadas
fuera de la red corporativa y evitar que acceda a ella. Solo
se puede bloquear el tráfico de esta manera si no hay una
regla anterior al grupo en el firewall que sí le permita el
acceso.
Cuando el aislamiento de conexión se activa y una tarjeta
de interfaz de red coincide con el grupo, el tráfico se
permite únicamente en estos casos:
• El tráfico coincide con una regla Permitir anterior al grupo.
• El tráfico que se mueve por una tarjeta de interfaz de red
coincide con el grupo y hay una regla en dicho grupo (o
posterior a este) que permite el tráfico.
Si no hay ninguna tarjeta de interfaz de red que coincida
con el grupo, este se omitirá y se proseguirá con la
coincidencia de reglas.
Requerir el
acceso a
McAfee ePO
146
McAfee Endpoint Security 10.2
Permite al grupo que coincida solamente si hay
comunicación con el servidor McAfee ePO y se ha resuelto el
nombre de dominio completo del servidor.
Guía del producto
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-4
Sección
Opciones (continuación)
Opción
Definición
Regla Grupo
Criterios de
ubicación
• Sufijo DNS específico de conexión: especifica un sufijo DNS
específico de la conexión en el formato: ejemplo.com.
• Gateway predeterminada: especifica una dirección IP única para
una gateway predeterminada en formato IPv4 o IPv6.
• Servidor DHCP: especifica una dirección IP única para un
servidor DHCP en formato IPv4 o IPv6.
• Servidor DNS: especifica una dirección IP única para un
servidor de nombre de dominio en formato IPv4 o IPv6.
• Servidor WINS principal: especifica una dirección IP única para
un servidor WINS principal en formato IPv4 o IPv6.
• Servidor WINS secundario: especifica una dirección IP única
para un servidor WINS secundario en formato IPv4 o
IPv6.
• Posibilidad de alcance del dominio: Requiere se pueda acceder al
dominio especificado.
• Clave de Registro: Especifica la clave de Registro y el valor de
Registro.
1 Haga clic en Agregar.
2 En la columna Valor, introduzca una clave de Registro
con el formato:
<ROOT>\<KEY>\[VALUE_NAME]
• En <ROOT>, debe utilizar el nombre completo de la
raíz, como por ejemplo HKEY_LOCAL_MACHINE y no
la abreviación HKLM.
• <KEY> es el nombre de clave bajo la raíz.
• [VALUE_NAME] es el nombre del valor de clave. Si
no se incluye el nombre del valor, se presupone que
tiene el valor predeterminado.
Formatos de ejemplo:
• IPv4: 123.123.123.123
• IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7
Especifica las opciones de host de red que corresponden al
elemento.
Redes
Protocolo de red Especifica el protocolo de red que se aplica al elemento.
Cualquier
protocolo
Permite tanto protocolo IP como protocolo distinto de IP.
Protocolo IP
Excluye cualquier protocolo distinto de IP.
Si se especifica un protocolo de transporte o una aplicación,
solo se permiten protocolos IP.
• Protocolo IPv4
• Protocolo IPv6
Si no se activa ninguna casilla, se aplica cualquier protocolo
IP. Se puede seleccionar tanto IPv4 como IPv6.
McAfee Endpoint Security 10.2
Guía del producto
147
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-4
Sección
Opciones (continuación)
Opción
Definición
Protocolo
distinto de IP
Solo incluye protocolos distintos de IP.
Regla Grupo
• Seleccionar EtherType de la lista: especifica un EtherType.
• Especificar EtherType personalizado: especifica los cuatro
caracteres de valor hexadecimal EtherType del protocolo
distinto de IP. Consulte los números de Ethernet para ver
los valores EtherType. Por ejemplo, escriba 809B para
AppleTalk, 8191 para NetBEUI u 8037 para IPX.
Tipos de
conexión
Indica si se aplica uno o todos los tipos de conexión:
• Con cable
• Inalámbrico
• Virtual
Una conexión de tipo Virtual es un adaptador presentado
por un VPN o una aplicación de máquina virtual, como
VMware, en lugar de un adaptador físico.
Especificar
redes
Especifica las redes que se aplican al elemento.
• Agregar: crea y agrega una red.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: elimina la red de la lista.
Transporte
148
McAfee Endpoint Security 10.2
Especifica las opciones de transporte que se aplican al
elemento.
Guía del producto
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-4
Sección
Opciones (continuación)
Opción
Definición
Regla Grupo
Protocolo de
transporte
Especifica el protocolo de transporte asociado al elemento.
Seleccione el protocolo, haga clic en Agregar para agregar
puertos.
• Todos los protocolos: permite protocolos IP, distintos de IP y
no admitidos.
• TCP y UDP: Seleccione una opción del menú desplegable:
• Puerto local: especifica el puerto o servicio de tráfico local
que corresponde al elemento.
• Puerto remoto: especifica el puerto o servicio de tráfico en
otro equipo al que se aplica el elemento.
Puerto local y Puerto remoto pueden ser:
• Un único servicio. Por ejemplo, 23.
• Un intervalo. Por ejemplo, 1–1024.
• Una lista separada por comas con los puertos
individuales y los intervalos de puertos. Por ejemplo:
80, 8080, 1–10, 8443 (hasta 4 elementos).
De manera predeterminada, las reglas se aplican a todos
los servicios y puertos.
• ICMP: en el elemento desplegable Tipo de mensaje,
especifique un tipo de mensaje ICMP. Consulte ICMP.
• ICMPv6: en el elemento desplegable Tipo de mensaje,
especifique un tipo de mensaje ICMP. Consulte ICMPv6.
• Otros: ofrece una lista de protocolos menos comunes.
Especifica los ejecutables que se aplican a la regla.
Ejecutables
• Agregar: crea y agrega un ejecutable.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: elimina un ejecutable de la lista.
Especifica la configuración de la planificación
correspondiente a la regla o al grupo.
Planificación
Activar
planificación
Activa la planificación de la regla o el grupo sincronizado.
Cuando la planificación está desactivada, la regla o las
reglas del grupo no se aplican.
• Hora de inicio: especifica la hora de inicio para la activación
de la planificación.
• Hora de finalización:: especifica la hora para la desactivación
de la planificación.
• Días de la semana: especifica los días de la semana para
la activación de la planificación.
Para las horas de inicio y finalización, utilice el formato de
24 horas. Por ejemplo, 13:00 = 1:00 p.m.
Puede planificar grupos sincronizados de Firewall o permitir
al usuario activarlos desde el icono de la bandeja del
sistema de McAfee.
McAfee Endpoint Security 10.2
Guía del producto
149
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-4
Sección
Opciones (continuación)
Opción
Definición
Regla Grupo
Desactivar la
planificación y
activar el grupo
desde el icono
de la bandeja
del sistema de
McAfee
Especifica que el usuario puede activar el grupo
sincronizado durante un número de minutos determinado
mediante el icono de la bandeja del sistema de McAfee en
lugar de usar la planificación.
Práctica recomendada: Utilice esta opción para permitir
un amplio acceso a la red, como, por ejemplo, en un
hotel, para que se pueda establecer una conexión a una
red privada virtual (VPN).
Al seleccionar esta opción se muestran más opciones de
menú en Configuración rápida mediante el icono de la bandeja
del sistema de McAfee:
• Activar grupos sincronizados de firewall: Activa los grupos
sincronizados durante un período determinado para
permitir el acceso a Internet antes de que se apliquen las
reglas que restringen el acceso. Cuando los grupos
sincronizados están activados, la opción que se muestra
es Desactivar grupos sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el
tiempo asignado a los grupos.
Dependiendo de la configuración, es posible que se le pida
que proporcione al administrador un motivo para activar
los grupos sincronizados.
• Ver grupos sincronizados de firewall: muestra los nombres de los
grupos sincronizados y el tiempo restante de activación
de cada grupo.
Número de
minutos (1 - 60)
para activar el
grupo
Especifica el número de minutos (de 1 a 60) que debe estar
activado el grupo sincronizado después de seleccionar Activar
grupos sincronizados de firewall en el icono de la bandeja del
sistema de McAfee.
Véase también
Creación y administración de directivas y grupos de Firewall en la página 137
Creación de grupos sincronizados en la página 140
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la
bandeja del sistema de McAfee en la página 126
Agregar red o Editar red en la página 151
Agregar ejecutable o Editar ejecutable en la página 150
Agregar ejecutable o Editar ejecutable
Agregue o edite un ejecutable asociado a una regla o un grupo.
Tabla 4-5
Opciones
Opción
Definición
Nombre
Especifica el nombre que le da al ejecutable.
Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo,
Descripción del archivo, Hash MD5 o firmante.
Ruta o nombre de
archivo
Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
150
McAfee Endpoint Security 10.2
Guía del producto
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-5
Opciones (continuación)
Opción
Definición
Descripción del
archivo
Indica la descripción del archivo.
Hash MD5
Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Firmante
Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado
desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de
proceso.
• Firmado por: Permite solo los archivos firmados por el firmante del proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir
exactamente con las entradas en el campo adjunto, incluidos comas y espacios.
El firmante del proceso aparece en el formato correcto en los eventos del Cliente
de Endpoint Security de Cliente de Endpoint Security y en el Registro de eventos
de amenazas de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3 En la ficha General haga clic en Ver certificado.
4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del firmante
aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del
firmante:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
Proporciona más información sobre el elemento.
Notas
Agregar red o Editar red
Agrega o edita una red asociada a una regla o un grupo.
Tabla 4-6
Opciones
Opción
Definición
Regla Grupo
Nombre
Especifica el nombre de la dirección de la red (obligatorio).
Tipo
Selecciona una de esta opciones:
• Red local: crea y agrega una red local.
• Red remota: crea y agrega una red remota.
Agregar
McAfee Endpoint Security 10.2
Agrega un tipo de red a la lista de redes.
Guía del producto
151
4
Uso de Firewall
Referencia de la interfaz de cliente: Firewall
Tabla 4-6
Opciones (continuación)
Opción
Definición
Regla Grupo
Hacer doble clic en
un elemento
Modifica el elemento seleccionado.
Eliminar
Elimina el elemento seleccionado.
Tipo de dirección
Especifica el origen o el destino del tráfico. Seleccione un
elemento de la lista desplegable Tipo de dirección.
Dirección
Especifica la dirección IP que agregar a la red.
Se aceptan caracteres comodín.
Véase también
Tipo de dirección en la página 152
Tipo de dirección
Especifique el tipo de dirección de una red definida.
Tabla 4-7
Opciones
Opción
Definición
Dirección IP única
Especifica una dirección IP concreta. Por ejemplo:
• IPv4: 123.123.123.123
• IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Subred
Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo:
• IPv4: 123.123.123.0/24
• IPv6: 2001:db8::0/32
Subred local
Especifica la dirección de subred del adaptador local.
Intervalo
Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final del
intervalo. Por ejemplo:
• IPv4: 123.123.1.0 – 123.123.255.255
• IPv6: 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff
152
Nombre de dominio
completo
Especifica el FQDN. Por ejemplo, www.ejemplo.com.
Cualquier dirección IP
local
Especifica cualquier dirección IP local.
Cualquier dirección
IPv4
Especifica cualquier dirección IPv4.
Cualquier dirección
IPv6
Especifica cualquier dirección IPv6.
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Las funciones de Control web se muestran en el navegador mientras navega o busca.
Contenido
Acerca de las funciones de Control web
Acceso a las funciones de Control web
Administrar Control web
Referencia de la interfaz de cliente: Control web
Acerca de las funciones de Control web
Dado que Control web se ejecuta en cada sistema gestionado, le notifica si hay amenazas mientras
navega o hace búsquedas en sitios web.
Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadas
con colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio.
El software utiliza los resultados de las pruebas para notificarle posibles amenazas basadas en web.
En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El color
del icono indica la calificación de seguridad del sitio web. Puede acceder a información adicional a
través de los iconos.
En la ventana del navegador: aparece un botón en el navegador. El color del botón indica la
calificación de seguridad del sitio web. Puede acceder a información adicional haciendo clic en el
botón.
El botón también le notifica cuando se producen problemas de comunicación y proporciona acceso
rápido a pruebas que ayudan a identificar problemas comunes.
En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación de
seguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otros
datos.
En los sistemas gestionados, los administradores crean directivas para:
•
Activar y desactivar Control web en el sistema, y permitir o impedir la desactivación del
complemento de navegador.
•
Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de
contenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios
web amarillos.
•
Bloqueo o autorización de sitios en función de las direcciones URL y dominios.
McAfee Endpoint Security 10.2
Guía del producto
153
5
Uso de Control web
Acerca de las funciones de Control web
•
Impedirle que desinstale o cambie archivos de Control web, claves y valores de Registro, servicios
y procesos.
•
Personalizar la notificación que aparece cuando intenta acceder a un sitio web bloqueado.
•
Supervisar y regular la actividad del navegador en los equipos de red y crear informes detallados
acerca de sitios web.
En los sistemas autogestionados, puede establecer la configuración para:
•
Activar y desactivar Control web en el sistema.
•
Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de
contenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios
web amarillos.
El software es compatible con los navegadores Microsoft Internet Explorer, Mozilla Firefox y Google
Chrome.
En los sistemas autogestionados se permiten todos los navegadores de forma predeterminada, tanto
los compatibles como los no compatibles.
Chrome no admite la opción Mostrar globo.
Véase también
El botón de Control web identifica las amenazas durante la navegación en la página 155
Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 156
Los informes de sitio web proporcionan detalles en la página 156
Modo de compilación de las clasificaciones de seguridad en la página 157
Cómo Control web bloquea o advierte de un sitio web o
descarga
Cuando un usuario visita un sitio web que se ha bloqueado o que tiene una advertencia, Control web
muestra una página o mensaje emergente que indica la razón.
Si las acciones de calificación para un sitio web están establecidas en:
•
Advertencia: Control web muestra una advertencia para notificar a los usuarios de daños potenciales
asociados con el sitio web.
•
Cancelar vuelve al sitio web al que se ha navegado previamente.
Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible.
•
•
Continuar: continúa con el acceso al sitio web.
Bloquear: Control web muestra un mensaje de que el sitio web está bloqueado e impide a los
usuarios acceder al sitio web.
Aceptar vuelve al sitio web al que se ha navegado previamente.
Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible.
Si las acciones de calificación para las descargas de un sitio web están establecidas en:
•
154
Advertencia: Control web muestra una advertencia para notificar a los usuarios de daños potenciales
asociados con el archivo descargado.
•
Bloquear: impide la descarga y vuelve al sitio web.
•
Continuar: continúa con la descarga.
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Acerca de las funciones de Control web
•
Bloquear: Control web muestra un mensaje que indica que el sitio web está bloqueado e impide la
descarga.
Aceptar: vuelve al sitio web.
