Installation Guide PDF

Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control
Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control
El software que se describe en este manual se suministra con acuerdo de licencia y slo puede utilizarse segn los trminos de dicho acuerdo. Documentacin versin 11.00.02.01.00
Aviso legal
Copyright 2008 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton y TruScan son marcas comerciales o marcas registradas de Symantec Corporation o de sus afiliados en los EE. UU. y en otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.mx
Soluciones de Servicio y Soporte

Symantec tiene como objetivo ofrecer el mejor servicio en todo el mundo. Nuestra meta es ofrecerle ayuda profesional para la utilizacin de nuestro software y servicios, cualquiera que sea el lugar del mundo en que se encuentre. Las soluciones de Soporte tcnico y Servicio al cliente varan segn el pas. Si tiene alguna pregunta respecto a los servicios que se describen a continuacin, consulte la seccin "Para contactar el Servicio y Soporte mundial" al final de este captulo.
Registro y licencias
Si el producto que est implementando requiere ser registrado y/o una clave de licencia, la manera ms rpida y fcil de registrar su servicio es acceder a nuestro sitio de registro y programas de licenciamiento en www.symantec.com/certificate. Tambin puede ir a http://www.symantec.com/techsupp/ent/enterprise.html, seleccionar el producto que desea registrar y desde la pgina principal del producto, seleccionar el vnculo Registro y licencias. Si ha adquirido una suscripcin de soporte, tiene derecho a recibir asistencia tcnica de Symantec por telfono y por Internet. Cuando se ponga en contacto con el servicio de soporte por primera vez, tenga a mano el nmero de licencia que aparece en su Certificado de licencia o el Id de contacto que se genera al registrar el soporte, para que el personal pueda comprobar su autorizacin de soporte. Si no ha adquirido una suscripcin de soporte, pngase en contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre cmo adquirir soporte tcnico de Symantec.
Actualizaciones de seguridad
Para obtener la informacin ms reciente sobre las ltimas amenazas de seguridad y de virus, vaya al sitio Web de Symantec Security Response (antes conocido como SARC) en: http://www.symantec.com/region/mx/avcenter/. Este sitio contiene extensa informacin sobre amenazas de seguridad y de virus, as como las ltimas definiciones de virus. Las definiciones tambin pueden descargarse utilizando la funcin LiveUpdate de su producto.
Renovacin de la suscripcin de actualizaciones antivirus

La adquisicin del servicio de mantenimiento de su producto le da derecho a descargar definiciones de virus gratuitas durante el plazo de validez de su acuerdo de mantenimiento. Si su acuerdo de mantenimiento ha caducado, pngase en
contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre la renovacin del acuerdo.
Los sitios Web de Symantec:

Pgina principal de Symantec (por idioma):
Alemn: http://www.symantec.de Espaol: http://www.symantec.com/region/es Francs: http://www.symantec.fr Ingls: http://www.symantec.com Italiano: http://www.symantec.it Neerlands: http://www.symantec.nl Portugus: http://www.symantec.com/br
Symantec Security Response:
http://securityresponse.symantec.com
Pgina de Servicio y Soporte Empresarial de Symantec:
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Boletines de noticias de productos:
EE.UU., Pacfico Asitico / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio y frica / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs: http://www.symantec.com/region/fr/techsupp/bulletin/index.html Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html
Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html
Soporte Tcnico
Nuestro grupo de soporte tcnico global, por ser parte integrante de Symantec Security Response, mantiene centros de soporte en todas partes del mundo. Nuestro papel principal es responder a preguntas especficas sobre caractersticas/funciones de los productos, instalaciones y configuracin, adems de elaborar el contenido de nuestra Base de conocimientos accesible por Internet. Trabajamos en colaboracin con las otras reas funcionales de Symantec para responder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingeniera de productos, as como con nuestros Centros de Investigacin de Seguridad para suministrar Servicios de alerta y actualizaciones de definiciones de virus cuando hay ataques de virus y alertas de seguridad. Nuestros servicios ms importantes incluyen:
Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar la amplitud de servicio necesaria para una organizacin de cualquier tamao. Componentes de soporte telefnico y de Web que le proporcionan respuestas rpidas y la informacin ms reciente. Actualizaciones de producto que proporcionan proteccin automtica y actualizada de software. Actualizaciones de contenido para definiciones de virus y firmas de seguridad que le garantizan el ms alto nivel de proteccin. Soporte global de los expertos de Symantec Security Response, disponible las 24 horas del da, 7 das por semana, en todo el mundo, en varios idiomas. Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de Administrador de cuentas tcnico que suministran respuestas mejoradas y soporte de seguridad proactivo.
Consulte nuestro sitio Web para obtener informacin actualizada sobre los programas de soporte. Para contactarnos Los clientes que tienen un acuerdo de soporte vlido pueden ponerse en contacto con el equipo de Soporte Tcnico por telfono, a travs de la Web en la direccin URL a continuacin o utilizando los sitios de soporte regionales que se indican ms adelante en este documento. http://www.symantec.com/region/mx/techsupp/enterprise/index.html Cuando se ponga en contacto con el personal de Soporte Tcnico, asegrese de tener a mano la siguiente informacin:
Nmero de versin del producto Informacin del hardware Memoria disponible, espacio en disco, informacin sobre el NIC (tarjeta interfaz de red) Sistema operativo Versin y nivel de parche Topologa de la red Router, gateway y direccin IP Descripcin del problema Mensajes de error/archivos de registro Soluciones intentadas antes de ponerse en contacto con Symantec Cambios recientes en la configuracin del software y/o cambios en la red
Servicio de Atencin al Cliente de Symantec

El Centro de Servicio de Atencin al Cliente de Symantec puede prestarle ayuda en asuntos no tcnicos, tales como:
Informacin general sobre productos (caractersticas, idiomas disponibles, distribuidores en su rea, etc.). Solucin de problemas bsicos, tales como comprobar el nmero de versin del producto. Informacin ms reciente sobre actualizaciones y nuevas versiones de productos. Cmo actualizar su producto. Cmo registrar su producto y/o licencias. Informacin sobre los programas de licenciamiento de Symantec. Informacin sobre seguros de actualizacin y contratos de mantenimiento. Reemplazo de CD y manuales. Actualizacin de su registro de producto para reflejar un cambio de nombre o direccin. Consejos sobre las opciones de soporte tcnico de Symantec.
El sitio Web de Servicio y Soporte de Symantec ofrece extensa informacin de servicio al cliente. Esta informacin tambin se puede obtener llamando al Centro de Servicio al cliente de Symantec. Consulte la seccin "Para contactar el Servicio
y Soporte mundial", que aparece al final de este captulo, para obtener el nmero y las direcciones Web del Servicio al cliente de su rea.
Para contactar el Servicio y Soporte mundial

En Europa, Oriente Medio, frica y Amrica Latina.
Sitios Web de Servicio y Soporte de Symantec
Alemn: www.symantec.de/desupport/ Espaol: www.symantec.com/region/mx/techsupp/ Francs: www.symantec.fr/frsupport/ Ingls: www.symantec.com/eusupport/ Italiano: www.symantec.it/itsupport/ Neerlands: www.symantec.nl/nlsupport/ Portugus: www.symantec.com/region/br/techsupp/ Direccin FTP de Symantec:ftp.symantec.com (para descargar notas tcnicas y los ltimos parches)
Visite el Servicio y Soporte de Symantec en la Web para obtener informacin tcnica y no tcnica sobre su producto. Symantec Security Response :
http://www.symantec.com/region/mx/avcenter/
Boletines de noticias de productos:
EE.UU. / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio, frica y Amrica Latina / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html
Servicio de Atencin al Cliente de Symantec Proporciona informacin y consejos no tcnicos por telfono en los siguientes idiomas: ingls, alemn, francs, italiano y espaol.
Alemania + (49) 69 6641 0315 Austria + (43) 1 50 137 5030 Blgica + (32) 2 2750173 Dinamarca + (45) 35 44 57 04 Espaa + (34) 91 7456467 Finlandia + (358) 9 22 906003 Francia + (33) 1 70 20 00 00 Holanda + (31) 20 5040698 Irlanda + (353) 1 811 8093 Italia + (39) 02 48270040 Luxemburgo + (352) 29 84 79 50 30 Noruega + (47) 23 05 33 05 Sudfrica + (27) 11 797 6639
Suecia + (46) 8 579 29007 Suiza + (41) 2 23110001 RU + (44) 20 7744 0367 Otros pases + (353) 1 811 8093 (slo en ingls)
Servicio de Atencin al Cliente de Symantec Direccin postal
Symantec Ltd Customer Service Centre Europa, Oriente Medio y frica (EMEA) PO Box 5689 Dubln 15 Irlanda
En Amrica Latina
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Argentina
Pte. Roque Saenz Pea 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentina Central telefnica: +54 (11) 5811-3225 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306
Venezuela
Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanizacin el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela
Central telefnica: +58 (212) 905-6327 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-1-00-2543 Colombia
Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Central telefnica: +57 (1) 638-6192 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 980-915-5241
Brasil
Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12 andar So Paulo - SP CEP: 04583-904 Brasil, SA Central telefnica: +55 (11) 5189-6300 Fax: +55 (11) 5189-6210 Sitio Web: http://www.service.symantec.com/br Soporte Gold: 000814-550-4172
Chile
Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Central telefnica: +56 (2) 378-7480 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306
Mxico
Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mxico Central telefnica: +52 (55) 5481-2600
Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 001880-232-4615 Resto de Amrica Latina
9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Sitio Web: http://www.service.symantec.com/mx Soporte Gold: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615
En el Pacfico Asitico
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Oficinas de Servicio y Soporte AUSTRALIA
Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australia Central telefnica: +61 2 8879 1000 Fax: +61 2 8879 1001 Sitio Web: http://service.symantec.com Soporte Gold: 1800 805 834 gold.au@symantec.com Admin. contratos de soporte: 1800 808 089 contractsadmin@symantec.com
CHINA
Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 China P.R.C.
Central telefnica: +86 10 8518 3338 Soporte Tcnico: +86 10 8518 6923 Fax: +86 10 8518 6928 Sitio Web: http://www.symantec.com.cn HONG KONG
Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Central telefnica: +852 2528 6206 Soporte Tcnico: +852 2528 6206 Fax: +852 2526 2646 Sitio Web: http://www.symantec.com.hk
INDIA
Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, India Central telefnica: +91 22 652 0658 Soporte Tcnico: +91 22 652 0671 Fax: +91 22 657 0669 Sitio Web: http://www.symantec.com/india
COREA
Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Corea del Sur Central telefnica: +822 3420 8600 Soporte Tcnico: +822 3452 1610 Fax: +822 3420 8650
Sitio Web: http://www.symantec.co.kr MALASIA
Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malasia Central telefnica: +603 7805 4910 Soporte Tcnico: +603 7804 9280 Correo electrnico empresarial: gold.apac@symantec.com N empresarial gratuito: +1800 805 104 Sitio Web: http://www.symantec.com.my
NUEVA ZELANDA
Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nueva Zelanda Central telefnica: +64 9 375 4100 Fax: +64 9 375 4101 Sitio Web de support: http://service.symantec.co.nz Soporte Gold: 0800 174 045 gold.nz@symantec.com Admin. contratos de soporte: 0800 445 450 contractsadmin@symantec.com
SINGAPUR
Symantec Singapore 6 Battery Road #22-01/02/03 Singapur 049909 Central telefnica: 1800 470 0730 Fax: +65 6239 2001 Soporte Tcnico: 1800 720 7898 Sitio Web: http://www.symantec.com.sg
TAIWN
Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwn Central telefnica: +886 2 8761 5800 Soporte corporativo: +886 2 8761 5800 Fax: +886 2 2742 2838 Soporte Gold: 0800 174 045 gold.nz@symantec.com Sitio Web: http://www.symantec.com.tw
Se ha hecho todo lo posible para que la informacin contenida en este documento est libre de errores. Sin embargo, dicha informacin puede estar sujeta a modificaciones. Symantec Corporation se reserva el derecho de realizar dichas modificaciones sin previo aviso.
Contenido
Soluciones de Servicio y Soporte ..................................................................... 4 Captulo 1 Presentacin de los productos de Symantec ................ 25
Acerca de sus productos de Symantec .............................................. Acerca de Symantec Endpoint Protection ................................... Acerca de Symantec Network Access Control .............................. Acerca de Symantec Endpoint Protection Manager ....................... Componentes que funcionan con Symantec Endpoint Protection Manager ............................................................................... Cmo funciona Symantec Endpoint Protection Manager ..................... Entornos administrados y no administrados ............................... Acerca de los grupos ............................................................... Interaccin de clientes y servidores ........................................... Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager ................................................................ Sitios donde se puede obtener ms informacin ................................. 25 25 28 29 29 31 31 31 32 32 33
Seccin 1
Captulo 2
Instalacin
....................................................................... 35
Planificacin de la instalacin .......................................... 37