El botón de Control web identifica las amenazas durante la
navegación
Al navegar a un sitio web, aparece en el navegador un botón codificado por colores
color del botón corresponde a la calificación de seguridad del sitio web.
. El
La calificación de seguridad es aplicable a URL de protocolos HTTP y HTTPS únicamente.
Internet Explorer
y Safari
(Macintosh)
Firefox y
Chrome
Descripción
McAfee SECURE prueba y certifica la seguridad de este sitio
web a diario. (Solo Windows)
™
El sitio web es seguro.
Puede que este sitio web presente algunos problemas.
Este sitio tiene algunos problemas graves.
No hay calificación disponible para este sitio web.
Este botón aparece para URL de protocolo FILE (file://).
Se ha producido un error de comunicación con el servidor de
McAfee GTI que contiene información de calificación.
Control web no ha enviado ninguna consulta a McAfee GTI
acerca de este sitio, lo que indica que el sitio web es interno o
corresponde a un intervalo de direcciones IP privadas.
El sitio web es un sitio de phishing.
El phishing es un intento de adquirir información confidencial,
por ejemplo, nombres de usuario, contraseñas o datos de
tarjetas de crédito. Los sitios web de phishing se hacen pasar
por entidades de confianza en las comunicaciones
electrónicas.
Este sitio está autorizado por una opción de configuración.
Una opción de configuración ha desactivado Control web.
La ubicación del botón depende del navegador:
•
Internet Explorer: barra de herramientas de Control web
•
Firefox: esquina derecha de la barra de herramientas de Firefox
•
Chrome: barra de dirección
Véase también
Ver información acerca de un sitio al navegar en la página 159
McAfee Endpoint Security 10.2
Guía del producto
155
5
Uso de Control web
Acerca de las funciones de Control web
Los iconos de seguridad identifican las amenazas durante la
búsqueda
Cuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!,
Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página de
resultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web.
Las pruebas no detectaron problemas importantes.
Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio ha
intentado cambiar los valores predeterminados de los analizadores para el navegador, ha
mostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correo
electrónico no considerados spam.
Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes de
acceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correo
electrónico spam o adware incluido en las descargas.
Este sitio está bloqueado por una .
Este sitio web no tiene clasificación.
Véase también
Ver informe de sitio web durante la búsqueda en la página 159
Los informes de sitio web proporcionan detalles
Usted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazas
concretas.
Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienen
la información indicada a continuación.
Este
elemento...
Indica...
Descripción
general
La calificación global del sitio web, determinada por estas pruebas:
• Evaluación de las prácticas de correo electrónico y descarga del sitio web usando
nuestras técnicas patentadas de recopilación y análisis de datos.
• Examen del propio sitio web en busca de prácticas molestas como, por ejemplo,
un exceso de ventanas emergentes o solicitudes para cambiar la página de inicio
del usuario.
• Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitios
sospechosos.
• Combinación de la revisión de sitios sospechosos de McAfee con los comentarios
de los servicios Threat Intelligence.
Afiliaciones
online
Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a los
usuarios para que vayan a otros sitios web marcados con una calificación roja de
McAfee.
Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. La
finalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite el
sitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo,
cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Control web
considera el sitio web rojo por asociación.
156
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Acerca de las funciones de Control web
Este
elemento...
Indica...
Pruebas de
spam a través
de la Web
La calificación global de las prácticas relacionadas con el correo electrónico de un
sitio web en función de los resultados de las pruebas.
Pruebas de
descarga
La calificación global del impacto que tiene el software descargable de un sitio web
en el equipo de pruebas, en función de sus resultados.
McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibe
tras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam.
Si alguna de estas medidas está por encima de lo que consideramos aceptable,
McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellas
parece especialmente notoria, McAfee le otorga una calificación roja.
McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadas
con virus o que agregan software no relacionado que podría considerarse adware o
spyware. La calificación también considera los servidores de red con los que
contacta un programa descargado durante su funcionamiento, además de cualquier
modificación realizada a la configuración del navegador o los archivos de Registro
de un equipo.
Véase también
Ver informe de sitio web durante la búsqueda en la página 159
Ver información acerca de un sitio al navegar en la página 159
Modo de compilación de las clasificaciones de seguridad
Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criterios
para cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes.
Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante las
siguientes acciones:
•
Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidos
en la descarga.
•
Introducción de información de contacto en formularios de registro y comprobación del spam
resultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio o
sus asociados.
•
Comprobación del exceso de ventanas emergentes.
•
Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.
•
Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web.
El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además,
lo siguiente:
•
Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de las
medidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios.
•
Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes de
phishing o experiencias negativas de compra.
•
Más análisis de los expertos de McAfee.
El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.
McAfee Endpoint Security 10.2
Guía del producto
157
5
Uso de Control web
Acceso a las funciones de Control web
Acceso a las funciones de Control web
Puede acceder a las funciones de Control web desde el navegador.
Procedimientos
•
Activar el complemento Control web en el navegador en la página 158
En algunos navegadores, debe activar manualmente el complemento Control web para
recibir notificaciones sobre amenazas basadas en la Web al navegar y hacer búsquedas.
•
Ver información acerca de un sitio al navegar en la página 159
Utilice el botón Control web del navegador para ver información acerca de un sitio. Este
botón funciona de forma distinta según el navegador.
•
Ver informe de sitio web durante la búsqueda en la página 159
Use el icono de seguridad en la página de resultados de búsqueda para ver más
información acerca del sitio web.
Activar el complemento Control web en el navegador
En algunos navegadores, debe activar manualmente el complemento Control web para recibir
notificaciones sobre amenazas basadas en la Web al navegar y hacer búsquedas.
Antes de empezar
El módulo Control web debe estar activado.
Al iniciar Internet Explorer o Chrome por primera vez, se le indicará que active complementos. El
complemento Control web está activado de forma predeterminada en Firefox.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
•
En el aviso, haga clic en el botón para activar el complemento.
Internet
Explorer
• Haga clic en Activar.
Chrome
Haga clic en Activar extensión.
Firefox
• Haga clic en Complementos | Extensiones.
• Si hay más de un complemento disponible, haga clic en Elegir complementos y
luego en Activar para la barra de herramientas de Control web.
• Haga clic en Activar para activar la extensión Control web de Endpoint Security.
• Reinicie Firefox.
En Internet Explorer, al desactivar la barra de herramientas de Control web, se le indicará que
desactive también el complemento Control web. En los sistemas gestionados, si la configuración de
directivas impide desinstalar o desactivar el complemento, Control web permanece activado aunque
la barra de herramientas no esté visible.
158
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Acceso a las funciones de Control web
Ver información acerca de un sitio al navegar
Utilice el botón Control web del navegador para ver información acerca de un sitio. Este botón
funciona de forma distinta según el navegador.
Antes de empezar
•
El módulo Control web debe estar activado.
•
El complemento de Control web debe estar activado en el navegador.
•
La opción Ocultar la barra de herramientas en el navegador del cliente en la configuración de Opciones
debe estar desactivada.
Si Internet Explorer se encuentra en modo de pantalla completa, no aparece la barra de herramientas
de Control web.
Para mostrar el menú de Control web:
Internet Explorer y Firefox
Chrome
Haga clic en el botón
Haga clic en el botón
de la barra de herramientas.
de la barra de dirección.
Procedimiento
1
Mostrar un globo con un resumen de la calificación de seguridad del sitio: mantenga el cursor sobre
el botón en la barra de herramientas de Control web.
(Solo Internet Explorer y Firefox)
2
Mostrar el informe de sitio web detallado, con más información sobre la calificación de seguridad
del sitio:
•
Haga clic en el botón Control web.
•
Seleccione Ver informe de sitio web en el menú Control web.
•
Haga clic en el vínculo Leer informe de sitio web en el globo del sitio web. (Solo Internet Explorer y
Firefox)
Véase también
El botón de Control web identifica las amenazas durante la navegación en la página 155
Los informes de sitio web proporcionan detalles en la página 156
Ver informe de sitio web durante la búsqueda
Use el icono de seguridad en la página de resultados de búsqueda para ver más información acerca
del sitio web.
Procedimiento
1
Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informe
de seguridad para el sitio web.
2
Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otra
ventana del navegador.
Véase también
Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 156
Los informes de sitio web proporcionan detalles en la página 156
McAfee Endpoint Security 10.2
Guía del producto
159
5
Uso de Control web
Administrar Control web
Administrar Control web
Como administrador, puede especificar la configuración de Control web para activar y personalizar la
protección, bloquear basándose en las categorías web y configurar el registro.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Configuración de las opciones de Control web
Puede activar y configurar las opciones de Control web desde Cliente de Endpoint Security.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Control web en la página principal Estado.
O bien en el menú Acción
página Configuración.
160
3
Haga clic en Mostrar avanzado.
4
Haga clic en Opciones.
McAfee Endpoint Security 10.2
, seleccione Configuración y, a continuación, haga clic en Control web en la
Guía del producto
Uso de Control web
Administrar Control web
5
5
Seleccione Activar Control web para activar Control web y modificar sus opciones.
Para...
Haga esto...
Ocultar la barra de
herramientas de
Control web en el
navegador sin
desactivar la
protección.
Seleccione Ocultar la barra de
herramientas en el navegador del cliente.
Rastrear eventos de
navegador para usar
en los informes.
Ajuste la configuración en la
sección Registro de eventos.
Bloquear o avisar de
direcciones URL
desconocidas.
En Implementación de acciones,
seleccione la acción (Bloquear,
Permitir o Advertir) para los sitios
web que aún no hayan sido
verificados por McAfee GTI.
Notas
Configure los eventos de Control web
enviados desde los sistemas cliente al
servidor de administración para usar
en consultas e informes.
Analizar archivos antes En Implementación de acciones,
de su descarga.
seleccione Permitir análisis de archivos
para las descargas de archivos y luego
seleccione el nivel de riesgo de
McAfee GTI que bloquear.
Agregar sitios externos En Implementación de acciones, en
a la red privada local.
Especificar direcciones IP e intervalos
adicionales a los que conceder permiso,
haga clic en Agregar e introduzca
la dirección IP externa o el
intervalo.
Bloquear vínculos a
sitios peligrosos en los
resultados de la
búsqueda.
En Búsqueda segura, seleccione
Activar búsqueda segura, seleccione el
motor de búsqueda, y luego
especifique si se deben bloquear
los vínculos a los sitios web
peligrosos.
Búsqueda segura filtra
automáticamente los sitios maliciosos
de los resultados de búsqueda
basándose en su calificación de
seguridad. Control web usa Yahoo
como motor de búsqueda
predeterminado y es compatible con
Búsqueda segura únicamente en
Internet Explorer.
Si cambia el motor de búsqueda
predeterminado, reinicie el navegador
para que los cambios surtan efecto.
La próxima vez que el usuario abra
Internet Explorer, Control web
mostrará un aviso emergente que
insta al usuario a cambiar a la
Búsqueda segura de McAfee con el
motor de búsqueda especificado. Para
versiones de Internet Explorer en las
que el motor de búsqueda está
bloqueado, no aparece la ventana
emergente Búsqueda segura.
6
Seleccione otras opciones según sea necesario.
7
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Cómo se analizan las descargas de archivos en la página 162
Iniciar sesión como administrador en la página 27
McAfee Endpoint Security 10.2
Guía del producto
161
5
Uso de Control web
Administrar Control web
Cómo se analizan las descargas de archivos
Control web envía solicitudes de descarga de archivos a Prevención de amenazas para su análisis
antes de la descarga.
Cómo funciona McAfee GTI
Si activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurística
para comprobar si existen archivos sospechosos. En el servidor de McAfee GTI, se almacenan las
calificaciones de sitio web y los informes de Control web. Si configura Control web para analizar los
162
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Administrar Control web
archivos descargados, el analizador utiliza la reputación de archivos proporcionada por McAfee GTI
para comprobar la existencia de archivos sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central
alojado en McAfee Labs para determinar si son malware. Al enviar hashes, es posible que la detección
esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs
publique la actualización.
Puede configurar el nivel de sensibilidad que McAfee GTI utiliza cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitir más detecciones, también pueden obtenerse más
resultados falsos positivos.
•
Para Prevención de amenazas, el nivel de sensibilidad predeterminado de McAfee GTI es Medio.
Defina el nivel de sensibilidad de cada analizador en la configuración de Prevención de amenazas.
•
Para Control web, el nivel de sensibilidad predeterminado de McAfee GTI es Muy alto. Defina el
nivel de sensibilidad para analizar descargas de archivos en la configuración de Opciones de Control
web.
Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Especificar acciones de calificación y bloquear el acceso al sitio
web según la categoría web
Configure las opciones de Acciones según contenido para especificar las acciones que desea aplicar a los
sitios web y las descargas de archivos según las calificaciones de seguridad. También tiene la opción
de bloquear o permitir sitios web en cada categoría web.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Use la configuración de Mensajes de implementación para personalizar el mensaje que se muestra a los
usuarios en relación con las descargas y los sitios web bloqueados o con advertencia, y los sitios de
phishing bloqueados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Control web en la página principal Estado.
O bien en el menú Acción
página Configuración.
, seleccione Configuración y, a continuación, haga clic en Control web en la
3
Haga clic en Mostrar avanzado.
4
Haga clic en Acciones según contenido.
5
En la sección Bloqueo de categorías web, para cada Categoría web, active o desactive la opción Bloquear.
Para los sitios web en las categorías no bloqueadas, Control web aplica las acciones de calificación.
McAfee Endpoint Security 10.2
Guía del producto
163
5
Uso de Control web
Referencia de la interfaz de cliente: Control web
6
En la sección Acciones de calificación, especifique las acciones que desea aplicar a los sitios web y las
descargas de archivos según las calificaciones de seguridad definidas por McAfee.
Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoría
web.
7
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Uso de categorías web para el control de acceso en la página 164
Uso de calificaciones de seguridad para controlar el acceso en la página 164
Iniciar sesión como administrador en la página 27
Uso de categorías web para el control de acceso
Las categorías web le permiten controlar el acceso a los sitios web según las categorías definidas por
McAfee. Puede especificar opciones para permitir o bloquear el acceso a sitios según la categoría de su
contenido.
Cuando activa el bloqueo de categorías web en la configuración de Acciones según contenido, el
software bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas,
Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105
categorías web.
Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitio
web pertenece a una de las categorías definidas, el acceso se bloquea o se permite según la
configuración de la Acciones según contenido. A los sitios web y las descargas de archivos de las
categorías no bloqueadas se les aplican las Acciones de calificación especificadas.
Uso de calificaciones de seguridad para controlar el acceso
Configure las acciones según las calificaciones de seguridad para determinar si los usuarios pueden
acceder a un sitio o a recursos de un sitio web.
Para cada sitio web o descarga de archivo, especifique si se debe permitir, bloquear o advertir según la
calificación. Esto permite un mayor nivel de granularidad para proteger a los usuarios contra archivos
que pueden presentar una amenaza para los sitios web con calificación global verde.