Requisitos del sistema ................................................................... Acerca de la definicin de derechos administrativos en equipos de destino ....................................................................... Acerca de la configuracin de derechos de usuarios con Active Directory ........................................................................ Requisitos de instalacin del sistema ......................................... Requisitos de internacionalizacin ............................................ Acerca de la compatibilidad con VMware .................................... Acerca de la planificacin de la instalacin y la arquitectura de red ...................................................................................... Acerca de los firewalls de escritorio y los puertos de comunicacin ........................................................................ Habilitar y modificar firewalls de Windows ....................................... Acerca de los firewalls de Windows y Symantec ........................... 37 38 38 38 48 50 51 56 58 59
18
Contenido
Deshabilitar el Servidor de seguridad de conexin a Internet .......................................................................... Deshabilitar el Firewall de Windows .......................................... Modificacin del Firewall de Windows Vista y Windows Server 2008 .............................................................................. Preparar equipos para la implementacin remota .............................. Preparar equipos que ejecutan Windows XP en grupos de trabajo ........................................................................... Preparar equipos con Windows Vista y Windows Server 2008 .............................................................................. Preparar un servidor de Windows Server 2003 para la instalacin usando una conexin de Escritorio remoto .................................. Preparar equipos cliente para la instalacin ...................................... Eliminar amenazas de virus y riesgos de seguridad ....................... Evaluar software de cliente de otros fabricantes .......................... Instalar software de cliente en etapas ........................................ Reinicios del equipo obligatorios .....................................................
59 60 61 62 62 63 65 67 67 67 67 68
Captulo 3
Instalacin por primera vez .............................................. 69

Preparar la instalacin .................................................................. Instalar y configurar Symantec Endpoint Protection Manager .............. Configurar e implementar el software de cliente ................................ Iniciar sesin y buscar su grupo en la consola .................................... Iniciar sesin en la Consola de administracin ............................. Cmo encontrar su grupo en la consola ...................................... Acerca de las polticas ................................................................... Configurar LiveUpdate para actualizaciones de sitio ........................... Configurar LiveUpdate para actualizaciones de clientes ...................... Configurar una poltica de configuracin de LiveUpdate ................ Configurar una poltica de contenido de LiveUpdate ..................... Configurar y probar Symantec Endpoint Protection ............................ Configurar una poltica antivirus y contra software espa predeterminada ............................................................... Probar las funciones antivirus .................................................. Configurar y probar Symantec Network Access Control ....................... Crear una poltica de integridad del host ..................................... Probar una poltica de integridad del host ................................... 69 71 74 76 76 76 77 77 78 78 79 80 80 81 86 86 88
Contenido
19
Captulo 4
Instalacin de Symantec Endpoint Protection Manager ..........................................................................
89
Antes de proceder a la instalacin ................................................... 89 Instalar Symantec Endpoint Protection Manager con una base de datos integrada ...................................................................... 90 Acerca de la configuracin de instalacin de la base de datos integrada ........................................................................ 90 Instalar Symantec Endpoint Protection Manager con la base de datos integrada ................................................................ 92 Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL ........................................................... 94 Preparar Microsoft SQL Server 2000/2005 para la creacin de una base de datos ............................................................. 95 Acerca de las opciones de instalacin de la base de datos de Microsoft SQL Server ...................................................... 100 Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL ................................................ 103 Instalar consolas de Symantec Endpoint Protection Manager adicionales .......................................................................... 106 Instalar y el configurar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga ......................... 107 Instalar Symantec Endpoint Protection Manager para conmutacin por error o balanceo de carga ......................... 108 Configurar conmutacin por error y balanceo de carga ................ 109 Instalar y el configurar Symantec Endpoint Protection Manager para la replicacin ....................................................................... 113 Instalar Symantec Endpoint Protection Manager para la replicacin .................................................................... 113 Configurar Symantec Endpoint Protection Manager para la replicacin .................................................................... 114 Ajustar el tamao de pila de Symantec Endpoint Protection Manager ............................................................................. 115 Actualizar desde la base de datos integrada a Microsoft SQL Server ................................................................................ 116 Hacer copia de respaldo del almacn de claves y los archivos server.xml ..................................................................... 117 Hacer una copia de respaldo de la base de datos integrada ............ 117 Instalar una instancia de Microsoft SQL Server 2000 2005 ......... 118 Volver a configurar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL ................................... 118 Restaurar el archivo de almacn de claves de Java original ........... 120 Desinstalar Symantec Endpoint Protection Manager ......................... 121
20
Contenido
Captulo 5
Instalar el software de cliente de Symantec ................ 123

Acerca del software de instalacin de clientes de Symantec ................ Acerca de Symantec Endpoint Protection .................................. Acerca del software de Symantec Network Access Control ........... Acerca de Windows Installer versin 3.1 ................................... Acerca de los grupos y los clientes ........................................... Acerca de la instalacin de software de cliente no administrado .......... Acerca de implementar software de cliente no administrado mediante la consola de administracin ............................... Acerca de implementar software de cliente no administrado con el Asistente de implementacin mediante transferencia ................................................................. Instalar el software de cliente no administrado con el CD de instalacin .......................................................................... Crear paquetes de instalacin de clientes ........................................ Acerca de la implementacin de software de cliente desde una unidad asignada ............................................................................. Implementar software de cliente con el Asistente de implementacin mediante transferencia ......................................................... Implementar software de cliente con Buscar equipos no administrados ...................................................................... Importar listas de equipos ............................................................ Crear un archivo de texto de equipos para instalar ...................... Importar un archivo de texto de los equipos que desea instalar ......................................................................... Acerca de la instalacin y la implementacin de software con Altiris ................................................................................ Opciones de instalacin de otros fabricantes .................................... Acerca de la instalacin de clientes mediante productos de otros fabricantes .................................................................... Acerca de la personalizacin de las instalaciones mediante opciones de .msi ............................................................. Acerca de la instalacin de clientes con Microsoft SMS 2003 ............................................................................ Instalar clientes con un Objeto de directiva de grupo de Active Directory ...................................................................... Desinstalar el software de cliente con un Objeto de directiva de grupo de Active Directory ................................................ Iniciar la interfaz de usuario del cliente .......................................... Desinstalar el software de cliente .................................................. Desinstalar el software de cliente en Windows Server 2008 Server Core ............................................................................. 124 124 125 125 125 126 126
127 127 129 130 131 132 134 134 134 135 136 136 136 136 138 145 145 146 146
Contenido
21
Captulo 6
Instalar los servidores de Cuarentena y de LiveUpdate .................................................................... 149

Antes de proceder a la instalacin ................................................. Instalar y configurar la Cuarentena central ..................................... Instalar la consola de cuarentena ............................................ Instalar el Servidor de cuarentena ........................................... Configurar los grupos para que utilicen Cuarentena central ......... Acerca del uso de un servidor de Symantec LiveUpdate ..................... Dnde conseguir ms informacin sobre la configuracin de un servidor de LiveUpdate .......................................................... Desinstalar componentes de administracin de Symantec Endpoint Protection ........................................................................... 149 149 150 151 152 154 156 156
Seccin 2
Captulo 7
Migracin y actualizacin ..................................... 157

Migrar de Symantec AntiVirus y Symantec Client Security .......................................................................... 159
Descripcin y secuencia de migracin ............................................ Rutas de migracin compatibles e incompatibles .............................. Migraciones compatibles ....................................................... Migraciones que se bloquean .................................................. Migraciones incompatibles ..................................................... Acerca de la migracin de Cuarentena central ............................ Preparar instalaciones de versiones anteriores para la migracin ........................................................................... Preparar todas las instalaciones de versiones anteriores .............. Preparar instalaciones de versiones anteriores de Symantec 10.x/3.x ........................................................................ Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuracin ................................................................. Acerca de la migracin de grupos y opciones ................................... Acerca de las opciones que no se migran ......................................... Acerca de los paquetes y la implementacin .................................... Acerca de los paquetes de instalacin de clientes que se generan durante la migracin ....................................................... Exportar y dar formato a una lista de nombres de equipos cliente para migrar ................................................................... Puertos de comunicaciones que deben abrirse ............................ Acerca de la preparacin de los equipos cliente para la migracin ..................................................................... Instalar Symantec Endpoint Protection Manager .............................. 160 161 162 162 162 163 163 163 167 168 169 173 173 174 175 177 178 178
22
Contenido
Migrar opciones de configuracin de grupos de clientes y servidores ........................................................................... Verificar la migracin y actualizar polticas migradas ....................... Migrar clientes no administrados .................................................. Acerca de migrar clientes no administrados con archivos CD ............................................................................... Migrar clientes no administrados con paquetes exportados .......... Qu se ha modificado para los administradores de versiones anteriores ...........................................................................
179 181 181 182 182 184
Captulo 8
Migrar software de versin anterior de Symantec Sygate ............................................................................

Acerca de migrar a Symantec Endpoint Protection 11.x ..................... Acerca de la migracin del servidor de Symantec Sygate y el software de administracin .............................................. Acerca de la migracin del software de cliente de versiones anteriores de Symantec Sygate ......................................... Acerca de migrar a Symantec Network Access Control 11.x ................ Acerca de la migracin del software de servidor de versiones anteriores de Symantec Sygate ......................................... Acerca de la migracin del software de cliente de versiones anteriores de Symantec Sygate ......................................... Acerca de las actualizaciones de Enforcer ....................................... Situaciones de migracin de servidores .......................................... Migrar una instancia de instalacin que utiliza un servidor de administracin ............................................................... Migrar una instancia de instalacin que utiliza una base de datos de Microsoft SQL y varios servidores de administracin ............................................................... Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin .................. Migrar una instancia de instalacin que utiliza varias bases de datos SQL y servidores de administracin ........................... Procedimientos de migracin de servidores de administracin ............ Migrar un servidor de administracin ...................................... Detener los servidores antes de la migracin de balanceo de carga y conmutacin por error .................................................. Deshabilitar la replicacin antes de la migracin ........................ Habilitar la replicacin despus de la migracin ......................... Acerca de los cambios de la interfaz y de las funciones del usuario de la consola despus de la migracin ........................................... Migrar consolas de administracin remotas ....................................
187 188 188 190 191 191 192 192 193 193
194 194 195 196 197 198 198 199 200 201
Contenido
23
Acerca de la configuracin de polticas migradas y nuevas ................. 202 Acerca de la eliminacin de la proteccin de contrasea del cliente de la configuracin del grupo .................................................. 202 Migrar software de cliente de versiones anteriores de Symantec Sygate ................................................................................ 203
Captulo 9
Actualizar a los nuevos productos de Symantec ........ 205

Acerca de la actualizacin a nuevos productos de Symantec ............... Actualizar Symantec Endpoint Protection Manager .......................... Realizar una copia de respaldo de la base de datos ............................ Deshabilitar la replicacin ........................................................... Detener el servicio de Symantec Endpoint Protection Manager ........... Actualizar Symantec Endpoint Protection Manager .......................... Habilitar la replicacin despus de la migracin ............................... Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control ........................................... Acerca de actualizar clientes de Symantec Network Access Control con Symantec Endpoint Protection .......................................... 205 206 206 207 207 208 209 210 210
Seccin 3
Apndice A
Apndices
....................................................................... 211
Funciones y propiedades de instalacin de Symantec Endpoint Protection ................................. 213

Acerca de las funciones y propiedades de instalacin ........................ Acerca de la configuracin de Setaid.ini .................................... Acerca de la configuracin de cadenas de comando de MSI ........... Funciones y propiedades de la instalacin de clientes ........................ Funciones del cliente de Symantec Endpoint Protection ............... Propiedades de la instalacin de clientes de Symantec Endpoint Protection ..................................................................... Parmetros de Windows Installer .................................................. Propiedades del Centro de seguridad de Windows ............................. Acerca de la utilizacin del archivo de registro para comprobar errores ............................................................................... Identificacin del punto de falla de una instalacin ........................... Ejemplos de lnea de comandos .................................................... 213 214 215 216 216 218 219 221 222 223 223
Apndice B
Actualizar el software de cliente de Symantec ........... 225

Acerca de las actualizaciones y los parches ...................................... 225 Actualizar el software de cliente de Symantec .................................. 226
24
Contenido
Apndice C
Recuperacin despus de un desastre ......................... 229

Cmo prepararse para la recuperacin despus de un desastre ............ Acerca del proceso de recuperacin despus de un desastre ................ Restaurar Symantec Endpoint Protection Manager ........................... Acerca de identificar el equipo nuevo o reconstruido ................... Volver a instalar Symantec Endpoint Protection Manager ............ Restaurar el certificado del servidor ............................................... Restaurar comunicaciones de clientes ............................................ Restaurar comunicaciones de clientes con una copia de respaldo de la base de datos .......................................................... Restaurar comunicaciones de clientes sin una copia de respaldo de la base de datos .......................................................... 229 232 232 232 232 232 234 234 235
ndice .................................................................................................................. 237
Captulo
Presentacin de los productos de Symantec

En este captulo se incluyen los temas siguientes:

Acerca de sus productos de Symantec Componentes que funcionan con Symantec Endpoint Protection Manager Cmo funciona Symantec Endpoint Protection Manager Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager Sitios donde se puede obtener ms informacin
Acerca de sus productos de Symantec

Sus productos de Symantec pueden incluir Symantec Endpoint Protection y Symantec Network Access Control. Ambos productos incluyen Symantec Endpoint Protection Manager, que proporciona la infraestructura para instalar y para administrar Symantec Endpoint Protection y Symantec Network Access Control. Symantec Endpoint Protection y Symantec Network Access Control son dos diferentes tecnologas de proteccin de puntos finales que funcionan juntas. Ambas tecnologas de proteccin de puntos finales se compran por separado.
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection protege los dispositivos informticos de punto final contra amenazas de virus y riesgos y proporciona tres capas de proteccin para sus dispositivos informticos de punto final. Las capas son: proteccin contra
26
Presentacin de los productos de Symantec Acerca de sus productos de Symantec
amenazas de red, proteccin proactiva contra amenazas y proteccin antivirus y contra software espa. Figura 1-1 Capas de proteccin
Proteccin contra amenazas de red Proteccin proactiva contra amenazas
Proteccin antivirus y contra software espa
La proteccin contra amenazas de red bloquea las amenazas de su equipo mediante normas y firmas. La proteccin proactiva contra amenazas identifica y atena las amenazas que se basan en el comportamiento de la amenaza. La proteccin antivirus y contra software espa identifica y atena las amenazas que intentan acceder o han accedido a sus equipos con las firmas que Symantec crea.
Acerca de la proteccin contra amenazas de red

La proteccin contra amenazas de red consiste en software de firewall y de prevencin de intrusiones para proteger dispositivos informticos de punto final. El firewall admite las normas que se escriben para puertos y aplicaciones especficos, y utiliza la inspeccin de estado de todo el trfico de red. Por lo tanto, para todo el trfico de red iniciado por clientes, slo es necesario crear una norma saliente para admitir ese trfico. La inspeccin de estado permite automticamente el trfico de retorno que responde al trfico saliente. El firewall proporciona compatibilidad total con TCP, UDP, ICMP y todos los protocolos de IP tales como ICMP y RSVP. El firewall adems admite protocolos Ethernet y Token Ring, y puede bloquear controladores de protocolo tales como VMware y WinPcap. El firewall puede reconocer automticamente el trfico legtimo de DNS, DHCP y WINS, de forma que es posible marcar una casilla para permitir este trfico sin necesidad de escribir una norma. Nota: Symantec asume que usted construye las normas de firewall de forma que se prohba todo el trfico que no est permitido. El firewall no admite IPv6.
27
El motor de prevencin de intrusiones admite la comprobacin en busca de anlisis de puertos y ataques de negacin de servicio, y protege contra ataques de desbordamiento de bfer. Este motor tambin admite el bloqueo automtico del trfico malicioso de equipos infectados. El motor de deteccin de intrusiones admite la inspeccin de paquetes profunda y las expresiones regulares, y le permite crear firmas personalizadas.
Acerca de la proteccin proactiva contra amenazas

La proteccin proactiva contra amenazas identifica amenazas, tales como gusanos, virus, caballos de Troya y programas que registran las pulsaciones del teclado, segn el comportamiento de los procesos en el equipo. Los anlisis de amenazas proactivos TruScan identifican estas amenazas por sus acciones y caractersticas, no por las firmas de seguridad tradicionales. Los anlisis de amenazas proactivos analizan el comportamiento de la amenaza y lo comparan con centenares de mdulos de deteccin para determinar si los procesos activos son seguros o maliciosos. Esta tecnologa puede detectar y atenuar inmediatamente las amenazas desconocidas por su comportamiento sin las firmas o los parches tradicionales. En los sistemas operativos de 32 bits compatibles, la proteccin proactiva contra amenazas tambin permite controlar el acceso de lectura, escritura y ejecucin para dispositivos de hardware, archivos y claves del registro. Si es necesario, es posible ajustar el control a sistemas operativos especficos compatibles. Es posible tambin bloquear dispositivos perifricos por ID de clase, tales como USB, Bluetooth, infrarrojos, FireWire, de serie, paralelos, SCSI y PCMCIA.
Acerca de la proteccin contra amenazas de virus y software espa

La proteccin contra amenazas de virus y software espa previene infecciones en los equipos mediante el anlisis del sector de arranque, la memoria y los archivos en busca de virus, software espa y riesgos de seguridad. La proteccin contra amenazas de virus y software espa utiliza las firmas de virus y riesgos de seguridad que se encuentran en los archivos de definiciones de virus. Esta proteccin tambin protege los equipos bloqueando riesgos de seguridad antes de que se instalen, si esta accin no deja el equipo en un estado inestable. La proteccin contra amenazas de virus y software espa incluye Auto-Protect, que detecta virus y riesgos de seguridad cuando intentan acceder a la memoria o instalarse. Auto-Protect tambin analiza en busca de riesgos de seguridad tales como publicidad no deseada y software espa. Cuando encuentra riesgos de seguridad, pone en cuarentena los archivos infectados, o quita y repara los efectos secundarios de los riesgos de seguridad. Tambin se puede deshabilitar el anlisis de riesgos de seguridad en Auto-Protect. Auto-Protect puede reparar riesgos complicados, tales como riesgos de modo de usuario ocultos (rootkits). Auto-Protect
28
puede adems reparar riesgos de seguridad persistentes que son difciles de quitar o que se reinstalan. La proteccin contra amenazas de virus y software espa tambin incluye anlisis de Auto-Protect para programas de correo electrnico de Internet que supervisa todo el trfico POP3 y SMTP. Es posible configurar la proteccin contra amenazas de virus y software espa a fin de analizar los mensajes entrantes en busca de amenazas y riesgos de seguridad, as como los mensajes salientes en busca de heurstica conocida. El anlisis de los mensajes enviados ayuda a evitar la propagacin de amenazas como los gusanos, que pueden utilizar los clientes de correo electrnico para replicarse en una red. Nota: Auto-Protect para los programas de correo electrnico de Internet basados en Web est bloqueado en la instalacin en sistemas operativos basados en servidor. Por ejemplo, no es posible instalar esta funcin en Windows Server 2003.
Acerca de Symantec Network Access Control

Symantec Network Access Control protege las redes contra dispositivos informticos de punto final no autorizados, mal configurados o infectados. Por ejemplo, Symantec Network Access Control puede negar el acceso a la red de los equipos cliente que no ejecutan versiones especficas del software y de las firmas. Si los equipos cliente no cumplen con los requisitos, Symantec Network Access Control puede ponerlos en cuarentena y repararlos. Si las definiciones de antivirus de los equipos cliente tienen ms de una semana de antigedad, Symantec Network Access Control puede poner en cuarentena los equipos. Symantec Network Access Control puede actualizar los equipos con las ltimas definiciones de antivirus (reparacin) y despus permitir el acceso de los equipos a la red. Symantec Network Access Control le permite controlar esta proteccin con polticas de integridad del host. Se crean polticas de integridad del host con la Consola de Symantec Endpoint Protection Manager y despus se aplican las polticas a los grupos de equipos cliente. Si instala solamente el software de cliente de Symantec Network Access Control, es posible exigir que los equipos cliente ejecuten software antivirus, contra software espa y de firewall. Es posible tambin exigir que ejecuten los ltimos paquetes de servicios y parches del sistema operativo, y crear requisitos de aplicacin personalizados. Si los equipos cliente no cumplen con los requisitos, es posible ejecutar comandos en los equipos cliente para intentar actualizarlos. Si integra Symantec Network Access Control con Symantec Endpoint Protection, es posible aplicar polticas de firewall a los clientes que no cumplen con las polticas de integridad del host. Esta poltica puede restringir los puertos que los clientes pueden utilizar para el acceso a la red y puede limitar las direcciones IP a las que
Presentacin de los productos de Symantec Componentes que funcionan con Symantec Endpoint Protection Manager
29
los clientes pueden acceder. Por ejemplo, es posible restringir las comunicaciones de equipos que no cumplen y permitir solamente la comunicacin con equipos que contienen el software y las actualizaciones obligatorios. Esta integracin se llama aplicacin automtica. Si integra Symantec Network Access Control con un dispositivo de hardware opcional llamado Symantec Enforcer, es posible restringir an ms los equipos que no cumplen de la red. Es posible restringir el acceso a los equipos que no cumplen a segmentos especficos de la red para su correccin y es posible prohibir totalmente el acceso a los equipos que no cumplen. Por ejemplo, con Symantec Gateway Enforcer, es posible controlar el acceso de equipos externos a su red mediante VPN. Con los mdulos DHCP Enforcer y LAN Enforcer de Symantec, es posible controlar el acceso interno del equipo a la red asignando las direcciones IP no conmutables a los equipos que no cumplen. Es posible tambin asignar los equipos que no cumplen a segmentos de la LAN en cuarentena.
Acerca de Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager incluye dos aplicaciones basadas en Web. Una aplicacin basada en Web necesita Microsoft Internet Information Services, que debe existir antes de instalar Symantec Endpoint Protection Manager. La otra aplicacin basada en Web se ejecuta en Apache Tomcat, que se instala automticamente. Symantec Endpoint Protection Manager incluye una base de datos integrada y la Consola de Symantec Endpoint Protection Manager. Es posible instalar la base de datos incorporada automticamente, o es posible instalar una base de datos en una instancia de Microsoft SQL Server 2000/2005. Si la red utilizada en su empresa es pequea y est en una ubicacin geogrfica, es necesario instalar solamente una instancia de Symantec Endpoint Protection Manager. Si la red est dispersa geogrficamente, es posible que sea necesario instalar instancias adicionales de Symantec Endpoint Protection Manager para el balanceo de carga y la distribucin del ancho de banda. Si la red es muy grande, es posible instalar sitios adicionales de Symantec Endpoint Protection Manager con las bases de datos adicionales y configurarlas para compartir datos con replicacin. Para proporcionar redundancia adicional, es posible instalar sitios adicionales de Symantec Endpoint Protection Manager para conmutacin por error.
Componentes que funcionan con Symantec Endpoint Protection Manager

La Tabla 1-1 describe los componentes incluidos y que funcionan con Symantec Endpoint Protection Manager.
30
Presentacin de los productos de Symantec Componentes que funcionan con Symantec Endpoint Protection Manager
Tabla 1-1
Componentes que conforman Symantec Endpoint Protection Manager y funcionan con Symantec Endpoint Protection Manager Descripcin
Permite realizar operaciones de administracin tales como las siguientes: Instalacin de proteccin para clientes en estaciones de trabajo y servidores de red. Actualizacin de definiciones, firmas y actualizaciones del producto. Administracin de servidores de red y estaciones de trabajo que ejecutan el software de cliente de Symantec Endpoint Protection y Symantec Network Access Control. Recopilacin y organizacin de eventos, lo cual incluye alertas de virus y riesgos de seguridad, anlisis, actualizaciones de definiciones, eventos de cumplimiento de puntos finales e intentos de intrusiones. Tambin permite crear e imprimir informes detallados y configurar alertas.
Componente
Consola de Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager
Se comunica con los clientes de punto final y se configura con la consola de Symantec Endpoint Protection Manager. Proporciona antivirus, firewall, anlisis de amenazas proactivo y prevencin de intrusiones para equipos conectados y no conectados. Proporciona proteccin del cumplimiento de red para equipos conectados. Proporciona la capacidad de obtener definiciones, firmas y actualizaciones del producto desde un servidor de Symantec LiveUpdate y distribuir las actualizaciones a los equipos cliente. Funciona como parte de Digital Immune System para proporcionar respuestas automatizadas a los virus nuevos o desconocidos que se detectan mediante el anlisis heurstico. Adems hace lo siguiente: Recibe los elementos infectados sin reparar de los clientes de Symantec Endpoint Protection. Enva los archivos sospechosos a Symantec Security Response.
Symantec Endpoint Protection
Symantec Network Access Control Servidor de LiveUpdate
Cuarentena central
Presentacin de los productos de Symantec Cmo funciona Symantec Endpoint Protection Manager
31
Cmo funciona Symantec Endpoint Protection Manager

Es necesario comprender los conceptos de red siguientes de Symantec para administrar Symantec Endpoint Protection Manager:

Entornos administrados y no administrados Acerca de los grupos Interaccin de clientes y servidores
Entornos administrados y no administrados

Los clientes pueden instalarse como administrados o no administrados. La red administrada aprovecha por completo las funciones de red. Cada cliente y servidor en su red se pueden supervisar, configurar y actualizar desde un nico equipo que ejecute Symantec Endpoint Protection Manager. Es posible tambin instalar y actualizar clientes de Symantec Endpoint Protection y Symantec Network Access Control desde la consola de Symantec Endpoint Protection Manager. En una red no administrada, debe administrar cada equipo de forma individual o trasladar esta responsabilidad al usuario primario del equipo. Este enfoque es adecuado para las redes ms pequeas que poseen recursos de tecnologa de la informacin limitados. Las responsabilidades incluyen lo siguiente:

Actualizar definiciones de virus y riesgos de seguridad Configurar las opciones del antivirus y el firewall Actualizar o migrar peridicamente el software de cliente
Nota: Si desea permitir a usuarios modificar la configuracin del cliente, Symantec recomienda instalar los clientes en un entorno administrado.
Acerca de los grupos

En una red administrada, es posible ordenar los equipos cliente en grupos. Esto permite agrupar los clientes que requieren niveles de acceso y configuraciones similares. Es posible especificar opcionalmente una configuracin de ubicacin diferente en un grupo. Si un cliente accede a la red desde diversas ubicaciones, se pueden aplicar diversas polticas. Es posible crear, ver y configurar grupos desde la consola de Symantec Endpoint Protection Manager.
32
Presentacin de los productos de Symantec Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager
Interaccin de clientes y servidores

En una red administrada, Symantec Endpoint Protection Manager administra cada cliente. Symantec Endpoint Protection Manager proporciona a sus clientes las actualizaciones de las definiciones de contenido y la informacin de configuracin, y realiza un seguimiento de esta configuracin. Los equipos cliente administrados, a su vez, realizan un seguimiento de Symantec Endpoint Protection Manager. Los equipos cliente administrados se registran en Symantec Endpoint Protection Manager para determinar si hay nueva informacin o definiciones de polticas disponible.
Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager le permite hacer lo siguiente:

Definir y aplicar polticas de seguridad. Proteger contra virus, amenazas combinadas y riesgos de seguridad, como aplicaciones de publicidad no deseada y software espa. Administrar la distribucin, configuracin, actualizacin y realizacin de informes de la proteccin antivirus desde una consola de administracin integrada. Evitar que los usuarios accedan a dispositivos de hardware en sus equipos, tales como unidades USB. Administrar la distribucin, configuracin, actualizacin y la realizacin de informes de la proteccin antivirus y la del firewall, adems de la prevencin de intrusiones desde una consola de administracin integrada. Administrar los clientes y su ubicacin. Responder rpidamente a los ataques de virus mediante la identificacin de clientes desactualizados y la implementacin de definiciones de virus actualizadas. Crear y mantener los informes donde se detallan los eventos importantes que ocurran en la red. Brindar un alto nivel de proteccin y una respuesta integrada ante amenazas de seguridad para todos los usuarios que se conecten a la red. Esta proteccin incluye a teletrabajadores con conexiones a la red siempre activas y usuarios mviles con conexiones intermitentes. Obtener una visin consolidada de los distintos componentes de seguridad distribuidos a lo largo de todas las estaciones de trabajo que forman la red.
Presentacin de los productos de Symantec Sitios donde se puede obtener ms informacin
33
Realizar una instalacin personalizable e integrada de todos los componentes de seguridad y establecer polticas simultneamente. Ver la historia y los datos del registro de eventos.
Sitios donde se puede obtener ms informacin

Las fuentes de informacin incluyen las siguientes:
Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control Gua de administracin de LiveUpdate (slo Symantec Endpoint Protection) Gua de administracin de Cuarentena central de Symantec (slo Symantec Endpoint Protection) White paper de las mejores prcticas de Symantec Endpoint Protection 11.0 para Microsoft Small Business Server 2003 (Symantec Endpoint Protection solamente) Ayuda en lnea, que contiene toda la informacin incluida en las guas y ms
La documentacin principal est disponible en la carpeta de documentos de los CD de instalacin. Algunas carpetas de componentes individuales incluyen informacin especfica del componente. Las actualizaciones de la documentacin estn disponibles en el sitio Web de soporte tcnico de Symantec. La Tabla 1-2 enumera informacin adicional disponible en los sitios Web de Symantec. Tabla 1-2 Sitios Web de Symantec Direccin Web
http://www.symantec.com/es/mx/enterprise/support/
Tipo de informacin
Base de conocimientos pblica Versiones y actualizaciones Actualizaciones de la documentacin y manuales Opciones de contacto
Notas de la versin e informacin http://service1.symantec.com/SUPPORT/ adicionales posterior al ent-security.nsf/docid/2008011012543848 lanzamiento
34
Presentacin de los productos de Symantec Sitios donde se puede obtener ms informacin
Tipo de informacin
Informacin y actualizacin de virus y otras amenazas Noticias y actualizaciones de productos
Direccin Web
http://www.symantec.com/es/mx/security_response/
http://www.symantec.com/es/mx/enterprise/
Seccin
Instalacin
Planificacin de la instalacin Instalacin por primera vez Instalacin de Symantec Endpoint Protection Manager Instalar el software de cliente de Symantec Instalar los servidores de Cuarentena y de LiveUpdate
36
Captulo
Planificacin de la instalacin

Requisitos del sistema Acerca de la planificacin de la instalacin y la arquitectura de red Acerca de los firewalls de escritorio y los puertos de comunicacin Habilitar y modificar firewalls de Windows Preparar equipos para la implementacin remota Preparar un servidor de Windows Server 2003 para la instalacin usando una conexin de Escritorio remoto Preparar equipos cliente para la instalacin Reinicios del equipo obligatorios
Requisitos del sistema

Antes de instalar el software de Symantec en su red, debe entender cmo ciertas variables de la red y del sistema afectan la capacidad de implementar servidores y clientes. Debe tener en cuenta los siguientes conceptos y requisitos al planear la instalacin:

Acerca de la definicin de derechos administrativos en equipos de destino Acerca de la configuracin de derechos de usuarios con Active Directory Requisitos de instalacin del sistema
38
Planificacin de la instalacin Requisitos del sistema
Requisitos de internacionalizacin Acerca de la compatibilidad con VMware
Acerca de la definicin de derechos administrativos en equipos de destino

Para instalar el software de cliente de Symantec, es necesario tener derechos de administrador en el equipo o el dominio de Windows, e iniciar sesin como administrador. El programa de instalacin de software de Symantec inicia un segundo programa de instalacin en el equipo para crear e iniciar los servicios y modificar el registro. Si no desea proporcionar a los usuarios derechos administrativos en sus propios equipos, utilice al Asistente de implementacin mediante transferencia para instalar remotamente los clientes de Symantec. Para ejecutar el Asistente de implementacin mediante transferencia, debe contar con derechos administrativos locales en los equipos donde desea instalar el programa. Nota: Este paquete de instalacin del cliente actualiza la versin de MSI a la 3.1, que requiere derechos de administrador. Si todos sus equipos estn actualizados con MSI 3.1, los usuarios necesitan solamente privilegios elevados para instalar el software de cliente de Symantec.
Acerca de la configuracin de derechos de usuarios con Active Directory

Si utiliza Active Directory para administrar equipos, puede crear una poltica de grupo que proporcione los derechos de usuario necesarios para instalar el software de Symantec. Para obtener ms informacin sobre el uso de Active Directory, consulte la documentacin de Active Directory.
Requisitos de instalacin del sistema

El software de Symantec requiere protocolos, software, hardware, sistemas operativos y versiones de Service Pack especficos. Todos los equipos en los que instale el software de Symantec debern cumplir o sobrepasar los requisitos de sistema recomendados para el sistema operativo utilizado. Nota: No se admite la instalacin en nombres de directorio que contienen caracteres de doble byte, o desde ellos.
39
Symantec Endpoint Protection Manager, Consola y base de datos

La Tabla 2-1 enumera los requisitos mnimos para los equipos en los cuales se instalar Symantec Endpoint Protection Manager, la Consola y la base de datos. Tabla 2-1 Componente
Procesador
Symantec Endpoint Protection Manager, Consola y base de datos 64 bits

1 GHz en x64 solamente con los procesadores siguientes:

32 bits
Intel Pentium III de 1 GHz
Intel Xeon compatible con Intel EM64T Intel Pentium IV compatible con EM64T AMD Opteron de 64 bits AMD Athlon de 64 bits
Nota: Itanium no se admite.

Sistema operativo Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes: Windows 2000 Server/Advanced Windows XP Professional x64 con Service Server/Datacenter Server/Small Business Pack 1 o posterior Server con Service Pack 3 o posterior Windows Server 2003 Standard Windows XP Professional con Service Pack x64/Enterprise x64/Datacenter x64 con 1 o posterior Service Pack 1 o posterior Nota: Windows XP admite una cantidad Windows Compute Cluster Server 2003
limitada de usuarios simultneos si los clientes se encuentran en modo de "transferencia". Utilice el modo de "obtencin" en servidores Windows XP para hasta 100 clientes. Si precisa ms informacin, busque Solucin de problemas de comunicacin en Symantec Endpoint Protection Manager 11.x en el sitio Web de soporte tcnico de Symantec.
Windows Storage Server 2003
Nota: Si utiliza Microsoft Clustering Services

para el servidor de Symantec Endpoint Protection Manager, es necesario instalar Symantec Endpoint Protection Manager en el volumen local.
Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition/Small Business Server 1 GB de RAM como mnimo (2-4 GB recomendado)
Memoria
1 GB de RAM como mnimo (2-4 GB recomendado)
Disco duro
4 GB para el servidor y 4 GB adicionales para 4 GB para el servidor y 4 GB adicionales para la base de datos la base de datos
40
Componente
Pantalla
32 bits
64 bits
Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video y monitor de mayor resolucin y monitor de mayor resolucin Symantec Endpoint Protection Manager incluye una base de datos integrada. Symantec Endpoint Protection Manager incluye una base de datos integrada.
Base de datos
Tambin puede utilizar una de las siguientes Tambin puede utilizar una de las siguientes versiones de Microsoft SQL Server: versiones de Microsoft SQL Server: Windows SQL Server 2000 con Service Pack 3 o posterior Microsoft SQL Server 2005
Windows SQL Server 2000 con Service Pack 3 o posterior Microsoft SQL Server 2005
Nota: Microsoft SQL Server es opcional.

Otros requisitos Los siguientes requisitos adicionales deben cumplirse:
Nota: Microsoft SQL Server es opcional.

Los siguientes requisitos adicionales deben cumplirse:
Servidor de Internet Information Services Servidor de Internet Information Services 5.0 o posterior con servicios de World 5.0 o posterior con servicios de World Wide Web habilitados Wide Web habilitados Internet Explorer 6.0 o superior Internet Explorer 6.0 o superior
Direccin IP esttica (recomendado)
Symantec Endpoint Protection Manager y Consola

La Tabla 2-2 enumera los requisitos mnimos para los equipos en los cuales se instalar Symantec Endpoint Protection Manager y la Consola. Tabla 2-2 Componente
Procesador
Symantec Endpoint Protection Manager y Consola 64 bits


32 bits
41
Componente
Sistema operativo
32 bits
64 bits
Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes: Windows 2000 Server/Advanced Windows XP Professional x64 con Service Server/Datacenter Server con Service Pack Pack 1 o posterior 3 o posterior Windows Server 2003 Standard Windows XP Professional con Service Pack x64/Enterprise x64/Datacenter x64 con 1 o posterior Service Pack 1 o posterior Windows Compute Cluster Server 2003 Nota: Windows XP admite una cantidad
limitada de usuarios simultneos si los clientes se encuentran en modo de "transferencia". Utilice el modo de "obtencin" en servidores Windows XP para hasta 100 clientes. Si precisa ms informacin, busque Solucin de problemas de comunicacin en Symantec Endpoint Protection Manager 11.x en el sitio Web de soporte tcnico de Symantec.

para el servidor de SEPM, debe instalar el servidor de SEPM en el volumen local.
Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server 1 GB de RAM (2 GB recomendados)
Memoria
1 GB de RAM como mnimo (2 GB recomendados) 2 GB (4 GB recomendados)
Disco duro Pantalla
2 GB (4 GB recomendados)
Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video y monitor de mayor resolucin y monitor de mayor resolucin Los siguientes requisitos adicionales deben cumplirse:
Otros requisitos
Servidor de Internet Information Services Servidor de Internet Information Services 5.0 o posterior con servicios de World 5.0 o posterior con servicios de World Wide Web habilitados Wide Web habilitados Internet Explorer 6.0 o superior Internet Explorer 6.0 o superior
Consola de Symantec Endpoint Protection

La Tabla 2-3 enumera los requisitos mnimos para los equipos en los cuales se instalar la Consola de Symantec Endpoint Protection.
42
Tabla 2-3 Componente

Procesador
Consola de Symantec Endpoint Protection 64 bits


32 bits

Sistema operativo Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes: Windows 2000 Windows XP Professional x64 con Service Professional/Server/Advanced Pack 1 o posterior Server/Datacenter Server/Small Business Windows Server 2003 Standard Server con Service Pack 3 o posterior x64/Enterprise x64/Datacenter x64 con Windows XP Professional con Service Pack Service Pack 1 o posterior 1 o posterior Windows Compute Cluster Server 2003
Nota: Windows XP admite una cantidad

limitada de usuarios simultneos si los clientes se encuentran en modo de "transferencia". Utilice el modo de "obtencin" en servidores Windows XP para hasta 100 clientes. Si precisa ms informacin, busque Solucin de problemas de comunicacin en Symantec Endpoint Protection Manager 11.x en el sitio Web de soporte tcnico de Symantec. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86)
Windows Storage Server 2003 Windows Vista (x64)

para el servidor de SEPM, debe instalar el servidor de SEPM en el volumen local.
Memoria Disco duro Pantalla
512 MB de RAM (1 GB recomendado) 15 MB
512 MB de RAM (1 GB recomendado) 15 MB
Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video y monitor de mayor resolucin y monitor de mayor resolucin Los siguientes requisitos adicionales deben cumplirse:
Otros requisitos
Internet Explorer 6.0 o superior
43
Consola de cuarentena
La Tabla 2-4 enumera los requisitos mnimos para los equipos en los cuales se instalar la Consola de cuarentena. Tabla 2-4 Componente
Procesador Sistema operativo
Consola de cuarentena 64 bits

No probado
32 bits
Intel Pentium III de 600 MHz
Se admiten los sistemas operativos siguientes: No probado
Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o posterior Windows XP Professional con Service Pack 1 o posterior Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (bsico y completo) No probado No probado
64 MB de RAM 35 MB
Super VGA (1024x768) o adaptador de video No probado y monitor de mayor resolucin Los siguientes requisitos adicionales deben cumplirse: Internet Explorer 5.5 con Service Pack 2 o posterior Microsoft Management Console 1.2 o posterior Si la consola no est instalada, se requieren 3 MB de espacio libre en disco (10 MB durante la instalacin).
Otros requisitos
No probado
44
Servidor de Cuarentena central

La Tabla 2-5 enumera los requisitos mnimos para los equipos en los cuales se instalar el servidor de Cuarentena central. Tabla 2-5 Componente
Procesador Sistema operativo
Servidor de Cuarentena central 64 bits