Referencia de la interfaz de cliente: Control web
Los temas de ayuda de referencia de la interfaz proporcionan ayuda según el contexto para las
páginas de la interfaz de cliente.
Contenido
Control web: Opciones
Control web: Acciones según contenido
Control web: Opciones
Configure las opciones generales de Control web, que incluyen activar, especificar implementación de
acciones, Búsqueda segura y anotaciones de correo electrónico.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.
164
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Referencia de la interfaz de cliente: Control web
Tabla 5-1
Opciones
Sección
Opción
Definición
OPCIONES
Activar Control web
Activa o desactiva Control web. (Opción activada de forma
predeterminada)
Ocultar la barra de
herramientas en el
navegador del cliente
Oculta la barra de herramientas de Control web en el navegador
sin desactivar su funcionalidad. (Opción desactivada de forma
predeterminada)
Registrar categorías web
para sitios web con
calificación verde
Registra categorías de contenido para todos los sitios web con
calificación verde.
Registrar eventos de
iFrame de Control web
Registra cuando se bloquean los sitios web maliciosos (rojos) y
de advertencia (amarillos) que aparecen en un iFrame de HTML.
Aplicar esta acción a
sitios aún no verificados
por McAfee GTI
Especifica la acción predeterminada que aplicar a sitios web que
McAfee GTI todavía no ha calificado.
Registro de
eventos
Implementación
de acciones
Activar esta función podría afectar negativamente al
rendimiento del servidor McAfee ePO.
• Permitir (opción predeterminada): permite que los usuarios
tengan acceso al sitio web.
• Advertir: muestra una advertencia que informa a los usuarios
sobre los peligros potenciales asociados con el sitio web. Los
usuarios deben descartar la advertencia antes de continuar.
• Bloquear: evita que los usuarios tengan acceso al sitio web y
muestra un mensaje que indica que el sitio de descargas está
bloqueado.
Permitir compatibilidad
con iFrame de HTML
Bloquea el acceso a sitios web maliciosos (rojos) y de
advertencia (amarillos) que aparecen en un iFrame HTML.
(Opción activada de forma predeterminada)
Bloquear sitios de forma Bloquea el acceso a sitios web de forma predeterminada si
predeterminada si el
Control web no puede acceder al servidor de McAfee GTI.
servidor de calificaciones
McAfee GTI no está
accesible
Bloquear páginas de
phishing para todos los
sitios
Bloquea todas las página de phishing, independientemente de
las acciones de calificaciones de contenido. (Opción activada de
forma predeterminada)
Permitir análisis de
archivos para las
descargas de archivos
Analiza todos los archivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scr
y .com) antes de su descarga. (Opción activada de forma
predeterminada)
Esta opción impide que los usuarios accedan a un archivo
descargado hasta que Control web y Prevención de amenazas lo
marquen como limpio.
Control web realiza una búsqueda de McAfee GTI del archivo. Si
McAfee GTI permite el archivo, Control web envía el archivo a
Prevención de amenazas para su análisis. Si un archivo
descargado se identifica como una amenaza, Endpoint Security
realiza una acción en el archivo y alerta al usuario.
Nivel de sensibilidad de
McAfee GTI
McAfee Endpoint Security 10.2
Especifica el nivel de sensibilidad de McAfee GTI que Control
web utiliza para descargar archivos.
Guía del producto
165
5
Uso de Control web
Referencia de la interfaz de cliente: Control web
Tabla 5-1
Opciones (continuación)
Sección
Opción
Definición
Exclusiones
Especificar direcciones
IP o intervalos que
excluir de la calificación
o bloqueo de Control web
Agrega direcciones IP e intervalos concretos a la red privada
local y los excluye de la calificación o bloqueo.
Las direcciones IP privadas se excluyen de forma
predeterminada.
Práctica recomendada: Utilice esta opción para tratar los
sitios web externos como si perteneciesen a la red local.
• Agregar: Agregue una dirección IP a la lista de direcciones
privadas de la red local.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: elimina una dirección IP de la lista de direcciones
privadas de la red local.
Búsqueda segura
Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente los
sitios web maliciosos de los resultados de búsqueda según su
calificación de seguridad.
Establezca el motor de
Especifica el motor de búsqueda predeterminado en los
búsqueda
navegadores compatibles:
predeterminado en los
• Yahoo
navegadores compatibles
• Google
• Bing
• Ask
Bloquear vínculos a sitios Evita que los usuarios hagan clic en vínculos a sitios web
peligrosos en los
peligrosos en los resultados de la búsqueda.
resultados de la
búsqueda
Tabla 5-2 Opciones avanzadas
Sección
Opción
Definición
Anotaciones de correo
electrónico
Activar anotaciones en correo
electrónico basado en navegador
Anota direcciones URL en clientes de correo
electrónico basados en el navegador (p. ej.
Yahoo Mail y Gmail).
Activar anotaciones en clientes de
correo electrónico no basados en
Web
Anota direcciones URL en herramientas de
administración de correo electrónico de 32 bits,
como Microsoft Outlook o Outlook Express.
Véase también
Configuración de las opciones de Control web en la página 160
Cómo se analizan las descargas de archivos en la página 162
McAfee GTI en la página 119
Control web: Acciones según contenido
Defina las acciones a tomar para los sitios web calificados y las categorías de contenido web.
Para los sitios web y las descargas de archivos en las categorías desbloqueadas, Control web aplica las
acciones de calificación.
166
McAfee Endpoint Security 10.2
Guía del producto
5
Uso de Control web
Referencia de la interfaz de cliente: Control web
Tabla 5-4
Opciones
Sección
Opción
Definición
Acciones de
calificación
Acciones de
calificación
para sitios
Especifica acciones para sitios web que estén calificados como rojo,
amarillo o sin calificar.
Los sitios web y las descargas con calificación verde se permiten
automáticamente.
• Permitir: permite que los usuarios tengan acceso al sitio web.
(Opción predeterminada para los sitios web Sin calificar)
• Advertir: muestra una advertencia que informa a los usuarios sobre los
peligros potenciales asociados con el sitio web.
Los usuarios deben hacer clic en Cancelar para volver al sitio que habían
visitado antes o en Continuar para acceder al sitio.
Si en el navegador no se había visitado ningún sitio, la opción Cancelar no
está disponible.
(Opción predeterminada para los sitios web Amarillos)
• Bloquear: evita que los usuarios tengan acceso al sitio web y muestra un
mensaje que indica que el sitio web está bloqueado.
Los usuarios deben hacer clic en Aceptar para volver al sitio que habían
visitado antes.
Si en el navegador no se había visitado ningún sitio, la opción Aceptar no
está disponible.
(Opción predeterminada para los sitios web Rojos)
Acciones de
calificación
para descargas
de archivos
Especifica acciones para las descargas de archivos que estén calificados
como rojo, amarillo o sin calificar.
Estas Acciones de calificación solo se aplican si la opción Permitir análisis de
archivos para las descargas de archivos está activada en la configuración de
Opciones.
• Permitir: permite que los usuarios continúen con la descarga.
(Opción predeterminada para los sitios web Sin calificar)
• Advertir: muestra una advertencia que informa a los usuarios sobre los
peligros potenciales asociados con la descarga del archivo. Los usuarios
deben descartar la advertencia para finalizar o continuar la descarga.
(Opción predeterminada para los sitios web Amarillos)
• Bloquear: muestra un mensaje que indica que la descarga se ha
bloqueado y que evita que los usuarios descarguen el archivo.
(Opción predeterminada para los sitios web Rojos)
Use la configuración de Mensajes de implementación para personalizar el
mensaje.
Tabla 5-5 Opciones avanzadas
Sección
Opción
Bloqueo de categorías web Activar bloqueo de
categorías web
McAfee Endpoint Security 10.2
Definición
Activa el bloqueo de sitios web basado en la categoría
de contenido.
Bloquear
Evita que los usuarios tengan acceso a cualquier sitio
web en esta categoría y muestra un mensaje que
indica que el sitio web está bloqueado.
Categorías web
Lista las categorías web.
Guía del producto
167
5
Uso de Control web
Referencia de la interfaz de cliente: Control web
Véase también
Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web en
la página 163
Uso de calificaciones de seguridad para controlar el acceso en la página 164
Uso de categorías web para el control de acceso en la página 164
168
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Inteligencia de amenazas proporciona seguridad adaptable al contexto para su entorno de red.
Inteligencia de amenazas de Endpoint Security es un módulo opcional en Endpoint Security. Para
disponer de más fuentes de datos y funciones, despliegue el servidor de Threat Intelligence Exchange.
Para obtener más información, póngase en contacto con su reseller o representante de ventas.
Inteligencia de amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.
Contenido
Funcionamiento de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
Funcionamiento de Inteligencia de amenazas
Inteligencia de amenazas utiliza la estructura de Data Exchange Layer para compartir información
sobre archivos y amenazas de forma instantánea a través de toda la red.
Anteriormente, se enviaba un certificado o archivo desconocido a McAfee para su análisis y se
actualizaba la información del archivo en toda la red varios días después. Inteligencia de amenazas
permite controlar la reputación de archivos en un nivel local: su entorno. Usted decide qué archivos se
pueden ejecutar y cuáles se bloquean, y Data Exchange Layer comparte la información
inmediatamente en todo el entorno.
Casos prácticos de Inteligencia de amenazas
•
Bloquear un archivo inmediatamente: Inteligencia de amenazas alerta al administrador de la
red sobre un archivo desconocido en el entorno. En lugar de enviar la información del archivo a
McAfee para su análisis, el administrador bloquea el archivo de inmediato. El administrador puede
utilizar entonces Inteligencia de amenazas para averiguar si el archivo es una amenaza y cuántos
sistemas lo han ejecutado.
•
Permitir que un archivo personalizado se ejecute: una empresa utiliza habitualmente un
archivo cuya reputación predeterminada es sospechosa o maliciosa, por ejemplo, un archivo
personalizado creado para la empresa. Como este archivo tiene permiso, en lugar de enviar la
información del archivo a McAfee y recibir un archivo DAT actualizado, el administrador puede
asignar al archivo una reputación de confianza y permitir que se ejecute sin advertencias ni
solicitudes de confirmación.
•
Permitir que un archivo se ejecute en un contenedor: Cuando una empresa utiliza por
primera vez un archivo cuya reputación se desconoce, el administrador puede decidir permitir que
se ejecute en un contenedor. En este caso, el administrador configura las reglas de contención en
la categoría Contención dinámica de aplicaciones. Las reglas de contención definen las acciones que
la aplicación contenida puede realizar.
McAfee Endpoint Security 10.2
Guía del producto
169
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Administrar Inteligencia de amenazas
Como administrador, puede especificar la configuración de Inteligencia de amenazas, como seleccionar
grupos de reglas y configurar los umbrales de reputación.
Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la página
Configuración.
Inteligencia de amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.
Acerca de Inteligencia de amenazas
Inteligencia de amenazas proporciona un ecosistema de seguridad que permite la comunicación
instantánea entre los sistemas y los dispositivos del entorno. Esta comunicación es posible gracias a la
estructura de Data Exchange Layer.
Es posible ver el sistema concreto donde se detectó una amenaza por primera vez, a qué ubicaciones
se dirigió desde allí y detenerla inmediatamente.
Inteligencia de amenazas ofrece las ventajas siguientes:
•
Detección rápida y protección frente a las amenazas de seguridad y el malware.
•
La capacidad de saber qué sistemas o dispositivos están comprometidos, y cómo se ha propagado
la amenaza por el entorno.
•
La capacidad de bloquear, permitir o contener inmediatamente archivos y certificados concretos en
función de sus reputaciones de amenaza y los criterios de riesgo.
•
Integración en tiempo real con McAfee Advanced Threat Defense y McAfee GTI a fin de
proporcionar evaluaciones y datos detallados sobre la clasificación del malware. Esta integración
permite responder a las amenazas y compartir la información en todo el entorno.
®
Inteligencia de amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.
Componentes de Inteligencia de amenazas
Inteligencia de amenazas incluye los componentes siguientes.
•
Un módulo para Endpoint Security que permite crear directivas a fin de bloquear, permitir o
contener un archivo o certificado en función de su reputación.
•
Un servidor que almacena información sobre reputaciones de archivos y certificados, para después
transmitir esa información a otros sistemas.
•
Brókers de Data Exchange Layer que permiten la comunicación bidireccional entre los sistemas
gestionados de una red.
®
®
™
Estos componentes se instalan como extensiones de McAfee ePolicy Orchestrator (McAfee ePO ) y
agregan diversas funciones e informes nuevos.
170
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
El módulo y el servidor comunican información sobre la reputación de los archivos. La estructura de
Data Exchange Layer transmite inmediatamente esa información a los endpoints gestionados. También
comparte información con otros productos de McAfee que acceden a Data Exchange Layer, como
McAfee Enterprise Security Manager (McAfee ESM) y McAfee Network Security Platform.
®
®
Módulo Inteligencia de amenazas
El módulo Inteligencia de amenazas permite determinar qué ocurre cuando se detecta un archivo con
una reputación maliciosa o desconocida en su entorno. También puede ver información sobre el
historial de amenazas y las acciones realizadas.
Es posible llevar a cabo estas tareas mediante el módulo Inteligencia de amenazas.
El cliente utiliza reglas para determinar las acciones en función de diversos puntos de datos, tales
como reputaciones, inteligencia local e información contextual. Las reglas se pueden actualizar de
forma independiente.
•
Cree directivas para:
•
Permitir, bloquear, limpiar o contener archivos en función de su reputación.
•
Recibir una solicitud de confirmación cada vez que se intente ejecutar un archivo o certificado
con cierta reputación.
•
Enviar archivos automáticamente a Advanced Threat Defense para continuar con su evaluación.
McAfee Endpoint Security 10.2
Guía del producto
171
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
•
Ver eventos en los paneles de Inteligencia de amenazas. Puede ver los eventos de permiso,
bloqueo, limpieza y contención de los últimos 30 días o según el tipo de evento.
Servidor de Inteligencia de amenazas
El servidor almacena información sobre reputaciones de archivos y certificados, para después
transmitir esa información a otros sistemas del entorno.
Para obtener información sobre el servidor, consulte la Guía del producto de Inteligencia de amenazas
Exchange .
Combinación de Servidores y bases de datos de TIE
Si tiene bases de datos y Servidores de TIE gestionados por distintos sistemas de McAfee ePO, puede
combinarlos para compartir la información sobre reputación. Para obtener detalles sobre la
combinación de bases de datos y Servidores de TIE, véanse la Guía del producto de McAfee Data
Exchange Layer y el artículo de la base de conocimiento KB83896.
Data Exchange Layer
Data Exchange Layer incluye software cliente y brókers que permiten la comunicación bidireccional
entre los endpoints de una red.
Data Exchange Layer funciona en segundo plano gracias a la comunicación con servicios, bases de
datos, endpoints y aplicaciones. Data Exchange Layer Client se instala en todos los endpoints
gestionados, de forma que la información sobre amenazas de los productos de seguridad que utilizan
DXL se pueda compartir de inmediato con todos los servicios y dispositivos. El hecho de compartir la
información sobre reputación en cuanto está disponible reduce las asunciones de seguridad que
realizan las aplicaciones y los servicios unos sobre otros cuando intercambian información. Esta
información compartida reduce la propagación de amenazas.
Consulte la guía del producto de McAfee Data Exchange Layer para obtener detalles sobre la
instalación y el uso de Data Exchange Layer.
Cómo se determina una reputación
La reputación de archivos y certificados se determina cuando un archivo intenta ejecutarse en un
sistema gestionado.
A la hora de determinar la reputación de un archivo o certificado, se realizan los pasos siguientes.
172
1
Un usuario o un sistema intentan ejecutar un archivo.
2
Endpoint Security inspecciona el archivo y no puede determinar su validez ni su reputación.
3
El módulo Inteligencia de amenazas inspecciona el archivo y recopila las propiedades de interés del
archivo y del sistema local.
4
El módulo comprueba la caché de reputación local en busca del hash del archivo. Si se encuentra el
hash del archivo, el módulo obtiene de la caché los datos de reputación y la prevalencia de
Enterprise correspondientes al archivo.
5
Si no se encuentra el hash del archivo en la caché de reputación local, el módulo envía una
consulta al servidor de TIE. Si se encuentra el hash, el módulo obtiene los datos de prevalencia de
Enterprise (y las reputaciones disponibles) correspondientes a ese hash del archivo.
6
Si no se encuentra el hash del archivo en la base de datos o el Servidor de TIE, el servidor envía
una consulta a McAfee GTI sobre la reputación del hash del archivo. McAfee GTI envía la
información disponible, por ejemplo, "desconocido" o "malicioso", y el servidor almacena esa
información.
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
El servidor envía el archivo para su análisis en estos casos:
•
Advanced Threat Defense está disponible o activado como proveedor de reputaciones, el
servidor busca localmente si la reputación de Advanced Threat Defense está presente; si no lo
está, marca el archivo como candidato para el envío.
•
La directiva del endpoint está configurada para enviar el archivo a Advanced Threat Defense.
Puede consultar los pasos adicionales en Si Advanced Threat Defense está presente.
7
El servidor devuelve al módulo la antigüedad, los datos de prevalencia y la reputación de empresa
correspondientes al hash del archivo en función de los datos encontrados. Si el archivo es nuevo en
el entorno, el servidor envía también una marca de primera instancia al módulo Inteligencia de
amenazas. Si McAfee Web Gateway está presente y finalmente envía una calificación de reputación,
Inteligencia de amenazas devuelve la reputación del archivo.
8
El módulo evalúa estos metadatos con objeto de determinar la reputación del archivo:
9
•
Propiedades del archivo y del sistema
•
Datos de prevalencia y antigüedad de Enterprise
•
Reputación
El módulo actúa de acuerdo con la directiva asignada al sistema que ejecuta el archivo.
10 El módulo actualiza el servidor con la información de reputación, además de indicar si el archivo se
permite, se bloquea o contiene. Además, envía los eventos de amenaza a McAfee ePO mediante
McAfee Agent.
11 El servidor publica el evento de cambio de reputación para el hash del archivo.
Si Advanced Threat Defense está presente
Si Advanced Threat Defense está presente, se producen los procesos siguientes.
1
Si el sistema se ha configurado para enviar archivos a Advanced Threat Defense y el archivo es
nuevo en el entorno, el sistema envía el archivo al servidor de TIE. A continuación, el servidor de
TIE lo envía a Advanced Threat Defense para su análisis.
2
Advanced Threat Defense analiza el archivo y envía los resultados de reputación del archivo al
Servidor de TIE mediante Data Exchange Layer. El servidor también actualiza la base de datos y
envía la información de reputación actualizada a todos los sistemas con Inteligencia de amenazas
activado a fin de proteger su entorno de forma inmediata. Inteligencia de amenazas o cualquier
otro producto de McAfee pueden iniciar este proceso. En cualquier caso, Inteligencia de amenazas
procesa la reputación y la guarda en la base de datos.
Para obtener información sobre cómo se integra Advanced Threat Defense con Inteligencia de
amenazas, consulte la Guía del producto de McAfee Advanced Threat Defense.
Si McAfee Web Gateway está presente
Si McAfee Web Gateway está presente, ocurre lo siguiente.
•
Cuando se descargan archivos, McAfee Web Gateway envía un informe al Servidor de TIE, el cual
guarda la calificación de reputación en la base de datos. Cuando el servidor recibe una solicitud de
reputación de archivos del módulo, devuelve la reputación recibida de McAfee Web Gateway y otros
proveedores de reputación.
Para obtener información sobre cómo McAfee Web Gateway intercambia información mediante un
Servidor de TIE, consulte el capítulo sobre los servidores proxy de la Guía del producto de McAfee
Web Gateway.
McAfee Endpoint Security 10.2
Guía del producto
173
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
¿Cuándo se vacía la caché?
•
•
Toda la caché de Inteligencia de amenazas se vacía cuando cambia la configuración de las reglas:
•
El estado de una o varias reglas ha cambiado; por ejemplo, de activada a desactivada.
•
El conjunto de reglas ha cambiado; por ejemplo, de Equilibrado a Seguridad.
Se vacía la caché de un archivo o certificado individual cuando:
•
La caché tiene más de 30 días de antigüedad.
•
El archivo ha cambiado en el disco.
•
El servidor de TIE publica un evento de cambio de reputación.
La siguiente vez que Inteligencia de amenazas recibe un aviso sobre el archivo, se vuelve a calcular
la reputación.
Tareas iniciales
Una vez que se ha instalado Inteligencia de amenazas, ¿qué hay que hacer?
Para empezar a utilizar Inteligencia de amenazas, haga lo siguiente:
1
Cree directivas de Inteligencia de amenazas para determinar lo que se bloquea, lo que se permite y
lo que se contiene. A continuación, ejecute Inteligencia de amenazas en el modo de evaluación
para crear la prevalencia de archivos y observar lo que Inteligencia de amenazas detecta en el
entorno. La prevalencia de un archivo indica la frecuencia con la que se detecta en su entorno.
2
Supervise y ajuste las directivas, o las reputaciones de archivos o certificados individuales, a fin de
controlar lo que se permite en el entorno.
Creación de la prevalencia de archivos y observación
Tras la instalación y el despliegue, empiece a crear la prevalancia de archivos y la información sobre
amenazas actual.
Es posible ver lo que se ejecuta en el entorno y agregar información de reputación de archivos y
certificados a la base de datos de TIE. Esta información también rellena los gráficos y paneles
disponibles en el módulo donde se visualiza la información de reputación detallada sobre los archivos y
los certificados.
Para empezar, cree una o varias directivas de Inteligencia de amenazas a fin de ejecutarlas en unos
pocos sistemas del entorno. Las directivas determinan lo siguiente:
•
Cuándo se permite que un archivo o certificado con una reputación concreta se ejecuten en un
sistema
•
Cuándo se bloquea un archivo o certificado
•
Cuándo se contiene una aplicación
•
Cuándo se solicita confirmación al usuario sobre qué hacer
•
Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis
Mientras se crea la prevalencia de archivos, se pueden ejecutar las directivas en el modo de
evaluación. Las reputaciones de archivos y certificados se agregarán a la base de datos, pero no se
realizará ninguna acción. Podrá ver lo que Inteligencia de amenazas bloquea, permite o contiene si se
implementa la directiva.
Supervisión y realización de ajustes
A medida que las directivas se ejecutan en su entorno, se agregan datos de reputación a la base de
datos.
174
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Utilice los paneles y las vistas de eventos de McAfee ePO para ver los archivos y certificados
bloqueados, permitidos o contenidos en función de las directivas.
Puede ver información detallada por endpoint, archivo, regla o certificado, además de ver con rapidez
el número de elementos identificados y las acciones realizadas. Es posible hacer clic en un elemento y
acceder a información detallada, así como ajustar la configuración de reputación para archivos o
certificados concretos de manera que se realice la acción apropiada.
Por ejemplo, si un archivo de reputación predeterminada es sospechosa o desconocida, pero sabe que
es un archivo de confianza, puede cambiar la reputación a de confianza. A partir de ese momento, la
aplicación tiene permiso para ejecutarse en su entorno sin que se bloquee o se solicite confirmación al
usuario para llevar a cabo la acción. Puede cambiar la reputación de los archivos internos o
personalizados utilizados en su entorno.
•
Utilice la función Reputaciones de TIE para buscar el nombre de un archivo o certificado
específicos. Puede ver detalles sobre el archivo o certificado, como el nombre de la empresa,
valores de hash SHA-1 y SHA-256, MD5, descripción e información de McAfee GTI. En el caso de
los archivos, también puede acceder a los datos de VirusTotal directamente desde la página de
detalles de Reputaciones de TIE para ver más información.
•
Utilice la página Informes - Paneles para ver diversos tipos de información sobre reputación a la
vez. Puede ver el número de archivos nuevos detectados en su entorno en la última semana, los
archivos por reputación, los archivos cuya reputación ha cambiado recientemente, los sistemas que
han ejecutado recientemente archivos nuevos, etc. Al hacer clic en un elemento en el panel,
aparece información detallada.
•
Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo han
ejecutado y podrían estar comprometidos.
•
Cambie la reputación de un archivo o certificado según proceda en su entorno. La información se
actualiza de inmediato en la base de datos y se envía a todos los dispositivos del entorno. Los
archivos y los certificados se bloquean, se permiten o se contienen en función de su reputación.
Si no está seguro de qué hacer con un archivo o certificado concreto, puede:
•
•
Bloquear su ejecución mientras obtiene más información.
Al contrario que una acción de limpieza de Prevención de amenazas, que podría eliminar el
archivo, al bloquearlo se conserva el archivo pero no se permite su ejecución. El archivo
permanece intacto mientras lo investiga y decide qué hacer.
•
Permitir que se ejecute contenido.
La contención de aplicación dinámica ejecuta aplicaciones con reputaciones específicas en un
contenedor, lo que bloquea acciones según las reglas de contención. La aplicación tiene permiso
para ejecutarse; sin embargo, algunas de las acciones podrían provocar un error, según las
reglas.
Importe las reputaciones de archivos o certificados a la base de datos para permitir o bloquear
archivos o certificados concretos en función de otros orígenes de reputación. Esto permite utilizar la
configuración importada para archivos y certificados concretos sin tener que establecerla
individualmente en el servidor.
Envío de archivos para un análisis más detallado
Si la reputación de un archivo es desconocida, puede enviarlo a Advanced Threat Defense para
analizarlo más detenidamente. Especifique en la directiva de TIE qué archivos se envían.
Advanced Threat Defense detecta malware de tipo zero-day y combina defensas de firmas antivirus,
reputación y emulación en tiempo real. Puede enviar archivos automáticamente desde Inteligencia de
amenazas a Advanced Threat Defense en función de su nivel de reputación y tamaño. La información
de reputación de archivos enviada desde Advanced Threat Defense se agrega a la base de datos del
Servidor de TIE.
McAfee Endpoint Security 10.2
Guía del producto
175
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Información de telemetría de McAfee GTI
La información sobre archivos y certificados que se envía a McAfee GTI se utiliza para comprender y
mejorar la información sobre reputación. Consulte la tabla para obtener detalles sobre la información
que proporciona McAfee GTI para los archivos y certificados, solo para los archivos o solo para los
certificados.
Categoría
Descripción
Archivos y
certificados
• Versiones del módulo y del servidor de TIE
• Configuración de omisión de reputación realizada con el servidor de TIE
• Información de reputación externa, por ejemplo, de Advanced Threat Defense
Solo archivos
• Nombre, ruta, tamaño, producto, publicador y prevalencia del archivo
• Información sobre SHA-1, SHA-256 y MD5
• Versión del sistema operativo del equipo que ha informado del archivo
• Reputación máxima, mínima y promedio del archivo
• Si el módulo de generación de informes está en el modo de evaluación
• Si el archivo se ha permitido, bloqueado, contenido o limpiado
• El producto que ha detectado el archivo; por ejemplo, Advanced Threat Defense
o Prevención de amenazas
Solo
certificados
• Información sobre SHA-1
• El nombre del emisor del certificado y el sujeto
• La fecha en el que certificado era válido y su fecha de caducidad
McAfee no recopila información de identificación personal y no comparte la información fuera de
McAfee.
Contención de aplicaciones de forma dinámica
Contención de aplicación dinámica le permite especificar las aplicaciones con una reputación concreta
que se ejecutan en un contenedor.
Según el umbral de reputación, Inteligencia de amenazas solicita que Contención de aplicación
dinámica contenga la aplicación. Las aplicaciones contenidas pueden ejecutar determinadas acciones,
según se especifique en las reglas de contención.
Esta tecnología posibilita evaluar las aplicaciones desconocidas y potencialmente no seguras
permitiendo su ejecución en el entorno, pero limitando a la vez las acciones que pueden realizar. Los
usuarios pueden utilizar las aplicaciones, pero su funcionamiento podría no ser el esperado si
Contención dinámica de aplicaciones bloquea determinadas acciones. Una vez haya determinado que
la aplicación es segura, puede configurar Inteligencia de amenazas de Endpoint Security, o TIE para
permitir su ejecución con normalidad.
Para utilizar Contención de aplicación dinámica:
176
1
Active Inteligencia de amenazas y especifique el umbral de reputación para activar Contención
dinámica de aplicaciones en Opciones.
2
Configure las reglas y las exclusiones de contención definidas por McAfee en Contención dinámica de
aplicaciones.
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Véase también
Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la
página 179
Configuración de reglas de contención definidas por McAfee en la página 180
Activación del umbral de activación de Contención de aplicación dinámica en la página 179
Cómo funciona la Contención de aplicación dinámica
Inteligencia de amenazas utiliza la reputación de una aplicación para determinar si se debe solicitar
que Contención de aplicación dinámica ejecute la aplicación con restricciones. Cuando se ejecuta un
archivo con una reputación específica en su entorno, Contención de aplicación dinámica bloquea o
registra las acciones no seguras, en función de las reglas de contención.
Si varias tecnologías registradas con Contención de aplicación dinámica solicitan que se contenga una
aplicación, cada solicitud es acumulativa. La aplicación continúa como contenida hasta que todas las
tecnologías la liberen. Si se desactiva o quita una tecnología que ha solicitado la contención,
Contención de aplicación dinámica libera esas aplicaciones.
Flujo de trabajo de Contención de aplicación dinámica
1
Se inicia el proceso.
2
Inteligencia de amenazas comprueba la reputación del archivo.