No probado
32 bits
Intel Pentium III de 600 MHz
Se admiten los sistemas operativos siguientes: No probado Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o posterior Windows XP Professional con Service Pack 1 o posterior Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition
Memoria Disco duro
128 MB de RAM
No probado
40 MB, 500 MB a 4 GB recomendados para los No probado elementos en cuarentena, y archivo de intercambio de 250 MB Super VGA (1024x768) o adaptador de video No probado y monitor de mayor resolucin Los siguientes requisitos adicionales deben cumplirse:
Pantalla
Otros requisitos
No probado
Internet Explorer 5.5 con Service Pack 2 o posterior
Symantec Endpoint Protection

La Tabla 2-6 enumera los requisitos mnimos para los equipos en los cuales se instalar Symantec Endpoint Protection.
45
Tabla 2-6 Componente

Procesador
Symantec Endpoint Protection 64 bits


32 bits
Intel Pentium III de 400 MHz (1 GHz para Windows Vista)

Sistema operativo Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes: Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o posterior Windows XP Home Edition/Professional Edition/Tablet PC Edition/Media Center Edition Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition

Windows XP Professional x64 Windows Server 2003 x64 Windows Compute Cluster Server 2003 Windows Storage Server 2003 Windows Vista Home Basic x64/Home Premium x64/Business x64/Enterprise x64/Ultimate x64 Windows Server 2008 Standard x64/Enterprise x64/Datacenter x64/Web x64 (bsico y completo)
Nota: Si utiliza Microsoft Clustering Services,

debe instalar el cliente en el equipo local.
Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (bsico y completo) 256 MB de RAM 700 MB
256 MB de RAM 600 MB
Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video y monitor de mayor resolucin y monitor de mayor resolucin
46
Componente
Otros requisitos
32 bits
Internet Explorer 6.0 o superior Los clientes de Terminal Server que se conecten a un equipo con proteccin antivirus presentan los siguientes requisitos adicionales: Cliente de Microsoft Terminal Server RDP (Remote Desktop Protocol) Cliente de Citrix Metaframe (ICA) 1.8 o posterior, si se utiliza un servidor Citrix Metaframe en Terminal Server
64 bits
Nota: El Asistente de implementacin mediante transferencia no verifica que Internet Explorer 6.0 o posterior est instalado en los equipos cuando es un requisito. Si los equipos de destino no cuentan con la versin correcta de Internet Explorer, la instalacin falla sin notificacin alguna.
Symantec Network Access Control

La Tabla 2-7 enumera los requisitos mnimos para los equipos en los cuales se instalar Symantec Network Access Control. Tabla 2-7 Componente
Procesador
Symantec Network Access Control 64 bits


32 bits
Intel Pentium II de 550 MHz (1 GHz para Windows Vista)
47
Componente
Sistema operativo
32 bits
64 bits
Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes:
Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o posterior Windows XP Home Edition/Professional con Service Pack 1 o posterior/Tablet PC Edition/Media Center 2002 Edition Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (bsico y completo)
Windows XP Professional x64 con Service Pack 1 o posterior Windows Server 2003 Standard x64/Enterprise x64/Datacenter x64 Windows Compute Cluster Server 2003

Windows Vista Home Basic x64/Home Premium x64/Business x64/Enterprise x64/Ultimate x64 Windows Server 2008 Standard x64/Enterprise x64/Datacenter x64/Web x64 (bsico y completo)
Nota: El CD de instalacin de Symantec

Network Access Control contiene una aplicacin de 64 bits.
Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video y monitor de mayor resolucin y monitor de mayor resolucin Internet Explorer 6.0 o superior Los clientes de Terminal Server que se conecten a un equipo con proteccin antivirus presentan los siguientes requisitos adicionales: Cliente de Microsoft Terminal Server RDP (Remote Desktop Protocol) Cliente de Citrix Metaframe (ICA) 1.8 o posterior, si se utiliza un servidor Citrix Metaframe en Terminal Server
Otros requisitos
Nota: El Asistente de implementacin mediante transferencia no verifica que Internet Explorer 6.0 o posterior est instalado en los equipos cuando es un requisito. Si los equipos de destino no cuentan con la versin correcta de Internet Explorer, la instalacin falla sin notificacin alguna.
48
El cliente de Symantec AntiVirus para Linux

Es posible instalar el cliente de Symantec AntiVirus para Linux en clientes no administrados en un entorno que contenga Symantec Endpoint Protection. El cliente de Symantec AntiVirus para Linux incluye anlisis antivirus en tiempo real mediante Auto-Protect y anlisis del sistema de archivos con anlisis manuales y programados. Para obtener informacin sobre las distribuciones admitidas del ncleo, consulte el archivo readme.txt del CD del producto en la misma carpeta que el software. Para obtener informacin sobre los requisitos del sistema, la instalacin en linux y la interfaz de lnea de comandos, consulte la Gua de implementacin en Linux de Symantec AntiVirus. Para obtener informacin sobre cmo usar el cliente de Symantec AntiVirus en Linux, consulte la Gua de clientes de Linux de Symantec AntiVirus. Las guas se encuentran en la carpeta de documentacin del CD del producto que contiene el software de cliente de Symantec AntiVirus para Linux.
Requisitos de internacionalizacin
Ciertas restricciones se aplican cuando se instala Symantec Endpoint Protection Manager en un entorno que no est basado en el idioma ingls o que se maneje en varios idiomas. Utilice las instrucciones siguientes de internacionalizacin (L18N) cuando planifique la instalacin. La Tabla 2-8 enumera las reas o los componentes en los que se admiten caracteres que no pertenezcan al ingls junto con sus requisitos y cualquier limitacin.
49
Tabla 2-8
Instrucciones para la internacionalizacin
Componentes Requisitos
Nombres de equipo, nombres de dominio y nombres de grupo de trabajo Los caracteres que no pertenecen al ingls se admiten con las limitaciones siguientes: La auditora de red puede no funcionar para los nombres que utilicen un juego de caracteres del doble byte o un juego de caracteres hi-ASCII. Estos nombres incluyen nombres de hosts, nombres de dominio y nombres de usuario. Es posible que los nombres de juegos de caracteres de doble byte o los nombres de juegos de caracteres hi-ASCII no se muestren correctamente en la consola de Symantec Endpoint Protection Manager o en la interfaz de usuario del cliente de Symantec Endpoint Protection. Los nombres de host con juegos de caracteres hi-ASCII o de doble-byte largos no pueden ser ms largos que lo permitido por NetBIOS. Si el nombre de host es ms largo que lo que NetBIOS permite, las pgina de inicio, supervisin e informes no aparecen en consola de Symantec Endpoint Protection Manager. Un equipo cliente cuyo nombre contiene un carcter de doble-byte o hi-ASCII no funciona como Proveedor de actualizaciones grupales.
50
Componentes Requisitos
Utilice solamente caracteres del alfabeto ingls en las situaciones siguientes Los caracteres del alfabeto ingls son obligatorios en las situaciones siguientes:

Para implementar el paquete de un cliente en un equipo remoto. Para definir la carpeta de datos del servidor en la pgina del asistente para la configuracin del servidor de Symantec Endpoint Protection Manager. Para definir la ruta de instalacin de Symantec Endpoint Protection Manager. Para definir las credenciales cuando se implementa el cliente en un equipo remoto. Para definir un nombre de grupo. Es posible crear un paquete de cliente para los grupos cuyos nombres contengan caracteres que no pertenezcan al alfabeto ingls. Sin embargo, es posible que no pueda implementar el paquete de cliente usando el Asistente de implementacin mediante transferencia cuando el nombre de grupo contiene caracteres que no pertenecen al alfabeto ingls. Para transferir caracteres que no pertenecen al alfabeto ingls a los equipos cliente. Algunos caracteres que no pertenecen al alfabeto ingls que se generan en el servidor pueden no aparecer correctamente en la interfaz de usuario del cliente. Por ejemplo, un nombre de ubicacin de juego de caracteres de doble byte no aparece correctamente en equipos cliente con nombres que no tienen caracteres de doble byte.
Cuadro de No utilice caracteres de doble byte ni hi-ASCII al incluir comentario en dilogo del el cuadro de dilogo del equipo cliente Informacin del usuario una vez equipo cliente que instala el paquete exportado. Informacin del usuario Habilitar el soporte para l18n en SQL 2000 Los entornos doble-byte, hi-ASCII o de idiomas combinados que utilicen una base de datos SQL 2000 deben habilitar el proceso del modo por lotes. Es posible habilitar la ayuda de I18n en SQL 2000. En Symantec Endpoint Protection Manager, abra el siguiente archivo: c:\...\Symantec Endpoint Protection Manager\tomcat\etc\conf.properties. A continuacin, edite el archivo y agregue la lnea siguiente: scm.log.batchmode=1. Guarde el archivo y cirrelo. Reinicie el servicio de Symantec Endpoint Protection Manager.
Acerca de la compatibilidad con VMware

El software de Symantec es compatible con VMware. La Tabla 2-9 enumera las configuraciones de VMware compatibles.
Planificacin de la instalacin Acerca de la planificacin de la instalacin y la arquitectura de red
51
Tabla 2-9
Compatibilidad con VMware
Software de Symantec Compatibilidad con VMware

Componentes de El servidor de administracin se admite en las siguientes Symantec Endpoint versiones de VMware: Protection Manager, la VMware WS 5.0 (estacin de trabajo) o posterior Consola y la base de datos VMware GSX 3.2 (empresa) o posterior
VMware ESX 2.5 (estacin de trabajo) o posterior
El servidor de administracin se admite en las siguientes versiones de VMware: Windows 2000 Professional/Server/Advanced Server con Service Pack 3 o posterior Ediciones de Windows Server 2003

Ediciones de Windows Server 2003 x64 Windows XP Home Edition/Professional Windows XP Professional x64
Clientes de Symantec Los componentes de cliente se admiten en las siguientes Endpoint Protection y versiones de VMware: Symantec Network Access VMware WS 5.0 (estacin de trabajo) o posterior Control VMware GSX 3.2 (empresa) o posterior
VMware ESX 2.5 (estacin de trabajo) o posterior
Los componentes de cliente se admiten en los siguientes sistemas operativos de VMware de invitado:

Windows 2000 Professional/Server/Advanced Server Ediciones de Windows Server 2003 Ediciones de Windows Server 2003 x64 Windows XP Professional/Home Edition XP Professional x64
Acerca de la planificacin de la instalacin y la arquitectura de red

La primera decisin que debe tomar cuando usted planea una instalacin de produccin es seleccionar la base de datos que se utilizar. Es posible optar por utilizar una base de datos integrada que puede instalarse desde el CD de instalacin. Es posible tambin optar por utilizar una instancia de Microsoft SQL Server 2000/2005. Es necesario comprar e instalar Microsoft SQL Server antes de instalar Symantec Endpoint Protection Manager. La base de datos integrada es la ms fcil
52
de instalar y de configurar y admite hasta 5000 clientes. El rendimiento puede comenzar a degradarse a medida que se agregan clientes adicionales. La Figura 2-1 ilustra el ejemplo ms simple de esta configuracin. Figura 2-1 Implementacin pequea
Symantec Security Response
Internet
Router
Firewall
Conmutador/Hub
Cliente A
Cliente B
Cliente C Symantec Endpoint Security Manager con base de datos integrada
Para admitir ms de 5000 clientes, debera considerar comprar e instalar Microsoft SQL Server. Cada instancia de Symantec Endpoint Protection Manager que utiliza Microsoft SQL Server puede admitir hasta 50 000 clientes. Si es necesario utilizar ms de 50 000 clientes, se debe instalar otro mdulo Symantec Endpoint Protection Manager. La Figura 2-2 presenta un ejemplo de esta configuracin.
53
Figura 2-2
Implementacin grande
Internet
Router
Firewall
Red troncal empresarial
Symantec Endpoint Security Manager Microsoft SQL Server
Symantec Endpoint Security Manager Microsoft SQL Server
Nota: Este diagrama muestra los componentes en diversas subredes y tiene propsitos slo ilustrativos. Las instancias de Symantec Endpoint Protection Manager y los servidores de bases de datos pueden estar en las mismas subredes. Si decide utilizar una instancia de Microsoft SQL Server 2000/2005, tiene que tomar una decisin adicional. Puede instalar Symantec Endpoint Protection
54
Manager en el equipo que ejecuta Microsoft SQL Server, o puede instalarlo en un equipo que no ejecute Microsoft SQL Server. Utilizar Microsoft SQL Server tambin proporciona flexibilidad adicional para instalar instancias adicionales de Symantec Endpoint Protection Manager para la conmutacin por error y el balanceo de carga. Es posible instalar dos o ms instancias de Symantec Endpoint Protection Manager que se comuniquen con un servidor de Microsoft SQL Server y configurarlos para la conmutacin por error o el balanceo de carga. La configuracin de la conmutacin por error hace que un servidor recoja la carga de comunicaciones del cliente si otro servidor deja de funcionar. La configuracin del balanceo de carga hace que los servidores compartan la carga de comunicaciones de los clientes y ejecuten automticamente la conmutacin por error si uno de los servidores deja de funcionar. La Figura 2-3 ilustra esta configuracin. Figura 2-3 Conmutacin por error y balanceo de carga
Clientes
1 Symantec Endpoint Protection Manager
2 Symantec Endpoint Protection Manager
Microsoft SQL Server
Nota: Este diagrama muestra los componentes en diversas subredes y tiene propsitos slo ilustrativos. Las instancias de Symantec Endpoint Protection Manager y los servidores de bases de datos pueden estar en las mismas subredes.
55
En esta ilustracin, los servidores se identifican con los nmeros 1 y 2, lo cual indica una configuracin de conmutacin por error. En una configuracin de conmutacin por error, todos los clientes envan trfico al servidor 1 y reciben trfico de ste. Si el servidor 1 se desconecta, todos los clientes envan el trfico al servidor 2 y lo reciben de ste hasta que el servidor 1 vuelve a estar en lnea. La base de datos se ilustra como una instalacin remota, pero puede tambin instalarse en un equipo que ejecute Symantec Endpoint Protection Manager. Finalmente, es posible instalar y configurar el servidor de base de datos incorporado y Microsoft SQL Server para la replicacin. La configuracin de replicacin hace que se dupliquen los datos entre las bases de datos de forma que ambas bases de datos contengan la misma informacin, preferiblemente en diferentes servidores de bases de datos en distintos equipos. Si un servidor de bases de datos deja de funcionar, es posible continuar administrando todo el sitio usando la informacin del servidor de bases de datos que est en funcionamiento. Nota: Symantec Endpoint Protection Manager configura y controla esta replicacin. Esta replicacin no es replicacin nativa del servidor SQL. La Figura 2-4 ilustra esta configuracin. Figura 2-4 Replicacin
Clientes
Clientes
En esta ilustracin, cada instancia de Symantec Endpoint Protection Manager administra sus respectivos clientes. Si uno de los servidores se desconecta, sin embargo, el otro servidor puede administrar los clientes que el servidor desconectado administraba.
56
Planificacin de la instalacin Acerca de los firewalls de escritorio y los puertos de comunicacin
Acerca de los firewalls de escritorio y los puertos de comunicacin