Inteligencia de amenazas utiliza el servidor de TIE, si está disponible, para comprobar la reputación
de la aplicación. Si el servidor de TIE no está disponible, Inteligencia de amenazas usa McAfee GTI
para obtener la información de reputación.
3
Si la reputación de la aplicación está al mismo nivel o por debajo del umbral de reputación de
contención de Inteligencia de amenazas, Inteligencia de amenazas notifica a Contención de
aplicación dinámica que el proceso se ha iniciado y solicita que se contenga.
4
Contención de aplicación dinámica contiene el proceso.
Puede ver Contención de aplicación dinámica en el Registro de eventos de amenazas de McAfee
ePO.
5
Si considera que la aplicación contenida es segura, puede permitir que se ejecute con normalidad
(no como si estuviese calificada como contenida).
McAfee Endpoint Security 10.2
Guía del producto
177
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Véase también
Configuración de reglas de contención definidas por McAfee en la página 180
Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la
página 179
178
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Concesión de permiso a las aplicaciones contenidas para que se ejecuten
con normalidad
Una vez que determine que una aplicación contenida es segura, puede permitir que se ejecute en el
entorno con normalidad.
•
Añada la aplicación a la lista de Exclusiones globales de la configuración de Contención dinámica de
aplicaciones.
En este caso, se libera la aplicación de la contención y se ejecuta con normalidad,
independientemente del número de tecnologías que solicitaron su contención.
•
Configure Inteligencia de amenazas para aumentar el umbral de reputación y liberarla de la
contención.
En este caso, se libera de la aplicación de la contención y se ejecuta con normalidad, a menos que
otra tecnología haya solicitado la contención de esta aplicación.
•
Si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita su
ejecución, como Posiblemente de confianza.
En este caso, se libera de la aplicación de la contención y se ejecuta con normalidad, a menos que
otra tecnología haya solicitado la contención de esta aplicación.
Consulte la Guía del producto de McAfee Threat Intelligence Exchange.
Véase también
Exclusión de los procesos de Contención de aplicación dinámica en la página 183
Activación del umbral de activación de Contención de aplicación dinámica
Con la tecnología Contención dinámica de aplicaciones, puede especificar que las aplicaciones con
reputaciones específicas se ejecuten en un contenedor, lo que limita las acciones que pueden llevar a
cabo. Active la implementación de acciones de Contención dinámica de aplicaciones y especifique el
umbral de reputación al que se deben las aplicaciones se deben ejecutar en un contenedor.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Inteligencia de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Inteligencia de
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Opciones.
5
Compruebe que Inteligencia de amenazas está activado.
6
Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.
McAfee Endpoint Security 10.2
Guía del producto
179
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
7
Especifica el umbral de reputación en el que desee contener la aplicación.
•
Posiblemente de confianza (valor predeterminado para el grupo de reglas Seguridad)
•
Desconocido (valor predeterminado para el grupo de reglas Equilibrado)
•
Posiblemente malicioso (valor predeterminado para el grupo de reglas Productividad)
•
Probablemente malicioso
•
Conocido malicioso
El umbral de reputación de la contención de aplicación dinámica debe ser mayor que el de Bloquear
y Limpiar. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la
contención de aplicación dinámica debe ser Probablemente malicioso o superior.
8
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Configuración de reglas de contención definidas por McAfee
Las reglas de contención definidas por McAfee bloquean o registran las acciones que las aplicaciones
contenidas pueden ejecutar. Puede modificar la configuración de bloqueo e informes; sin embargo, no
se pueden modificar ni eliminar las reglas.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Seleccione Menú | Directiva | Catálogo de directivas y luego seleccione Inteligencia de amenazas de Endpoint
Security en la lista Producto.
2
Abra Cliente de Endpoint Security.
3
Haga clic en Inteligencia de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Inteligencia de
amenazas en la página Configuración.
4
Haga clic en Mostrar avanzado.
5
Haga clic en Contención de aplicación dinámica.
6
En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.
7
•
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
•
Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
En la sección Exclusiones, configure los ejecutables que excluir de Contención de aplicación dinámica.
Los procesos en la lista de exclusiones se ejecutan con normalidad (no como los contenidos).
8
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Exclusión de los procesos de Contención de aplicación dinámica en la página 183
Reglas de contención definidas por McAfee en la página 181
180
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Reglas de contención definidas por McAfee
Las reglas de contención definidas por McAfee sirven para controlar qué cambios pueden realizar las
aplicaciones contenidas en el sistema.
Puede modificar las opciones bloqueo e informes; sin embargo, no se pueden modificar ni eliminar
reglas.
•
Acceso a hashes de LM de contraseña no segura
•
Acceso a ubicaciones de cookies de usuario
•
Asignación de memoria a otro proceso
•
Creación de un subproceso dentro de otro proceso
•
Creación de archivos en cualquier ubicación en la red
•
Creación de archivos en unidades de CD, de disquete y extraíbles
•
Creación de archivos con la extensión .bat
•
Creación de archivos con la extensión .exe
•
Creación de archivos con la extensión html, .jpg o .bmp
•
Creación de archivos con la extensión .job
•
Creación de archivos con la extensión .vbs
•
Creación de nuevos CLSID, APPID y TYPELIB
•
Eliminación de archivos que suelen ser objetivo de malware del tipo ransomware
•
Desactivación de archivos ejecutables del sistema operativo críticos
•
Ejecución de cualquier proceso secundario
•
Modificación de las entradas de registro de AppInit DLL
•
Modificación de correcciones de compatibilidad de aplicaciones
•
Modificación de archivos y ubicaciones de registro de Windows críticos
•
Modificación de la configuración del fondo de pantalla
•
Modificación de las asociaciones de extensiones de archivos
•
Modificación de archivos con la extensión .bat
•
Modificación de archivos con la extensión .vbs
•
Modificación de entradas de registro de Opciones de ejecución de archivos de imagen
•
Modificación de archivos ejecutables portátiles
•
Modificación de la configuración del protector de pantalla
•
Modificación de las ubicaciones del registro de inicio
•
Modificación del depurador automático
•
Modificación del bit de atributo oculto
•
Modificación del bit de atributo de solo lectura
•
Modificación de la ubicación de registro de Servicios
McAfee Endpoint Security 10.2
Guía del producto
181
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
•
Modificación de la directiva del Firewall de Windows
•
Modificación de la carpeta de tareas de Windows
•
Modificación de directivas de usuario
•
Modificación de las carpetas de datos de los usuarios
•
Lectura de archivos que suelen ser objetivo de malware del tipo ransomware
•
Lectura de la memoria de otro proceso
•
Lectura o modificación de archivos en cualquier ubicación en la red
•
Lectura o modificación de archivos en unidades de CD, de disquete y extraíbles
•
Suspensión de un proceso
•
Finalización de otro proceso
•
Escritura en la memoria de otro proceso
•
Escritura en archivos que suelen ser objetivo de malware del tipo ransomware
Gestión de aplicaciones contenidas
Cuando en la Contención de aplicación dinámica, se incluye la aplicación de confianza, puede excluirla
de la contención en el Cliente de Endpoint Security. Al excluir la aplicación, se libera, se quita de las
Aplicaciones contenidas y se añade a Exclusiones, lo que impide que se contenga en un futuro.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Inteligencia de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Inteligencia de
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Contención de aplicación dinámica.
5
En la sección Aplicaciones contenidas, seleccione la aplicación y, a continuación, haga clic en Excluir.
La aplicación aparecerá en la lista de exclusiones. La aplicación permanece en la lista Aplicaciones
contenidas hasta que haga clic en Aplicar. Cuando vuelva a la página Configuración, la aplicación solo
aparece en la lista de exclusiones.
6
182
Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Administrar Inteligencia de amenazas
Exclusión de los procesos de Contención de aplicación dinámica
Si un programa de confianza está contenido, exclúyalo creando una exclusión de Contención de
aplicación dinámica.
Las exclusiones creadas mediante el Cliente de Endpoint Security solo se aplican en el sistema cliente.
Estas exclusiones no se envían a McAfee ePO ni aparecen en la sección Exclusiones de la configuración
de las directivas de Contención dinámica de aplicaciones
En el caso de los sistemas gestionados, cree exclusiones globales en la configuración de las directivas
de Contención dinámica de aplicaciones en McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Inteligencia de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Inteligencia de
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
4
Haga clic en Contención de aplicación dinámica.
5
En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.
6
En la página Agregar ejecutable, configure las propiedades del ejecutable.
7
Haga clic en Guardar y luego en Aplicar para guardar la configuración.
Configuración de las opciones de Inteligencia de amenazas
Utilice la configuración de la para determinar cuándo se permite la ejecución, inclusión, limpieza o
bloqueo de un archivo o certificado, o bien si se solicita a los usuarios qué hacer.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la página
Configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Abra Cliente de Endpoint Security.
2
Haga clic en Inteligencia de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Inteligencia de
amenazas en la página Configuración.
3
Haga clic en Mostrar avanzado.
McAfee Endpoint Security 10.2
Guía del producto
183
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
4
Haga clic en Opciones.
5
Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Archivos y certificados bloqueados o permitidos
Los archivos y los certificados tienen reputaciones de amenaza basadas en su contenido y sus
propiedades. Las directivas de Inteligencia de amenazas determinan si los archivos y certificados se
bloquean o se permiten en los sistemas de su entorno en función de los niveles de reputación.
Existen tres niveles de seguridad en función de cómo se desee equilibrar las reglas correspondientes a
tipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican los
archivos y certificados sospechosos y maliciosos.
•
Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalaciones
de programas de confianza, y que reciben actualizaciones frecuentes. Ejemplos de este tipo de
sistemas son los equipos que se utilizan en los entornos de desarrollo. Para esta configuración se
emplean menos reglas con las directivas. Los usuarios ven escasos bloqueos y solicitudes de
confirmación cuando se detectan nuevos archivos.
•
Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizan
cambios con poca frecuencia. Para esta configuración se emplean más reglas con las directivas. Los
usuarios experimentan más bloqueos y solicitudes de confirmación.
•
Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios.
Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entorno
financiero o gubernamental. Esta configuración también se usa para los servidores. Para esta
configuración se emplea el número máximo de reglas con las directivas. Los usuarios experimentan
aún más bloqueos y solicitudes de confirmación.
Para ver las reglas específicas asociadas con cada nivel de seguridad, seleccione Menú | Configuración del
servidor. En la lista Categorías de configuración, seleccione Inteligencia de amenazas.
A la hora de determinar qué nivel de seguridad asignar a una directiva, tenga en cuenta el tipo de
sistema donde se emplea la directiva y qué cantidad de bloqueos y solicitudes quiere que experimente
el usuario. Tras crear una directiva, asígnela a los equipos o dispositivos a fin de determinar qué
cantidad de bloqueos y solicitudes de confirmación se producen.
Referencia de la interfaz de cliente: Inteligencia de amenazas
Los temas de ayuda de referencia de la interfaz proporcionan ayuda según el contexto para las
páginas de la interfaz de cliente.
Contenido
Inteligencia de amenazas: Contención dinámica de aplicaciones
Inteligencia de amenazas: opciones
Inteligencia de amenazas: Contención dinámica de aplicaciones
Limite las acciones que las aplicaciones contenidas pueden ejecutar según las reglas configuradas para
proteger el sistema.
184
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
Tabla 6-1
Sección
Opciones
Opción Descripción
Reglas de
contención
Configura las reglas de la Contención de aplicación dinámica.
Puede modificar si las reglas de contención definidas por McAfee bloquean o
informan; sin embargo, no podrá cambiar o eliminar estas reglas.
• (Solo) Bloquear: bloquea, pero no registra, aplicaciones contenidas para que
no ejecuten las acciones específicas de la regla.
• (Solo) Informar: registra las aplicaciones que intentan ejecutar acciones
recogidas en la regla, pero no evita que las realicen.
• Bloquear e informar: Bloquea y registra los intentos de acceso.
Práctica recomendada: Si no se conoce la repercusión total de una regla,
seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los
intentos de acceso. Para determinar si se debe bloquear el acceso, supervise
los registros e informes.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera
fila.
Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
Aplicaciones
contenidas
Muestra la lista de aplicaciones que están en ese momento contenidas.
Exclusiones
Excluye los procesos de la contención.
• Excluir: mueve la aplicación contenida a la lista de exclusiones, lo que las
libera de la contención y permite que se ejecuten con normalidad.
• Agregar: agrega un proceso a la lista de exclusión.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
Véase también
Cómo funciona la Contención de aplicación dinámica en la página 177
Reglas de contención definidas por McAfee en la página 181
Configuración de reglas de contención definidas por McAfee en la página 180
Exclusión de los procesos de Contención de aplicación dinámica en la página 183
Agregar ejecutable o Editar ejecutable
Agregar o editar un ejecutable para excluir o incluir.
Para la protección de acceso de Prevención de amenazas, puede excluir ejecutables en el nivel de la
directiva o bien incluirlos o excluirlos en el nivel de la regla. Para la Contención dinámica de
aplicaciones de Inteligencia de amenazas, puede excluir ejecutables en el nivel de la directiva.
Al especificar exclusiones e inclusiones, tenga en cuenta lo siguiente:
•
Debe especificar, al menos, un identificador: Ruta o nombre de archivo, Hash MD5 o Firmante.
•
Si especifica más de un identificador, se aplicarán todos los identificadores.
•
Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash
MD5 no se aplican al mismo archivo), ni la exclusión ni la inclusión son válidas.
McAfee Endpoint Security 10.2
Guía del producto
185
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
•
En las exclusiones y las inclusiones se distingue entre mayúsculas y minúsculas.
•
Se aceptan caracteres comodín para todo excepto para hash MD5.
Tabla 6-2
Opciones
Opción
Definición
Nombre
Especifica el nombre que le da al ejecutable.
Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo, Hash
MD5 o Firmante.
Estado de
inclusión
Determina el estado de inclusión para el ejecutable.
• Incluir: Activa la regla si el ejecutable infringe una subregla.
• Excluir: No activa la regla si el ejecutable infringe una subregla.
El Estado de inclusión solo aparece en Protección de acceso de Prevención de amenazas
cuando se añade un ejecutable a una regla o al destino de la subregla Procesos.
Ruta o nombre
de archivo
Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
Hash MD5
Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Firmante
Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado
desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.
• Firmado por: Permite solo los archivos firmados por el firmante del proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente
con las entradas en el campo adjunto, incluidos comas y espacios.
El firmante del proceso aparece en el formato correcto en los eventos del Cliente de
Endpoint Security de Cliente de Endpoint Security y en el Registro de eventos de
amenazas de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3 En la ficha General haga clic en Ver certificado.
4 En la ficha Detalles seleccione el campo Asunto. El nombre distintivo del firmante
aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del
firmante:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
Notas
186
Proporciona más información sobre el elemento.
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
Inteligencia de amenazas: opciones
Configura los ajustes de Inteligencia de amenazas.
Tabla 6-3
Opciones
Sección
Opción
Definición
Opciones
Activar Inteligencia de
amenazas
Activa el módulo Inteligencia de amenazas.
Permitir a Threat
Intelligence Exchange
Server recopilar datos
anónimos de
diagnóstico y de uso
Permite que el servidor de TIE envíe información anónima sobre
archivos a McAfee.
Usar la reputación de
archivos de McAfee
GTI si Threat
Intelligence Exchange
Server no está
disponible
Obtiene información de reputación de archivos del proxy de
Global Threat Intelligence si el servidor de TIE no está disponible.
Impedir que los
usuarios cambien la
configuración (solo
clientes de Threat
Intelligence Exchange
1.0)
Impide que los usuarios de los sistemas gestionados cambien la
configuración de Inteligencia de amenazas.
Productividad
Asigna el grupo de reglas Productividad a la.
Asignación de
regla
(Opción desactivada de forma predeterminada)
Utilice este grupo para sistemas con muchos cambios, y con
instalaciones y actualizaciones frecuentes de software de
confianza.
Este grupo es el que emplea menos reglas. El usuario recibe un
mínimo de solicitudes y bloqueos cuando se detectan nuevos
archivos.
Equilibrado
Asigna el grupo de reglas Equilibrado a la .
Utilice este grupo para sistemas empresariales típicos en los que
el software nuevo y las modificaciones son puntuales.
Este grupo emplea más reglas (y los usuarios reciben más
solicitudes y bloqueos) que el grupo Productividad.
Seguridad
Asigna el grupo de reglas Seguridad a la .
Utilice este grupo para sistemas con pocos cambios, tales como
servidores y sistemas gestionados por el departamento de TI con
un nivel alto de control.
El usuario recibe más solicitudes y bloqueos que con el grupo
Equilibrado.
Implementación de Activar modo de
acciones
evaluación
Genera eventos y los envía al servidor, pero no implementa las
acciones.
Active el modo de evaluación temporalmente en unos cuantos
sistemas solo mientras se configura Inteligencia de amenazas.
Dado que activar este modo provoca que Inteligencia de
amenazas genere eventos, pero no implemente acciones, sus
sistemas podrían ser vulnerables a las amenazas.
McAfee Endpoint Security 10.2
Guía del producto
187
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
Tabla 6-3
Sección
Opciones (continuación)
Opción
Definición
Activar Contención
Incluye las aplicaciones cuando la reputación alcanza un umbral
dinámica de
concreto:
aplicaciones cuando el
• Posiblemente de confianza (valor predeterminado para el grupo de
umbral de reputación
reglas Seguridad)
alcance
• Desconocido (valor predeterminado para el grupo de reglas
Equilibrado)
• Posiblemente malicioso (valor predeterminado para el grupo de
reglas Productividad)
• Probablemente malicioso
• Conocido malicioso
El umbral de reputación de la contención de aplicación dinámica
debe ser mayor que el de Bloquear y Limpiar. Por ejemplo, si el
umbral de bloqueo configurado es Conocido malicioso, el umbral de
la contención de aplicación dinámica debe ser Probablemente malicioso
o superior.
Si una aplicación con un umbral de reputación específico intenta
ejecutarse en su entorno, la contención de aplicación dinámica
permite que se ejecute en un contenedor y bloquea o registra
acciones no seguras, según las reglas de contención.
Bloquear cuando el
umbral de reputación
alcance
Bloquea los archivos cuando la reputación de archivos alcanza un
umbral determinado y especifica el umbral:
• Posiblemente de confianza
• Desconocido (valor predeterminado para el grupo de reglas
Seguridad)
• Posiblemente malicioso (valor predeterminado para el grupo de
reglas Equilibrado)
• Probablemente malicioso (valor predeterminado para el grupo de
reglas Productividad)
• Conocido malicioso
Cuando un archivo con el umbral de reputación especificado
intenta ejecutarse en su entorno, se le impedirá la ejecución,
pero se conservará en su lugar. Si un archivo es seguro y desea
que se ejecute, cambie su reputación a un nivel que permita su
ejecución, como Posiblemente de confianza.
Limpiar cuando el
umbral de reputación
alcance
Limpia archivos cuando la reputación de archivos alcanza un
umbral determinado y especifica el umbral:
• Desconocido
• Posiblemente malicioso
• Probablemente malicioso
• Conocido malicioso (valor predeterminado para los grupos de
reglas Equilibrado y Seguridad)
El valor predeterminado del grupo de reglas Productividad está sin
seleccionar.
Práctica recomendada: Utilice esta opción con las
reputaciones de archivo Conocido malicioso porque se puede
eliminar un archivo al limpiar.
188
McAfee Endpoint Security 10.2
Guía del producto
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
Tabla 6-4 Opciones avanzadas
Sección
Opción
Descripción
Mensajería de
usuario de
detección de
amenazas
Mostrar notificaciones de
amenaza al usuario
Muestra notificaciones de amenaza al usuario.
Notificar al usuario cuando Notifica al usuario cuando la reputación de archivos alcanza
el umbral de reputación
un umbral determinado:
alcance
• Probablemente de confianza
• Posiblemente de confianza (valor predeterminado para el grupo
de reglas Seguridad)
• Desconocido (valor predeterminado para el grupo de reglas
Equilibrado)
• Posiblemente malicioso (valor predeterminado para el grupo de
reglas Productividad)
• Probablemente malicioso
• Conocido malicioso
El nivel de solicitud no puede entrar en conflicto con los
parámetros de limpieza o bloqueo. Por ejemplo, si bloquea
archivos desconocidos, no puede establecer el valor
Posiblemente malicioso en este campo, dado que se referiría
a un umbral superior a Desconocido.
Acción predeterminada
Especifica la acción que efectuar si el usuario no responde a
la solicitud:
• Permitir
• Bloquear
Advanced Threat
Defense
Especificar duración (en
minutos) del tiempo de
espera
Especifica los minutos que se mostrará la solicitud antes de
ejecutar la acción predeterminada.
Mensaje
Especifica el mensaje que verá el usuario cuando se intente
ejecutar un archivo que cumpla los criterios de presentación
de solicitudes.
Desactivar notificaciones
de amenazas si Threat
Intelligence Exchange
Server no está disponible
Desactiva la presentación de solicitudes cuando no se puede
acceder al servidor de TIE para que los usuarios no reciban
solicitudes en relación con archivos cuyas reputaciones no
están disponibles.
Enviar archivos que
todavía no se han
verificado a McAfee
Advanced Threat Defense
para analizarlos
Envía archivos ejecutables a McAfee Advanced Threat
Defense para analizarlos.
El valor predeterminado es de 5 minutos.
Cuando esta opción está activada, Inteligencia de amenazas
envía archivos de forma segura mediante HTTPS desde un
puerto 443 a Advanced Threat Defense si:
• El servidor de TIE no tiene información de Advanced Threat
Defense sobre el archivo.
• El archivo está al nivel de reputación indicado o por
debajo.
• El archivo alcanza el límite de tamaño indicado o está por
debajo.
Especifique la información del servidor Advanced Threat
Defense en la directiva de administración del servidor de TIE.
McAfee Endpoint Security 10.2
Guía del producto
189
6
Uso de Inteligencia de amenazas
Referencia de la interfaz de cliente: Inteligencia de amenazas
Tabla 6-4 Opciones avanzadas (continuación)
Sección
Opción
Descripción
Enviar archivos cuando el
umbral de reputación
alcance
Envía archivos a Advanced Threat Defense cuando la
reputación de archivos alcanza un umbral determinado:
• Probablemente de confianza
• Desconocido
• Probablemente malicioso
El valor predeterminado de todos los grupos de reglas es
Desconocido.
Limitar tamaño (MB) a
Limita el tamaño de los archivos enviados a Advanced Threat
Defense, entre 1 y 10 MB.
El valor predeterminado es 5 MB.
Véase también
Configuración de las opciones de Inteligencia de amenazas en la página 183
Activación del umbral de activación de Contención de aplicación dinámica en la página 179
Archivos y certificados bloqueados o permitidos en la página 184
190
McAfee Endpoint Security 10.2
Guía del producto
Índice
A
acciones, Prevención de amenazas
realizar en elementos en cuarentena 62
acciones, Threat Prevention
especificar qué sucede cuando se descubre una amenaza
81, 86
permitir que los usuarios limpien y eliminen archivos
infectados 81, 86
programas no deseados 79
Acerca de, página 10
actualizaciones
botón Actualizar ahora, Cliente de Endpoint Security 23
cancelar 23
Opción Actualizar seguridad 12
actualizaciones bajo demanda, véase actualizaciones manuales,
ejecutar
actualizaciones de contenido 11
actualizaciones de productos
comprobación de actualizaciones de forma manual 23
comprobar si hay actualizaciones de forma manual 12
planificar desde el cliente 39
actualizaciones de software
comprobación de actualizaciones de forma manual 23
comprobar si hay actualizaciones de forma manual 12
planificar desde el cliente 39
actualizaciones manuales, ejecutar 23
actualizaciones, Endpoint Security
Actualización de cliente predeterminada, configurar 37
configurar comportamiento 35
configurar sitios de origen para actualizaciones 35
configurar y planificar desde el cliente 39
tarea Actualización de cliente predeterminada, acerca de 38
actualizaciones, Firewall
comprobación de actualizaciones de forma manual 23
actualizaciones, Prevención de amenazas
comprobación de actualizaciones de forma manual 23
comprobar 12
descripción general 11
actualizaciones, Threat Prevention
archivos de contenido 11
archivos Extra.DAT 30
adaptadores de red, permitir conexiones 133
administradores
contraseña 28
McAfee Endpoint Security 10.2
administradores (continuación)
definición 10
iniciar sesión en el Cliente de Endpoint Security 27
Advanced Threat Defense 175
enviar archivos 184
uso para determinar reputaciones 172
adware, acerca de 64
ajustes
actualizaciones, configurar 35
Ajustes generales, Cliente de Endpoint Security 9
Ajustes generales, configurar módulo
ajustes de actualización 35
alertas, Firewall 14
alertas, Prevención de amenazas
descripción general de análisis en tiempo real 82
alertas, Threat Prevention
descripción general de análisis bajo demanda 87
amenazas
administrar detecciones 61
aplicaciones de la Tienda Windows 82, 87
archivos de AMCore Content 11
Carpeta de cuarentena 62
detecciones durante el análisis 60
infracciones de puntos de acceso 68
obtener información adicional de McAfee Labs 62
proceso de Protección de acceso 68
responder a detecciones 20
tipos 64
volver a analizar elementos en cuarentena 65
y calificaciones de seguridad 157
ampliaciones, componentes de software cliente 11
análisis
análisis con el botón derecho del ratón 60
aplazar, pausar, reanudar y cancelar 21
Control web 162
ejecutar en Cliente de Endpoint Security 58
parámetros de ajustes generales para análisis en tiempo
real y bajo demanda 80
personalizados, crear y planificar en el cliente 91
planificación con Cliente de Endpoint Security 91
responder a avisos 21
tipos 57
usar caracteres comodín en exclusiones 67
Guía del producto
191
Índice
análisis bajo demanda
acerca de 57
análisis con el botón derecho del ratón 60
análisis de Almacenamiento remoto 90
analizar archivos o carpetas 60
archivos de registro 25
configurar 80
descripción general 87
ejecutar Análisis completo o Análisis rápido 58
planificación en el cliente 91
programas potencialmente no deseados, activar detección
79
responder a avisos 21
utilización del sistema 90
Análisis completo
acerca de 57
configurar 86
ejecutar en Cliente de Endpoint Security 58
planificación en el cliente 91
Análisis con el botón derecho del ratón
acerca de 57
analizar desde el Explorador de Windows 60
configurar 86
análisis de Almacenamiento remoto, descripción general 90
análisis de impacto cero 88
análisis del sistema, tipos 57
análisis en tiempo real
acerca de 57
análisis de scripts 84
archivos de registro 25
configurar 80, 81
descripción general 82
detecciones de tareas 20
escribir en el disco frente a leer en el disco 82
exclusión de elementos 66
número de directivas de análisis 85
optimización con lógica de confianza 82
programas potencialmente no deseados, activar detección
79
ScriptScan 84
análisis incrementales 88
análisis manual
ejecutar en Cliente de Endpoint Security 58
análisis manuales
acerca de tipos de análisis 57
ejecución desde Endpoint Security Client 60
análisis personalizados, véase análisis bajo demanda
Análisis rápido
configurar 86
ejecutar en Cliente de Endpoint Security 58
planificación en el cliente 91
tipos de análisis 57
análisis reanudables, véase análisis incrementales
análisis, bajo demanda
configurar 86
192
McAfee Endpoint Security 10.2
análisis, bajo demanda (continuación)
detección de amenazas en las aplicaciones de la Tienda
Windows 87
utilización del sistema 90
análisis, en tiempo real
configurar 81
descripción general 82
detección de amenazas en las aplicaciones de la Tienda
Windows 82
detecciones de tareas, responder a 20
exclusión de elementos 66
número de directivas 85
optimización con lógica de confianza 82
análisis, personalizado, véase análisis, bajo demanda
analizar página, mostrar 20
aplazamiento de análisis, descripción general 88
aplicaciones contenidas, Contención de aplicación dinámica
gestión en el Cliente de Endpoint Security 182
aplicaciones de la Tienda Windows, detección de amenazas 82,
87
aplicaciones, acerca de 131
aplicaciones, contenidas
gestión en el Cliente de Endpoint Security 182
permitir que se ejecuten con normalidad 179
aplicaciones, Tienda Windows 82, 87
archivos
administración en la cuarentena 62
archivos de registro 25
caracteres comodín en exclusiones 67
cómo se determinan las reputaciones 172
configurar archivos de registro 32
configurar para cuarentena 80
ejecución de análisis 60
exclusión de tipos específicos del análisis 66
prevención de modificaciones 31
registros de Cliente de Endpoint Security 24
volver a analizar en la Cuarentena 65
archivos de AMCore content
archivos Extra.DAT 29, 30
descripción general de análisis bajo demanda 87
archivos de AMCore Content
acerca de las firmas y las actualizaciones 11
descripción general de análisis en tiempo real 82
Archivos de AMCore content
acerca de 11
cambio de versión 29
archivos de contenido
acerca de 11
archivos Extra.DAT 29, 30
cambio de versión de AMCore 29
comprobación de actualizaciones de forma manual 23
comprobación manual de actualizaciones 23
comprobar si hay actualizaciones de forma manual 12
descripción general de análisis bajo demanda 87
descripción general de análisis en tiempo real 82
planificar actualizaciones desde el cliente 39
Guía del producto
Índice
archivos de contenido (continuación)
y detecciones 20
archivos de definiciones de detección, véase archivos de
contenido
archivos de registro