Si sus servidores y clientes ejecutan software de firewall, es necesario abrir ciertos puertos de modo que la comunicacin entre los servidores de administracin y los clientes sea posible. Alternativamente, es posible admitir la aplicacin Rtvscan.exe en todos los equipos para enviar y recibir trfico a travs de los firewalls. Adems, las herramientas de instalacin de cliente y servidor remoto requieren que el puerto TCP 139 est abierto. Nota: Los servidores de administracin y los clientes utilizan el intervalo de puertos efmeros para TCP (1024 a 65535) para las comunicaciones por red. El intervalo de puertos efmero utilizado, sin embargo, rara vez supera los 5000. El intervalo de puertos efmero puede configurarse en la mayora de los sistemas operativos. La mayora de los firewalls utilizan inspeccin de estado al filtrar el trfico TCP, de forma que las respuestas TCP entrantes se autorizan de forma automtica y se regresan al solicitante original. Por ende, no es preciso que abra los puertos TCP efmeros al configurar el software de firewall. La Tabla 2-10 enumera los puertos y protocolos de red que precisan los servidores de administracin y los clientes para la comunicacin y las instalaciones de red. Tabla 2-10 Funcin
Implementacin del Asistente de implementacin mediante transferencia
Puertos para la comunicacin y la instalacin de servidores y clientes Componente

Symantec Endpoint Protection Manager y clientes
Protocolo y puerto
TCP 139 y 445 en administradores y clientes UDP 137 y 138 en administradores y clientes Puertos TCP efmeros en servidores y clientes
Auditora de red
Symantec Endpoint Protection Manager y clientes
TCP 139 y 445 en administradores Puertos TCP efmeros en clientes
Planificacin de la instalacin Acerca de los firewalls de escritorio y los puertos de comunicacin
57
Funcin
Comunicacin del Proveedor de actualizaciones de grupo
Componente
Symantec Endpoint Protection Manager y Proveedores de actualizaciones de grupo Proveedores de actualizaciones de grupo y clientes
Protocolo y puerto
TCP 2967 en todos los dispositivos
Nota: Este puerto es el

predeterminado, que puede ser modificado. TCP 80 en administradores Puertos TCP efmeros en clientes
Comunicacin general Symantec Endpoint Protection Manager y clientes
Nota: El puerto 80 se puede

tambin modificar a TCP 443 (HTTPS). Comunicacin general Consolas remotas de Symantec Endpoint Protection Manager y Symantec Endpoint Protection Manager TCP 8443 en administradores Puertos TCP efmeros y 9090 en las consolas
Nota: Este nmero de puerto

puede configurarse. Comunicacin de replicacin Instalacin de la Consola remota de Symantec Endpoint Protection Manager Sitio a sitio entre los servidores de bases de datos TCP 8443 entre los servidores de bases de datos
Symantec Endpoint Protection TCP 9090 en administradores Manager y la Consola remota de remotos Symantec Endpoint Protection Puertos TCP efmeros en Manager consolas remotas
Nota: Este nmero de puerto

puede configurarse. Comunicacin de base Servidores remotos de Microsoft TCP 1433 en los servidores de datos externa SQL y Symantec Endpoint remotos de Microsoft SQL Protection Manager Puertos TCP efmeros en los administradores
Nota: El puerto 1433 es el

puerto predeterminado.
58
Planificacin de la instalacin Habilitar y modificar firewalls de Windows
Funcin
Comunicacin de Symantec Network Access Control Enforcer
Componente
Symantec Endpoint Protection Manager y Enforcer
Protocolo y puerto
TCP 1812 en los administradores Puertos TCP efmeros en los mdulos de Enforcer
Nota: Los servidores RADIUS

adems utilizan el puerto 1812, de modo que no instale Symantec Endpoint Protection Manager en el mismo servidor. Este puerto no se puede configurar en Symantec Endpoint Protection Manager. Asistente para migracin e implementacin Symantec Endpoint Protection Manager y servidores de administracin de Symantec de versiones anteriores TCP 139, TCP 445, puertos TCP efmeros y UDP 137 en los administradores TCP 139, TCP 445, puertos TCP efmeros y UDP 137 en los servidores de administracin de Symantec de versiones anteriores Puertos TCP efmeros en clientes TCP 80 en los servidores de LiveUpdate
LiveUpdate
Clientes y servidores de LiveUpdate
Habilitar y modificar firewalls de Windows

Windows XP/Server 2003/Vista/Server 2008 contiene firewalls que pueden impedir ciertos tipos de comunicaciones del producto de Symantec. Si se habilitan estos firewalls, es posible que no pueda instalar el software de cliente remotamente con las herramientas de instalacin y distribucin remotas. Si en la red existen equipos que ejecutan estos sistemas operativos, debe configurar los firewalls a fin de que permitan estas comunicaciones. Para usar el firewall de Windows XP, es necesario configurarlo de forma que admita comunicaciones mediante la apertura de puertos o la especificacin de programas de confianza. Es posible habilitar comunicaciones permitiendo Rtvscan.exe en todos los equipos.
59
Si desea instalar el software de cliente remotamente, debe permitir que los servidores enven trfico desde los puertos TCP 1024-5000 a los puertos TCP 139 y 445 de los clientes. La inspeccin de estado permite el trfico de retorno de forma automtica. Es necesario tambin permitir que los clientes reciban trfico de los puertos TCP 1024-5000 del servidor en el puerto TCP 139. Y debe permitir que los clientes enven trfico del puerto TCP 139 a los puertos TCP 1024-5000 de los servidores. Las comunicaciones de versiones anteriores tambin requieren que el puerto UDP 2967 est abierto en todos los equipos.
Acerca de los firewalls de Windows y Symantec

Si instala la funcin de firewall de Symantec de la proteccin contra amenazas de red, el instalador deshabilita automticamente los firewalls de Windows que estn habilitados. Si no instala la funcin de firewall de Symantec, el instalador no deshabilita los firewalls de Windows que estn habilitados. Los firewalls que se ejecutan en Windows Vista y Windows Server 2008 admiten IPv4 e IPv6. El firewall de Symantec admite IPv4 solamente. La base de normas predeterminada del firewall de Symantec, sin embargo, contiene una norma que bloquea todo el trfico IPv6. Advertencia: No elimine la norma que bloquea IPv6 ni modifique su accin de filtro para habilitar el permiso. Esta norma se crea para el protocolo de Ethernet. Cuando se visualizan los servicios para una norma y se agrega un servicio, se obtiene acceso al protocolo de Ethernet. Es posible entonces seleccionar el tipo de protocolo IPv6 para el protocolo de Ethernet.
Deshabilitar el Servidor de seguridad de conexin a Internet

Windows XP con Service Pack 1 incluye un firewall que se denomina Servidor de seguridad de conexin a Internet. Este firewall puede interferir en la instalacin remota y en las comunicaciones entre servidores y clientes. Si alguno de los servidores o clientes ejecuta Windows XP, se puede deshabilitar este firewall antes de instalar el software de cliente. Nota: No es obligatorio deshabilitar el firewall. Si est familiarizado y se siente cmodo con la creacin y configuracin de normas, puede abrir los puertos correspondientes para permitir la implementacin. Ver Tabla 2-10 en la pgina 56.
60
Para deshabilitar el Servidor de seguridad de conexin a Internet
1 2 3 4
En la barra de tareas de Windows XP, haga clic en Inicio > Panel de control. En la ventana del Panel de control, haga doble clic en Conexiones de red. En la ventana Conexiones de red, haga clic con el botn secundario en la conexin activa y, a continuacin, haga clic en Propiedades. En la ficha Avanzadas, en la seccin Servidor de seguridad de conexin a Internet, quite la marca de la casilla de verificacin Proteger mi equipo y mi red limitando o impidiendo el acceso a l desde Internet. Haga clic en Aceptar.
Deshabilitar el Firewall de Windows

Windows XP con Service Pack 2, Windows Server 2003 y Windows Server 2008 incluyen un firewall que se denomina Firewall de Windows. Este firewall puede interferir en la instalacin remota y en las comunicaciones entre servidores de administracin y clientes. Si alguno de los servidores o clientes tuviera instalado Windows XP con Service Pack 2 o Windows Server 2003 o Windows Server 2008, podr deshabilitar el firewall antes de instalar software de cliente en ellos. No es obligatorio deshabilitar el firewall. Si est familiarizado y se siente cmodo con la creacin y configuracin de normas, puede abrir los puertos correspondientes para permitir la implementacin. Adems, el Firewall de Windows que se ejecuta en Windows Server 2008 Server Core se deshabilita usando el comando netsh. Nota: Los pasos que se proporcionan en el procedimiento siguiente pueden variar, segn la configuracin seleccionada para la barra de tareas y el men Inicio de Windows. Consulte la documentacin de Windows para obtener informacin sobre la configuracin del Firewall de Windows. Ver Tabla 2-10 en la pgina 56. Para deshabilitar el Firewall de Windows en Windows XP con Service Pack 2
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control. En la ventana del Panel de control, haga doble clic en Firewall de Windows. En la ficha General de la ventana Firewall de Windows, marque Desactivado (no recomendado). Haga clic en Aceptar.
61
Para deshabilitar el Firewall de Windows en Windows Server 2003
1 2 3
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Firewall de Windows. En la ficha General de la ventana Firewall de Windows, marque Desactivado. Haga clic en Aceptar.
Para deshabilitar el Firewall de Windows en Windows Server 2008 (Completo)
1 2 3
En la barra de tareas de Windows, haga clic en Inicio > Panel de control. En la ventana del Panel de control, haga clic en Firewall de Windows. En la ventana Firewall de Windows, haga clic en Cambiar configuracin. Si aparece un mensaje del control de cuentas de usuario, haga clic en Continuar.
4 5
En el cuadro de dilogo Configuracin de Firewall de Windows, en la ficha General, haga clic en Desactivado. Haga clic en Aceptar.
Para deshabilitar el Firewall de Windows en Windows Server 2008 Server Core
En una lnea de comandos, ejecute el comando siguiente:

netsh firewall set opmode mode=disable profile=all
Modificacin del Firewall de Windows Vista y Windows Server 2008

Windows Vista y Windows Server 2008 contienen un firewall que est habilitado de forma predeterminada. Si el firewall est activado, puede no ser posible instalar el software de cliente de forma remota desde la Consola de Symantec Endpoint Protection Manager ni desde otras herramientas de instalacin remota. Se deber configurar el Firewall de Windows para que permita la comunicacin entre los distintos componentes. El Firewall de Windows debe configurarse antes de instalar el software de cliente. Tambin es posible deshabilitar temporalmente el Firewall de Windows en los clientes antes de implementar el software de cliente. Para configurar el Firewall de Windows a fin de instalar el software de cliente en Windows Vista y Windows Server 2008, es necesario habilitar el uso compartido de archivos e impresoras. Nota: La instalacin del cliente adems modifica automticamente el Firewall de Windows durante la instalacin en Windows Vista para permitir que procesos especficos tengan acceso a su red y a Internet. No es necesario realizar ninguna otra modificacin.
62
Planificacin de la instalacin Preparar equipos para la implementacin remota
Para habilitar el uso compartido de archivos e impresoras
1 2
En la barra de tareas de Windows, haga clic en Inicio > Configuracin > Panel de control > Firewall de Windows. En el cuadro de dilogo Firewall de Windows, haga clic en Permitir un programa a travs del Firewall de Windows. Si aparece un mensaje del control de cuentas de usuario, haga clic en Continuar.
En el cuadro de dilogo Configuracin de Firewall de Windows, en la ficha Excepciones, marque Compartir archivos e impresoras y despus haga clic en Aceptar.
Para habilitar el uso compartido de archivos e impresoras en Windows Server 2008 Server Core
En una lnea de comandos, ejecute el comando siguiente:

netsh firewall set service fileandprint enable
Preparar equipos para la implementacin remota

En un tiempo, Microsoft ha aumentado el grado de seguridad predeterminada de sus sistemas operativos. Por ejemplo, Windows Vista es ms seguro despus de la instalacin predeterminada que Windows XP, y Windows XP es ms seguro despus de la instalacin predeterminada que Windows 2000.
Preparar equipos que ejecutan Windows XP en grupos de trabajo