configurar 32
errores de actualización 23
ubicaciones 25
ver 24
archivos Extra.DAT
acerca de 29
archivos de AMCore Content 11
cargar 30
descargar 30
descripción general de análisis bajo demanda 87
descripción general de análisis en tiempo real 82
usar 29
archivos y certificados, bloquear 184
archivos y certificados, enviar 184
archivos, contenido
archivos Extra.DAT 29, 30
cambio de versión de AMCore content 29
cargar archivos Extra.DAT 30
descripción general de análisis bajo demanda 87
descripción general de análisis en tiempo real 82
Extra.DAT y AMCore 11
firmas y actualizaciones 11
Inteligencia de amenazas 11
Prevención de exploit 11
uso de archivos Extra.DAT 29
archivos, especificar opciones de análisis 81, 86
ataques basados en montón, vulnerabilidades de
desbordamiento del búfer 76
ataques basados en pila, vulnerabilidades de desbordamiento
del búfer 76
ataques, vulnerabilidades de desbordamiento del búfer 76
autogestionado, acerca de 22
Autoprotección, configuración 31
avisos, Endpoint Security
acerca de 14
responder a análisis 21
respuestas a la reputación de archivos 21
Windows 8 y 10 20
Ayuda, visualización 15, 20
B
bajo demanda, análisis
análisis de Almacenamiento remoto 90
Bloquear interfaz de cliente
al abrir Endpoint Security Client 19
Bloquear modo de interfaz de cliente
desbloqueo de la interfaz 28
y configuración de directivas 17
botón
Ver detecciones 61
McAfee Endpoint Security 10.2
botón analizar ahora 58
Botón Ver análisis 58
Botón Ver detecciones 61
botones
Analizar ahora 58
Ver análisis 58
botones, Control web 155
bromas, acerca de 64
Búsqueda segura, configuración de Control web 160
búsquedas
bloqueo de sitios peligrosos en resultados 160
iconos de seguridad 156
C
caché de análisis
análisis bajo demanda 87
análisis en tiempo real 82
caché de análisis global
análisis bajo demanda 87
análisis en tiempo real 82
caché, análisis global
análisis bajo demanda 87
análisis en tiempo real 82
calificación, Web Control, véase calificaciones de seguridad
calificaciones de seguridad
configurar acciones para sitios web y descargas 163
control de acceso a los sitios web 164
Control web y 153
iconos de seguridad 156
calificaciones, seguridad, véase calificaciones de seguridad
caracteres comodín
en exclusiones 67
en exclusiones a nivel de raíz 67
usar en exclusiones 67
usar en reglas de firewall 139
carpetas
administración en la cuarentena 62
caracteres comodín en exclusiones 67
configurar para cuarentena 80
ejecución de análisis 60
volver a analizar en la Cuarentena 65
categorías de contenido, véase categorías web
categorías web, bloquear o advertir en función de 163, 164
certificados
cómo se determinan las reputaciones 172
Chrome
activar el complemento 158
botones de Control web 155
navegadores compatibles 153, 159
ver información acerca de un sitio 159
clasificaciones de seguridad
cómo se obtienen las clasificaciones de sitios web 157
cliente, véase Cliente de Endpoint Security
Guía del producto
193
Índice
Cliente de Endpoint Security
abrir 12
acerca de 15
Análisis completo y Análisis rápido, planificación 91
configuración de directivas 17
configuración de seguridad 33
configurar sitios de origen para actualizaciones 35
desbloqueo de la interfaz 28
ejecutar análisis 58
iniciar sesión como administrador 27
interactuar con 12
módulos 17
protección de actualización 23
registros, acerca de 25
tarea Actualización de cliente predeterminada, acerca de 38
tarea de Actualización de cliente predeterminada,
configurar 37
tarea de Actualización de cliente predeterminada, planificar
39
tareas de actualización personalizadas, crear 39
tareas de duplicación, acerca de 41
tareas de duplicación, configurar y planificar 40
tipos de administración 10
ver el Registro de eventos 24
visualización de la ayuda 20
cliente de McAfee, véase Cliente de Endpoint Security
cliente de protección de McAfee, véase Endpoint Security Client
colores, botones de Control web 155
complementos, activar Control web en el navegador 158
configuración
actualizaciones, configurar para 37
sitios de origen para actualizaciones de cliente, configurar
35
sitios de origen, configurar para 35
configuración de acción según contenido
Control web 164
configuración de acciones según contenido, Control web 163
configuración de Firewall
Opciones 130
configuración de procesos, análisis bajo demanda 90
configuración, conectar mediante puente servidores de TIE 172
configuración, Control web
control de acceso a sitios web 163
configuración, Firewall
Opciones 130
configuración, Inteligencia de amenazas
tecnología de Contención dinámica de aplicaciones 180
Configuración, página
ajustes de actualización, configurar 35
y Modo de interfaz de cliente 17
configuración, Prevención de amenazas
función Protección de acceso 69
configuración, Threat Prevention
análisis bajo demanda 79
análisis en tiempo real 79
configurar programas potencialmente no deseados 78
194
McAfee Endpoint Security 10.2
Contención de aplicación dinámica
acerca de 176, 177
activación del umbral de activación 179
archivos de registro 25
gestión de aplicaciones contenidas 182
Inteligencia de amenazas 169
permitir que las aplicaciones contenidas se ejecuten con
normalidad 179
procesos, inclusión y exclusión 183
reglas definidas por McAfee, acerca de 181
reglas definidas por McAfee, configuración 180
contenido, actualización desde el cliente 23
contraseñas
administrador 27, 28
configuración de la seguridad del cliente 33
controlar acceso al cliente 33
Control web
acerca de 9
activación 160
activar el complemento 158
archivos de registro 25
botones, descripción 155
Cliente de Endpoint Security 17
cómo se cómo se analizan las descargas de archivos 162
configuración 160
funciones 153
menú 155
registro de actividades 25
registro de depuración 25
ver información acerca de un sitio 159
ver informes de sitios 159
y sitios web bloqueados 154
y sitios web con advertencia 154
copias de seguridad, especificar opciones de análisis 81, 86
crackers de contraseñas, acerca de 64
credenciales, lista de repositorios 37
Cuarentena, Prevención de amenazas
configurar parámetros de ubicación y retención 80
volver a analizar elementos en cuarentena 65
cuentas de usuario, controlar acceso al cliente 33
D
Data Exchange Layer
acerca de 172
definición de redes 129
descargas
bloqueo y advertencia, comportamiento de 154
descargas de archivos
análisis con Prevención de amenazas 162
bloqueo de sitios web desconocidos 160
bloqueo o advertencia de acceso según calificaciones 163
destinos, Protección de acceso
ejemplos 74
evaluar con subreglas 74
Guía del producto
Índice
detecciones
administrar 58, 61
excluir por nombre 80
informar al servidor de administración 10
mostrar mensajes a usuarios 81, 86
nombres 64
responder a 20
tipos 58, 60
direcciones IP 129
grupos con reconocimiento de ubicación 133
grupos de reglas 133
Direcciones IP
de confianza 130
direcciones URL
excluir del análisis de secuencia de comandos 81
directivas
acceso al Cliente de Endpoint Security 17
definición 10
funciones de cliente 12
directivas de acción según contenido
Control web 164
directivas, Common
configurar 30
directivas, Control web
control de acceso con calificaciones de seguridad 164
control de acceso con categorías web 164
directivas, Prevención de amenazas
análisis bajo demanda, aplazar 88
parámetros de análisis de ajustes generales 80
directivas, Threat Prevention
análisis en tiempo real 85
dominios, bloqueo 128
E
ejecutables
configuración de confianza 130
de confianza, véase ejecutables de confianza
ejecutables de confianza
configuración 130
definición 131
ejemplos de flujo de trabajo 174
crear prevalencia de archivos y observar 174
enviar archivos para análisis más detallado 175
supervisión y ajuste 174
en tiempo real, análisis
ScriptScan 84
Endpoint Security Client
abrir 19
administrar detecciones de amenazas 61
análisis del sistema 57
analizar en busca de malware 57
mostrar información de protección 22
proteger con una contraseña 33
Resumen de amenazas 16
tipo de administración 22
McAfee Endpoint Security 10.2
Endpoint Security, administrar 27
Endpoint Security, cómo protege su equipo 10
enviar archivos para análisis más detallado
Advanced Threat Defense 175
Product Improvement Program 175
errores, actualización 23
escritorio remoto, y función de análisis durante inactividad 88
estado, Endpoint Security, estado, Endpoint Security, mostrar
con icono de McAfee de la bandeja del sistema 12
eventos, rastreo de eventos del navegador de Control web 160
evitar análisis 82
excepciones
McAfee GTI 130
exclusiones
análisis bajo demanda, especificar 86
análisis en tiempo real, especificar archivos, carpetas y
unidades 81
configuración 66
Contención de aplicación dinámica 182, 183
especificar URL para ScriptScan 81
nivel de raíz 67
nombre de detección 80
Protección de acceso, basada en directivas y basada en
reglas 75
usar caracteres comodín 67
exclusiones a nivel de raíz, véase exclusiones
exploits
bloquear desbordamientos del búfer 77
cómo se producen los exploits de desbordamiento del búfer
76
F
falsos positivos
Firewall, reducir 131
Firefox
activar el complemento 158
botones de Control web 155
navegadores compatibles 153, 159
ver información acerca de un sitio 159
firewall
acerca de grupos sincronizados 12
activar en el icono de la bandeja del sistema de McAfee 12
Firewall
acerca de 9
activación y visualización de grupos sincronizados 126
activar y desactivar en el icono de la bandeja del sistema
125
activar y desactivar protección 127
actualización del contenido desde el cliente 23
administración de directivas y grupos 137
administrar 126
alertas de intrusos 14
archivos de registro 25
bloqueo del tráfico DNS 128
Cliente de Endpoint Security 17
cómo funciona 125
Guía del producto
195
Índice
Firewall (continuación)
cómo funcionan las reglas de firewall 131
creación de grupos sincronizados 140
ejecutables de confianza 131
grupos con reconocimiento de ubicación, acerca de 133
grupos con reconocimiento de ubicación, crear 139
grupos sincronizados, acerca de 126
modificar opciones 127
registro de actividades 25
registro de depuración 25
reglas, véase reglas de firewall
firewall, grupos de reglas
configurar 131
predefinidos 136
firmas
información de la amenaza conocida 11
firmas de GBOP, véase Firmas de protección genérica contra
desbordamiento del búfer
Firmas de GPEP, véase Firmas de Prevención genérica de la
escalación de privilegios
firmas de protección genérica contra desbordamiento del búfer
11
firmas de supervisión de API dirigida 11
función de análisis durante inactividad 21, 88
funciones
acceso al Cliente de Endpoint Security basado en directivas
17
activación y desactivación 28
G
globos, Web Control 156, 159
Google
Chrome 153
iconos de seguridad 156
motores de búsqueda compatibles 156
grupo de reglas agregado por administrador, Firewall 136
grupo de reglas agregado por el usuario, Firewall 137
grupo de reglas agregado por usuario, Firewall 136
grupo de reglas de adaptación, Firewall 136, 137
grupo de reglas de redes principales de McAfee, Firewall 136
grupo de reglas dinámico, Firewall 136
grupo de reglas predeterminado, Firewall 136
grupo de reglas, Firewall, véase grupos de reglas de firewall
grupos con reconocimiento de ubicación
acerca de 133
aislamiento de conexión 134
crear 139
grupos de firewall, véase grupos de reglas de firewall
grupos de reglas de firewall
administrar grupos sincronizados desde el icono de la
bandeja del sistema 12
cómo funciona el Firewall 125
creación de grupos sincronizados 140
gestión de grupos sincronizados mediante el icono de la
bandeja del sistema 126
grupos con reconocimiento de ubicación, acerca de 133
196
McAfee Endpoint Security 10.2
grupos de reglas de firewall (continuación)
grupos sincronizados, acerca de 126
prioridad 133
reconocimiento de ubicación, crear 139
y aislamiento de conexión 134
grupos de reglas predefinidos 136
grupos sincronizados
administrar desde el icono de la bandeja del sistema de
McAfee 12
grupos sincronizados, Firewall
acerca de 126
creación 140
gestión mediante el icono de la bandeja del sistema 126
grupos, firewall, véase grupos de reglas de firewall
H
hashes, acerca de 34, 81, 162
herramientas de administración remota, acerca de 64
Host Intrusion Prevention, y Prevención de exploit 76
Host IPS, y Prevención de exploit 76
I
icono de la bandeja del sistema, definido por
McAfee 12
icono de la bandeja del sistema, McAfee 12
abrir Endpoint Security Client 19
activación y visualización de grupos sincronizados 126
activar y desactivar Firewall 125
actualizar seguridad 12
configuración del acceso a Endpoint Security 33
grupos sincronizados de Firewall 12
icono de McAfee, véase icono de la bandeja del sistema de
McAfee
iconos, McAfee, véase icono de la bandeja del sistema de
McAfee
iconos, Web Control 156
independiente, véase autogestionado, acerca de
información, mostrar protección 22
informes de seguridad, véase informes, Web Control
informes del sitio, véase informes, Web Control
informes, Control web
seguridad 153
ver 159
informes, Web Control 156, 157
seguridad de sitios web 156
visualización 159
instaladores de confianza, analizar 81
instaladores, analizar de confianza 81
Inteligencia de amenazas
acerca de 170
actualizaciones de archivos de contenido 11
administrar 170
archivos de registro 25
Cliente de Endpoint Security 17
componentes 170
Guía del producto
Índice
Inteligencia de amenazas (continuación)
conectar mediante puente servidores de TIE gestionados
por McAfee ePO 172
configuración 183
configuración del umbral de activación de Contención de
aplicación dinámica 179
ejemplos de flujo de trabajo 174
escenarios 169
registro de actividades 25
registro de depuración 25
tecnología de Contención dinámica de aplicaciones 180
Internet Explorer
activar el complemento 158
navegadores compatibles 153, 159
ver información acerca de un sitio 159
visualización de la ayuda de Endpoint Security 20
y comportamiento de ScriptScan 84
intrusiones, activar alertas de Firewall 127
L
las reglas personalizadas, véase reglas definidas por usuario,
Protección de acceso
Lista de aplicaciones contenidas, gestión 182
lista de repositorios
descripción general 37
orden de preferencia, lista de repositorios 37
ubicación en cliente 37
lógica de confianza, optimización de análisis en tiempo real 82
M
malware
analizar en busca de 57
detecciones durante el análisis 58, 60
responder a detecciones 20
marcadores, acerca de 64
McAfee Agent
tarea de actualización de producto y lista de repositorios 37
McAfee Endpoint Security Client, véase Endpoint Security Client
McAfee ePO
actualizar protección 11