De forma predeterminada, los equipos cliente con Windows XP que se instalan en grupos de trabajo no aceptan la implementacin de clientes remotos. Para permitir la implementacin remota en estos equipos, es necesario deshabilitar el uso compartido simple de archivos. Nota: Este procedimiento no es obligatorio para los equipos que son parte de un dominio de Windows.
63
Para preparar los equipos con Windows XP
1 2 3
Haga clic con el botn secundario en Mi PC y, a continuacin, haga clic en Abrir. En el panel Mi PC, haga clic en Herramientas > Opciones de carpeta. En la ficha Ver, bajo Configuracin avanzada, al finalizar la lista, deje sin marcar Utilizar uso compartido simple de archivos (recomendado) y despus haga clic en Aceptar.
Preparar equipos con Windows Vista y Windows Server 2008

Windows Vista y Windows Server 2008 (completo) proporcionan una interfaz de usuario altamente personalizable. Los procedimientos de esta seccin se basan en la interfaz de usuario clsica de Windows que es posible configurar para Windows Vista y Windows Server 2008. La funcin Control de cuentas de usuario (UAC, User Access Control) de Windows bloquea las cuentas administrativas locales, impidindoles el acceso remoto a recursos compartidos administrativos, como C$ y Admin$. Para utilizar el Asistente de implementacin mediante transferencia en estos casos, se deber utilizar una cuenta administrativa del dominio si el equipo cliente objetivo forma parte de un dominio de Active Directory. Para la instalacin remota de clientes, tambin se necesitan privilegios elevados de instalacin. Para habilitar la implementacin remota de software de cliente en equipos con Windows Vista y Windows Server 2008, debe hacer lo siguiente en cada equipo cliente:

Deshabilitar el asistente para el uso compartido de archivos. Habilitar la deteccin de redes mediante el Centro de redes y recursos compartidos. Habilitar la cuenta de administrador incorporada y asignarle una contrasea. Verificar que su cuenta tenga privilegios elevados.
Para deshabilitar el asistente para el uso compartido de archivos
1 2 3
Visualice las unidades de su equipo. En la ventana Equipo, haga clic en Herramientas > Opciones de carpeta. En la ficha Ver, bajo Configuracin avanzada, deje sin marcar Usar el Asistente para compartir (recomendado) y despus haga clic en Aceptar.
64
Para habilitar la deteccin de red
1 2 3 4
Visualice los equipos de su red. En la ventana Red, haga clic en Centro de redes y recursos compartidos. Bajo Compartir y detectar, haga clic en Deteccin de red. Haga clic en Activar la deteccin de redes y despus haga clic en Aplicar.
Para habilitar la cuenta de administrador
1 2 3 4 5 6
Haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas > Administracin de equipos. En la ventana Administracin de equipos, haga clic para ampliar Usuarios y grupos locales. Haga clic en Usuarios. En el panel derecho, haga clic con el botn secundario en Administrador y, despus, haga clic en Establecer contrasea. En la indicacin de Advertencia, haga clic en Continuar. En el cuadro de dilogo Establecer contrasea para el administrador, escriba la misma contrasea en los cuadros de contrasea y despus haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en Administrador y, despus, haga clic en Propiedades. Deje sin marcar Cuenta deshabilitada y despus haga clic en Aceptar.
7 8
Para verificar que cuenta con privilegios elevados
1 2
Haga clic en Inicio > Ejecutar. Escriba \\nombre de equipo de destino\C$. Si puede acceder al recurso administrativo remoto C$ y verlo, cuenta con privilegios elevados. Si no puede acceder a estos recursos compartidos ni visualizarlos, debe autenticarse con una cuenta que tenga los privilegios necesarios.
Planificacin de la instalacin Preparar un servidor de Windows Server 2003 para la instalacin usando una conexin de Escritorio remoto
65
Para preparar los equipos que ejecutan Windows Server 2008 Server Core
En una lnea de comandos, ejecute los comandos siguientes:

netsh firewall set portopening udp 137 enable netsh firewall set portopening udp 138 enable netsh firewall set portopening tcp 139 enable netsh firewall set portopening tcp 445 enable netsh firewall set icmpsetting 8 netsh firewall set logging filelocation=c:\fwlog.txt droppedpackets=enable connections=enable netsh firewall set service fileandprint enable netsh firewall set service remoteadmin enable
Preparar un servidor de Windows Server 2003 para la instalacin usando una conexin de Escritorio remoto
Symantec Endpoint Protection Manager necesita acceso al registro del sistema para la operacin de instalacin y el funcionamiento normal. Antes de instalar el software de cliente de Symantec Endpoint Protection y Symantec Endpoint Protection Manager con una conexin de Escritorio remoto, es necesario configurar el servidor al cual se se est conectando para permitir el control remoto. Es posible entonces conectarse al servidor desde un equipo remoto usando una sesin de consola remota, o es posible utilizar una sombra de la sesin de consola. Para obtener ms informacin sobre Escritorio remoto y los servicios de Terminal Server, vea la documentacin de Windows. Para configurar un servidor con Windows Server 2003 a fin de permitir el control remoto
En el servidor al cual desee conectarse remotamente, abra el Editor de objetos de directiva de grupo. Para hacerlo, en la barra de tareas de Windows, haga clic en Inicio > Ejecutar. En el cuadro Abrir, escriba gpedit.msc y, despus, haga clic en Aceptar. En el panel izquierdo, bajo Configuracin del equipo, expanda la carpeta Plantillas administrativas. Expanda la carpeta Componentes de Windows.
2 3 4
66
Planificacin de la instalacin Preparar un servidor de Windows Server 2003 para la instalacin usando una conexin de Escritorio remoto
5 6
Seleccione la carpeta Servicios de Terminal Server. En el panel derecho, haga clic con el botn secundario en Establece reglas para el control remoto de sesiones de usuario de Servicios de Terminal Server y, despus, haga clic en Propiedades. En la ficha Configuracin, haga clic en Activada. En el cuadro Opciones, haga clic en Control total con permisos del usuario y despus haga clic en Aceptar. Para obtener proteccin contra el acceso no autorizado al servidor, desactive esta configuracin una vez que termina la instalacin.
7 8
Es posible utilizar varios mtodos para establecer una conexin al servidor desde un equipo remoto.
Para establecer una conexin remota a la sesin de consola en el servidor
1 2
En un equipo desde el cual desee conectarse remotamente al servidor, abra una lnea de comandos. En la lnea de comandos, escriba el siguiente comando:
mstsc -v:nombre de servidor /F -console
En el cuadro de dilogo Conexin a Escritorio remoto, inicie sesin usando una cuenta con privilegios administrativos en el servidor al cual se est conectando. Contine con la instalacin del software de cliente o Symantec Endpoint Protection Manager.
Para utilizar una sombra de la sesin de consola en el servidor
1 2
En un equipo desde el cual desee conectarse remotamente al servidor, abra una lnea de comandos. En la lnea de comandos, escriba el siguiente comando:
mstsc -v:nombre de servidor /F
3 4
En el servidor remoto, abra a una lnea de comandos. Escriba el comando siguiente:

shadow 0
5 6 7
Haga clic en S para aceptar la solicitud de controlar su sesin remotamente. Contine con la instalacin del software de cliente o Symantec Endpoint Protection Manager. Para desconectar la sesin de sombra, presione Ctrl+* (asterisco) en el teclado numrico.
Planificacin de la instalacin Preparar equipos cliente para la instalacin
67
Preparar equipos cliente para la instalacin

Antes de instalar el software de cliente en sus equipos, es necesario determinar el estado de estos equipos. La instalacin del cliente es ms rpida y eficaz si usted evala las siguientes condiciones antes de que comience el proceso de instalacin:

Eliminar amenazas de virus y riesgos de seguridad Evaluar software de cliente de otros fabricantes Instalar software de cliente en etapas
Eliminar amenazas de virus y riesgos de seguridad

Evite instalar o actualizar clientes en equipos infectados con amenazas de virus u otros riesgos de seguridad. Algunas amenazas pueden interferir directamente en la instalacin o la operacin del software de cliente. En los equipos sin programas de anlisis antivirus, puede realizar el anlisis desde Symantec Security Response. Si se encuentra un virus, se mostrarn instrucciones de eliminacin manual en la enciclopedia de virus, de ser posible. La bsqueda de virus en el sitio Web de Symantec Security Response se encuentra en la siguiente URL: http://www.symantec.com/es/mx/security_response/
Evaluar software de cliente de otros fabricantes

Mientras se prepara para instalar el software de cliente en su red, es necesario determinar si el software de seguridad de otro fabricante est instalado en sus equipos. El software de seguridad de otros fabricantes incluye otro software antivirus o contra aplicaciones de publicidad no deseada y software espa. Estos programas pueden afectar el rendimiento y la eficacia del software de cliente. Symantec no recomienda la ejecucin de dos programas antivirus en un equipo. Asimismo, puede ser problemtico ejecutar dos programas contra aplicaciones de publicidad no deseada o software espa y dos programas de firewall. Esta recomendacin es importante si ambos programas proporcionan proteccin en tiempo real. Ambos programas pueden generar un conflicto de recursos y consumir los recursos del equipo al intentar analizar y reparar los mismos archivos.
Instalar software de cliente en etapas

Es posible instalar o migrar los clientes de la red en etapas lgicas. En especial para los entornos grandes, primero debe instalar el software de cliente en un entorno de prueba. El entorno de prueba puede ser una red independiente de
68
Planificacin de la instalacin Reinicios del equipo obligatorios
equipos cuyo modelo se basa en su entorno de produccin. O la red de prueba puede abarcar un pequeo grupo de equipos de su red de produccin real.
Reinicios del equipo obligatorios

Las instalaciones o migraciones siguientes implican reiniciar el equipo:
Todos los equipos cliente que no ejecutan MSI 3.1. Las instalaciones de clientes actualizan MSI a 3.1 si no se ejecuta en los equipos cliente, y esta actualizacin requiere reiniciar. Instalacin de clientes de Symantec Endpoint Protection que instala la proteccin contra amenazas de red y el firewall. Migraciones del servidor de Symantec Sygate Enterprise Protection.
Captulo
Instalacin por primera vez


Preparar la instalacin Instalar y configurar Symantec Endpoint Protection Manager Configurar e implementar el software de cliente Iniciar sesin y buscar su grupo en la consola Acerca de las polticas Configurar LiveUpdate para actualizaciones de sitio Configurar LiveUpdate para actualizaciones de clientes Configurar y probar Symantec Endpoint Protection Configurar y probar Symantec Network Access Control
Preparar la instalacin
Si esta instalacin es una instalacin nueva, es necesario instalar, configurar y probar el software de Symantec Endpoint Protection o Symantec Network Access Control en un entorno de prueba. Nota: Las pequeas empresas que no tienen recursos de entorno de prueba deben instalar y probar el software de cliente en algunos clientes de produccin. La Figura 3-1 muestra una forma de configurar un entorno de prueba.
70
Instalacin por primera vez Preparar la instalacin
Figura 3-1
Ejemplo de entorno de prueba
Internet
Router
Firewall
Conmutador/Hub
Cliente A
Cliente B
Cliente C Symantec Endpoint Security Manager con base de datos integrada
Este entorno de prueba contiene tres clientes y un servidor. El servidor ejecuta tres componentes de administracin. Los tres componentes de administracin son Symantec Endpoint Protection Manager, la Consola de Symantec Endpoint Protection Manager y la base de datos integrada. Estos procedimientos de instalacin y configuracin estn diseados para este entorno de prueba de muestra. Los equipos en los cuales se instala Symantec Endpoint Protection Manager deben cumplir los siguientes requisitos mnimos de software:

Windows 2000 Server con Service Pack 3, Windows XP o Windows Server 2003 Internet Information Services (IIS) 5.0 o posterior con servicios de World Wide Web habilitados. Internet Explorer 6.0 o superior
Instalacin por primera vez Instalar y configurar Symantec Endpoint Protection Manager
71
Los equipos en los cuales usted instala el software de cliente deben cumplir los siguientes requisitos mnimos de software:
Windows 2000 Professional con Service Pack 3, Windows XP, Windows Server 2003, Windows Vista o Windows Server 2008 Internet Explorer 6.0 o superior
Ver "Requisitos de instalacin del sistema" en la pgina 38.
Instalar y configurar Symantec Endpoint Protection Manager