recuperación de archivos de AMCore content 11
y tipos de administración 22
McAfee GTI
análisis bajo demanda, cómo funcionan 87
análisis bajo demanda, configurar 86
análisis de archivos antes de su descarga 160
análisis en tiempo real, cómo funcionan 82
análisis en tiempo real, configurar 81
analizar archivos antes de su descarga 162
calificaciones de seguridad de Web Control 157
comentarios de telemetría 80
configurar nivel de sensibilidad 80
descripción general 34, 81, 162
enviar eventos de bloqueo al servidor 127
McAfee Endpoint Security 10.2
McAfee GTI (continuación)
especificar configuración del servidor proxy 34
excepciones 130
informes de sitio web de Web Control 156
opciones de firewall, configurar 127
preguntas frecuentes 128
problema de comunicación de Control web 155
reputación de red para firewall, configurar 127
y categorías web 164
McAfee Labs
actualizaciones de archivos de AMCore Content 11
descarga de Extra.DAT 29
Extra.DAT 30
obtener más información sobre amenazas 62
y McAfee GTI 34, 81, 162
McAfee SECURE, botón de Control web 155
McTray, iniciar 88
Mensajes de error, mensajes de error, estados del icono de la
bandeja del sistema 12
mensajes de notificación
acerca de 14
interactuar con el Cliente de Endpoint Security 12
Windows 8 y 10 14
mensajes emergentes, y calificaciones de seguridad 157
mensajes, Endpoint Security
acerca de 14
mostrar al detectar amenaza 81, 86
Menú Acción, acerca de 15
Menú Inicio, abrir Endpoint Security Client 19
menús
Acción 15, 28
Acerca de 22
Ayuda 15, 20
Configuración 15, 17, 127, 137
Control web 159
Microsoft Internet Explorer, véase Internet Explorer
Modo Acceso estándar
administrar reglas y grupos de firewall 137
configuración de la seguridad del cliente 33
efectos de definir una contraseña 33
modo Acceso total
modificar opciones de firewall 127
Modo de acceso estándar
iniciar sesión como administrador 27
y configuración de directivas 17
Modo de acceso total
configuración de directivas 17
Modo de adaptación
configurar en Firewall 127
prioridad de reglas 131
Modo de interfaz de cliente, opciones 17
modo Escritorio, Windows 8 y 10
mensajes de notificación 14
respuesta a los avisos de detección de amenazas 20
modos de acceso, Cliente de Endpoint Security 17
Guía del producto
197
Índice
modos de interfaz
Acceso estándar 27, 33
configuración de la seguridad del cliente 33
módulo Ajustes generales, Cliente de Endpoint Security 17
módulo Ajustes generales, configuración
Autoprotección 31
seguridad de la interfaz de cliente 33
módulo Ajustes generales, configurar
configuración de actualización 37
sitios de origen para actualizaciones de cliente 35
sitios de origen para actualizaciones de cliente, configurar
35
módulo Common, configurar
configuración 30
Configuración del servidor proxy para McAfee GTI 34
registro 32
módulos
acceso al Cliente de Endpoint Security basado en directivas
17
acerca de Endpoint Security 9
instalados en Cliente de Endpoint Security 17
muestra información acerca de 22
módulos, Ajustes generales
ajustes de actualización, configurar 35
Autoprotección, configuración 31
cómo funciona McAfee GTI 34, 81, 162
configuración de actualización, configurar 37
configurar sitios de origen para actualizaciones de cliente
35
seguridad de la interfaz de cliente, configuración 33
sitios de origen para actualizaciones de cliente, configurar
35
módulos, Common
registro, configurar 32
servidor proxy para McAfee GTI, configurar 34
motores de análisis, descripción general del archivo de AMCore
Content 11
Motores de búsqueda Ask, e iconos de seguridad 156
Motores de búsquedas Bing, e iconos de seguridad 156
Mozilla Firefox, véase Firefox
N
navegadores
activar el complemento 158
compatibles 153, 159
desactivación del complemento de Control web 160
ver información acerca de un sitio 159
nivel de sensibilidad, McAfee GTI 34, 81, 162
niveles de seguridad
ejemplos 184
no gestionado, véase autogestionado, acerca de
notificaciones de alerta, Windows 8 y 10 14, 20
O
opciones
analizar en busca de malware 57
198
McAfee Endpoint Security 10.2
opciones (continuación)
configurar análisis bajo demanda 86
configurar análisis en tiempo real 81
opciones de Firewall
modificación 127
opciones de utilización del sistema, descripción general 90
Opciones, Ajustes generales
ajustes de actualización, configurar 35
Autoprotección, configuración 31
configuración de actualización, configurar 37
seguridad de la interfaz de cliente, configuración 33
sitios de origen para actualizaciones de cliente, configurar
35
sitios de origen para las actualizaciones de cliente,
configurar 35
Opciones, Common
configuración del servidor proxy, configurar 34
configurar 30
parámetros de registro, configurar 32
programación de análisis bajo demanda 57
opciones, Firewall
ejecutables de confianza 131
redes definidas 129
Opciones, Prevención de amenazas
parámetros de análisis de ajustes generales 80
Opciones, Threat Prevention
programas no deseados 78
P
Página
Página
Página
Página
Acerca de 22
Análisis en tiempo real 61
Analizar en busca de amenazas 60
Analizar sistema 61
página Configuración
Autoprotección, configuración 31
configuración de actualización, configurar 37
configuración del servidor proxy, configurar 34
modificar opciones de firewall 127
registro, configurar 32
seguridad de la interfaz de cliente, configuración 33
Página Configuración
administrar reglas y grupos de firewall 137
parámetros de análisis bajo demanda, configurar 86
parámetros de análisis en tiempo real, configurar 81
página de actualización 23
página de análisis, mostrar 58
página de cuarentena 62
Página de estado de seguridad de McAfee, mostrar 12
Página de estado, ver Resumen de amenazas 16
página de iniciar sesión como administrador
desbloqueo de la interfaz del cliente 28
Página de iniciar sesión como administrador
al abrir Endpoint Security Client 19
página de Scan System 58
página Reversión de AMCore content 29
Guía del producto
Índice
páginas
Acerca de 10, 22
Actualizar 23
Análisis en tiempo real 20, 61
análisis, mostrar 58
Analizar en busca de amenazas 60
Analizar sistema 61
Configuración 17, 31–35, 37, 86, 127
cuarentena 62
estado de seguridad de McAfee 12
Registro de eventos 24
Revertir AMCore content 29
Scan System 58
procesos, Threat Prevention
análisis 81
especificar alto y bajo riesgo 81
Product Improvement Program 175
programas potencialmente no deseados
acerca de 64
activar detección 79, 81, 86
caracteres comodín en exclusiones 67
configurar detección 78
detecciones durante el análisis 58, 60
especificar 78
especificar programas que detectar 80
exclusión de elementos 66
parámetro Windows Set Priority 90
phishing, informes enviados por usuarios del sitio web 157
planificaciones, análisis bajo demanda, aplazar 88
prácticas recomendadas
utilizar redes de confianza 130
programas, activar detección de potencialmente no deseados
81, 86
protección
configuración de autoprotección 31
interactuar con 12
mantener actualizado 11
muestra información acerca de 22
protección de acceso
exclusión de procesos 66
Protección de acceso
acerca de 67
archivos de registro 25
ejemplos 68
procesos, incluir y excluir 69, 75
reglas definidas por el usuario, configurar 73
reglas definidas por McAfee, acerca de 70
reglas definidas por McAfee, configurar 69
reglas, acerca de 69
preguntas frecuentes, McAfee GTI 128
Prevención de amenazas
acerca de 9
análisis de archivos antes de su descarga 160
análisis en tiempo real, acerca de 82
analizar archivos antes de su descarga 162
Cliente de Endpoint Security 17
función Protección de acceso 69
Prevención de exploit
actualizaciones de archivos de contenido 11
archivos de registro 25
exclusión de procesos 66
y Host IPS 76
Prevención de vulnerabilidades
acerca de 76
configurar 77
Prevención genérica de la escalación de privilegios 11
prioridad
grupos de firewall 133
reglas de firewall 131
prioridades, análisis en tiempo real 90
procedimientos iniciales de Inteligencia de amenazas 174
procesos de alto riesgo, especificar 81
procesos de bajo riesgo, especificar 81
procesos, Contención de aplicación dinámica
exclusiones 183
procesos, Inteligencia de amenazas
inclusión y exclusión en Contención de aplicación dinámica
183
procesos, Prevención de amenazas
análisis 82
exclusión 66
incluir y excluir en protección de acceso 75
incluir y excluir en Protección de acceso 69
procesos, Protección de acceso
exclusión basada en directivas 75
exclusión basada en reglas 75
McAfee Endpoint Security 10.2
R
ransomware
creación de reglas de Protección de acceso para proteger
contra 73
red privada, inclusión de sitios externos 160
redes
de confianza 130
definición 129
redes de confianza, véase redes
registradores de pulsaciones de teclado, acerca de 64
registro de cliente 32
registros de actividades, Cliente de Endpoint Security 25
registros de depuración, Cliente de Endpoint Security 25
registros de errores, Cliente de Endpoint Security 25
registros de eventos, Cliente de Endpoint Security
acerca de 25
errores de actualización 23
ver página Registro de eventos 24
reglas de contención
Contención de aplicación dinámica 176
reglas de firewall
cómo funciona el Firewall 125
cómo funcionan 131
Guía del producto
199
Índice
reglas de firewall (continuación)
configurar 131
orden y prioridad 131
permitir y bloquear 131
usar caracteres comodín 139
reglas definidas por el usuario, Protección de acceso
configurar 73
reglas definidas por McAfee, Contención de aplicación dinámica
181
reglas definidas por McAfee, Protección de acceso 70
reglas, Contención de aplicación dinámica
configuración 180
reglas, firewall, véase Firewall
reglas, Prevención de amenazas
configurar 69
reglas, Protección de acceso
tipos 69
reglas, Threat Prevention
cómo funciona la protección de acceso 68
regulación, configurar 90
reputación de archivos
respuesta a avisos 21
reputaciones
activación del umbral de activación de Contención de
aplicación dinámica 179
cómo se determinan 172
Contención de aplicación dinámica 176
respuestas, configurar para detección de programas no
deseados 79
Resumen de amenazas, acerca de 16
S
Safari (Macintosh)
botones de Control web 155
scripts, análisis 84
ScriptScan
acerca de 84
activar 81
exclusión de URL 66
sectores de arranque, analizar 81, 86
seguridad
configuración de la seguridad de la interfaz del cliente 33
Servidor de Threat Intelligence Exchange, véase Servidores de
TIE
servidor proxy
cómo funciona McAfee GTI 34, 81, 162
configuración en lista de repositorios 37
configurar para McAfee GTI 34
servidores
acerca de los servidores de TIE 172
conectar mediante puente servidores de TIE gestionados
por McAfee ePO 172
servidores de TIE
acerca de 172
puente 172
servidores, proxy, véase servidores proxy
200
McAfee Endpoint Security 10.2
sigiloso, acerca de 64
sistemas servidor, y función de análisis durante inactividad 88
sitios
protección de navegación 155
ver informes de sitios web de Control web 159
sitios web
bloqueo y advertencia, comportamiento de 154
clasificaciones de seguridad 157
protección de navegación 155
protección durante la búsqueda 156
ver informes de sitios web de Control web 159
sitios web, advertencia
según las calificaciones de seguridad 164
sitios web, advertir
según calificaciones 163
sitios web, bloquear
según calificaciones 163
según categoría web 163, 164
según las calificaciones de seguridad 164
sitios web, bloqueo
según las calificaciones de seguridad 164
sin calificar o desconocidos 160
sitios web peligrosos en los resultados de búsqueda 160
sitios web, control de acceso
con calificaciones de seguridad 164
con categorías web 163, 164
sitios web, controlar acceso
con calificaciones de seguridad 164
sitios, advertir
según calificaciones 163
sitios, bloquear
según calificaciones 163
según categoría web 163, 164
sitios, control de acceso
con categorías web 163, 164
software cliente, definición 10
solicitudes de descarga, véase descargas de archivos
spyware, acerca de 64
subprocesos, prioridad 90
subreglas, Protección de acceso
evaluar con destinos 74
excluir e incluir 75
T
tarea Actualización de cliente predeterminada
acerca de 38
tarea de Actualización de cliente predeterminada
configurar 37
configurar sitios de origen para actualizaciones 35
planificación con Cliente de Endpoint Security 39
tareas cliente de actualización de producto
lista de repositorios 37
tareas de actualización de producto
acerca de 37
Guía del producto
Índice
tareas de actualización personalizadas, véase tareas, Cliente de
Endpoint Security
tareas de duplicación
acerca de 41
configurar y planificar 40
tareas, Cliente de Endpoint Security
Actualización de cliente predeterminada, configurar 37
actualización personalizada, configurar y planificar 39
configurar y planificar tareas de duplicación 40
tarea de Actualización de cliente predeterminada, planificar
39
tareas de duplicación, acerca de 41
tareas, Endpoint Security
Actualización de cliente predeterminada, acerca de 38
tareas, Prevención de amenazas
Análisis completo y Análisis rápido, planificación 91
análisis personalizados, planificación 91
tareas, Threat Prevention
Análisis completos y rápidos, acerca de 57
Threat Intelligence
Endpoint Security 171
Threat Prevention
administrar 65
análisis bajo demanda, acerca de 87
análisis bajo demanda, configurar 86
análisis en tiempo real, configurar 81
Opciones, programas no deseados 78
Prevención de vulnerabilidades, función 77
programas potencialmente no deseados, detecciones 78
tiempo de CPU, análisis bajo demanda 90
tipo de administración
visualización 22
tipo de administración de McAfee ePO Cloud 22
tipos de administración
acerca de 22
tráfico
analizados por Firewall 125
permitir saliente hasta inicio de servicios de firewall 127
Tráfico DNS, bloqueo 128
troyanos
acerca de 64
detecciones durante el análisis 58, 60
McAfee Endpoint Security 10.2
U
umbrales
activación del umbral de activación de Contención de
aplicación dinámica 179
unidades de red, especificar opciones de análisis 81
URL
exclusión del análisis de script 66
V
virus
acerca de 64
detecciones durante el análisis 58, 60
firmas 11
responder a detecciones 20
vulnerabilidades
Véase también amenazas
bloquear desbordamientos del búfer 76
vulnerabilidades de desbordamiento del búfer, acerca de 76
W
Web Control
administrar 160
globos e iconos 159
iconos, descripción 156
informes del sitio 156
motores de búsqueda e iconos de seguridad 156
Windows 8 y 10
abrir Endpoint Security Client 19
acerca de los mensajes de notificación 14
respuesta a los avisos de detección de amenazas 20
Y
Yahoo
iconos de seguridad 156
motor de búsqueda compatible 156
motor de búsqueda predeterminado 160
Guía del producto
201
0-02
Descargar