La instalacin del software de administracin por primera vez se divide en dos partes. La primera parte instala Symantec Endpoint Protection Manager. La segunda parte instala y configura la base de datos de Symantec Endpoint Protection Manager. En la primera parte, es posible aceptar todas las opciones predeterminadas. En la segunda parte, debe seleccionar el tipo de configuracin que desea para Symantec Endpoint Protection Manager, Simple o Avanzada, segn el nmero de clientes que el servidor admite. La configuracin Simple, prevista para un servidor que admita menos de 100 clientes, crea automticamente una base de datos integrada y utiliza los valores predeterminados para la mayora de las opciones de configuracin, con participacin mnima del usuario. La configuracin Avanzada, prevista para administradores de entornos ms grandes, permite especificar la configuracin especfica para su entorno. Nota: El software de administracin no incluye Symantec Endpoint Protection ni ningn otro software de cliente que se administre. Para instalar Symantec Endpoint Protection Manager
1 2
Inserte el CD de instalacin e inicie la instalacin si no se inicia automticamente. En el panel de bienvenida, realice una de las siguientes acciones:
Para instalar para Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection Manager. Para instalar Symantec Network Access Control, haga clic en Instalar Symantec Network Access Control y despus haga clic en Instalar Symantec Endpoint Protection Manager en el panel siguiente.
En el panel de bienvenida, haga clic en Siguiente.
72
4 5 6
En el panel Contrato de licencia, marque Acepto los trminos del contrato de licencia y, a continuacin, haga clic en Siguiente. En el panel Carpeta de destino, acepte o modifique el directorio de instalacin. Realice uno de los pasos siguientes:
Para permitir que el servidor Web IIS de Symantec Endpoint Protection Manager se ejecute con otros servidores Web en este equipo, marque Usar el sitio Web predeterminado y despus haga clic en Siguiente. Para configurar el sitio Web de IIS de Symantec Endpoint Protection Manager como el nico servidor Web del equipo, marque Crear un sitio Web personalizado y despus haga clic en Siguiente.
7 8
En el panel Preparado para la instalacin, haga clic en Instalar. Cuando la instalacin finaliza y aparece el panel Asistente de instalacin finalizado, haga clic en Finalizar. Espere a que aparezca el panel del Asistente para la configuracin del servidor de administracin, que puede tardar hasta 15 segundos adicionales. Realice los pasos de la seccin siguiente que correspondan al tipo de configuracin que usted seleccion, Simple o Avanzada.
Para configurar Symantec Endpoint Protection Manager en modo Simple
En el panel Asistente para la configuracin del servidor de administracin, seleccione Simple y despus haga clic en Siguiente. Se realiza un anlisis del sistema para determinar si cumple los requisitos mnimos de memoria y espacio disponible en la unidad. Si no los cumple, se muestra un cuadro de dilogo de advertencia que indica que el servidor puede no funcionar como se espera con los recursos disponibles. Es posible optar por continuar o cancelar la configuracin.
Especifique y confirme una contrasea (de 6 o ms caracteres). Opcionalmente, proporcione una direccin de correo electrnico. La contrasea especificada se utiliza para la cuenta de administrador de Symantec Endpoint Protection Manager, adems de la contrasea de cifrado necesaria para la recuperacin despus de un desastre. Despus de la instalacin, la contrasea de cifrado no se modifica, incluso si la contrasea para la cuenta de administrador se modifica. Symantec Endpoint Protection Manager enva mensajes de advertencia y de notificacin a la direccin de correo electrnico que se proporciona.
73
3 4
Haga clic en Siguiente. El panel de resumen de la configuracin muestra los valores que se utilizan para instalar Symantec Endpoint Protection Manager. Es posible imprimir una copia de la configuracin para conservarla en sus expedientes o hacer clic en Siguiente para iniciar la instalacin.
Para configurar Symantec Endpoint Protection Manager en modo Avanzado
1 2
En el panel Asistente para la configuracin del servidor de administracin, seleccione Avanzado y despus haga clic en Siguiente. Seleccione el nmero de clientes que planea administrar en este servidor y despus haga clic en Siguiente. Se realiza un anlisis del sistema para determinar si cumple los requisitos mnimos de memoria y espacio disponible en la unidad. Si no los cumple, se muestra un cuadro de dilogo de advertencia que indica que el servidor puede no funcionar como se espera con los recursos disponibles. Es posible optar por continuar o cancelar la configuracin.
3 4
En el panel Tipo de sitio, marque Instalar mi primer sitio y despus haga clic en Siguiente. En el panel Informacin de servidor, acepte o modifique los valores predeterminados para los cuadros siguientes y despus haga clic en Siguiente:

Nombre del servidor Puerto del servidor Puerto de la consola Web Carpeta de datos del servidor
5 6
En el panel Nombre del sitio, en el cuadro Nombre del sitio, escriba el nombre de su sitio y despus haga clic en Siguiente. En el panel Contrasea de cifrado, escriba un valor en ambos cuadros y despus haga clic en Siguiente. Documente esta contrasea cuando instala Symantec Endpoint Protection en su entorno de produccin. La necesitar para la recuperacin despus de un desastre y para agregar hardware opcional de Enforcer.
En el panel Eleccin del servidor de bases de datos, marque Base de datos integrada y despus haga clic en Siguiente.
74
Instalacin por primera vez Configurar e implementar el software de cliente
En el panel de usuario administrador, en los cuadros Contrasea, escriba una contrasea para que la cuenta de administrador inicie sesin en la consola. Opcionalmente, proporcione una direccin de correo electrnico. Symantec Endpoint Protection Manager enva mensajes de advertencia y notificacin a la direccin de correo electrnico especificada. Cuando finaliza la instalacin, tiene la opcin de implementar software de cliente con el Asistente para migracin e implementacin. Si no implementa el software de cliente en este momento, consulte el captulo de instalacin de clientes para obtener informacin sobre cmo instalar el software de cliente. Inicie sesin en la consola con el nombre de usuario y la contrasea que usted escribi aqu.
Haga clic en Siguiente.
Configurar e implementar el software de cliente

El Asistente para migracin e implementacin le permite configurar un paquete de software de cliente. El Asistente de implementacin mediante transferencia aparece opcionalmente para permitirle implementar el paquete de software de cliente. Nota: En este procedimiento se asume que usted implementa el software de cliente en equipos de 32 bits y no en equipos de 64 bits. Este procedimiento tambin implica seleccionar un directorio en el cual poner los archivos de instalacin. Puede crear este directorio antes de iniciar el procedimiento. Tambin necesitar autenticarse con credenciales administrativas en el dominio de Windows o el grupo de trabajo que contenga los equipos. Para implementar el software de cliente en equipos que ejecutan firewalls y Windows XP, Windows Vista o Windows Server 2008 hay requisitos especiales. Los firewalls deben permitir la implementacin remota mediante los puertos TCP 139 y 445, y los equipos que estn en grupos de trabajo y tengan Windows XP deben deshabilitar el uso compartido simple de archivos. Windows Vista y Windows Server 2008 tienen requisitos adicionales. Ver "Habilitar y modificar firewalls de Windows" en la pgina 58. Ver "Preparar equipos para la implementacin remota" en la pgina 62.
Instalacin por primera vez Configurar e implementar el software de cliente
75
Para configurar el software de cliente
1 2 3 4
En el panel de finalizacin del Asistente para la configuracin del servidor de administracin, active S y, a continuacin, haga clic en Finalizar. En el panel de bienvenida del Asistente para migracin y distribucin, haga clic en Siguiente. En el panel Qu desea hacer?, marque Distribuir el cliente (solamente en Symantec Endpoint Protection) y despus haga clic en Siguiente. En el siguiente panel, marque Especifique el nombre de un nuevo grupo al que desee distribuir los clientes, escriba un nombre de grupo en el cuadro y despus haga clic en Siguiente. En el panel siguiente, deje sin marcar cualquier software de cliente que no desee instalar (solamente en Symantec Endpoint Protection) y despus haga clic en Siguiente. En el panel siguiente, marque las opciones que desee para los paquetes, los archivos y la interaccin de usuario. Haga clic en Examinar, busque y seleccione un directorio en el cual poner los archivos de instalacin y despus haga clic en Abrir. Haga clic en Siguiente. En el siguiente panel sin nombre, marque S y despus haga clic en Finalizar. No marque Iniciar la consola de administracin. Puede llevar hasta 5 minutos crear y exportar el paquete de instalacin para su grupo antes de que aparezca el Asistente de implementacin mediante transferencia.
6 7 8 9
Para implementar el software de cliente con el Asistente de implementacin mediante transferencia
En el panel Asistente de implementacin mediante transferencia, bajo Equipos disponibles, ample los rboles y seleccione los equipos en los cuales instalar el software de cliente y, despus, haga clic en Agregar. En el cuadro de dilogo Autenticacin de clientes remotos, escriba un nombre de usuario y una contrasea y despus haga clic en Aceptar. El nombre de usuario y la contrasea deben poder autenticarse en el dominio de Windows o el grupo de trabajo que contiene los equipos.
3 4 5
Cuando haya seleccionado todos los equipos y stos aparezcan en el panel derecho, haga clic en Finalizar. Cuando la instalacin termine, haga clic en Cerrar. Seleccione si se ver el registro de implementacin.
76
Instalacin por primera vez Iniciar sesin y buscar su grupo en la consola
Iniciar sesin y buscar su grupo en la consola

Su primera actividad es iniciar sesin en la consola y buscar su grupo.
Iniciar sesin en la Consola de administracin

La Consola de administracin le permite administrar clientes. Para iniciar sesin en la Consola de administracin
1 2 3
Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Consola de Symantec Endpoint Protection Manager. En la indicacin de inicio de sesin de Symantec Endpoint Protection Manager, en el cuadro Nombre de usuario, escriba admin. En el cuadro Contrasea, escriba la contrasea de administrador que cre durante la instalacin y haga clic en Iniciar sesin.
Cmo encontrar su grupo en la consola

Despus de iniciar sesin, es necesario buscar el grupo que usted cre durante la instalacin. A continuacin, verifique que los equipos cliente en los cuales usted implement el software aparezcan en ese grupo. La Figura 3-2 ilustra un ejemplo de un grupo que fue creado durante la instalacin. Figura 3-2 Grupo
Instalacin por primera vez Acerca de las polticas
77
Acerca de las polticas

Symantec Endpoint Protection Manager le permite configurar y aplicar polticas a grupos o a ubicaciones en grupos. Todos los equipos cliente que estn en grupos y ubicaciones reciben los permisos y las funciones que se especifican en las polticas. Por ejemplo, si una poltica de configuracin de LiveUpdate especifica que se ejecute LiveUpdate diariamente a las 10:00 p. m., todos los clientes que reciben esa poltica ejecutan LiveUpdate a diario. Para Symantec Endpoint Protection, existen varias polticas. Existen polticas para LiveUpdate, la proteccin antivirus y contra software espa, Excepciones centralizadas, etc. Para Symantec Network Access Control, existen dos polticas: una para LiveUpdate y una para Integridad del host. Nota: Para los usuarios de versiones anteriores de Symantec AntiVirus y Symantec Client Security, las opciones que se aplicaban a los grupos, los servidores de administracin y los clientes ahora se incluyen en polticas.
Configurar LiveUpdate para actualizaciones de sitio

Es necesario configurar la frecuencia con la que Symantec Endpoint Protection Manager busca y descarga nuevas actualizaciones al sitio. Tambin puede configurar actualizaciones de clientes con polticas de contenido de LiveUpdate, por lo tanto, asegrese de descargar todos los tipos que usted quisiera que los clientes recibieran. Symantec Endpoint Protection Manager para Symantec Network Access Control solamente admite actualizaciones de producto. Para configurar LiveUpdate para el sitio
1 2 3 4 5 6
En el panel izquierdo de la consola, haga clic en Admin. En el panel inferior izquierdo, haga clic en Servidores. En el panel superior izquierdo, haga clic con el botn secundario en Sitio local y despus haga clic en Editar propiedades. En la ficha LiveUpdate, bajo Programacin de descarga, marque las opciones de la frecuencia con la cual desea descargar las ltimas definiciones. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Cuando se finaliza la configuracin de las propiedades de LiveUpdate del sitio, haga clic en Aceptar.
78
Instalacin por primera vez Configurar LiveUpdate para actualizaciones de clientes
Configurar LiveUpdate para actualizaciones de clientes

Cuando se crea un grupo con el Asistente para migracin e implementacin, el grupo recibe las polticas predeterminadas. Si crea una nueva poltica del mismo tipo que una poltica predeterminada y la aplica al grupo, la poltica predeterminada se elimina. Por ejemplo, es posible crear una poltica de LiveUpdate llamada "Mi LiveUpdate" y aplicarla a un grupo que utilice una poltica de LiveUpdate predeterminada. Mi LiveUpdate entonces toma el lugar de la poltica de LiveUpdate predeterminada. Otros grupos pueden tambin compartir la nueva poltica que usted crea. Existen dos tipos de polticas de LiveUpdate. Una poltica de configuracin de LiveUpdate especifica la frecuencia con la que los clientes ejecutan LiveUpdate para saber si hay actualizaciones de contenido. Una poltica de contenido de LiveUpdate especifica el contenido que los clientes pueden recibir cuando ejecutan LiveUpdate.
Configurar una poltica de configuracin de LiveUpdate

Cuando se crea un grupo con el Asistente para migracin e implementacin, el grupo recibe las polticas predeterminadas. Es posible crear una nueva poltica y sustituir la poltica predeterminada, o editar la poltica predeterminada. Las mejores prcticas son crear una nueva poltica y modificar la poltica predeterminada. Para configurar una poltica de configuracin de LiveUpdate
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel inferior izquierdo Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Bajo Poltica de LiveUpdate, haga clic en Programar. En el panel Programar, acepte o modifique las opciones de programacin. Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada.
Instalacin por primera vez Configurar LiveUpdate para actualizaciones de clientes
79
Decida si se guardarn o se modificarn las opciones predeterminadas. Para obtener informacin sobre las opciones, haga clic en Ayuda. Generalmente, no se permite que los usuarios modifiquen las opciones de actualizacin. Sin embargo, es posible permitir que inicien manualmente una sesin de LiveUpdate si usted no admite centenares o millares de clientes.
Cuando haya configurado su poltica, haga clic en Aceptar.
10 En el cuadro de dilogo Asignar poltica, haga clic en S. 11 En el cuadro de dilogo Asignar poltica de LiveUpdate, marque los grupos y
las ubicaciones a los que se aplicar la poltica y despus haga clic en Asignar. Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas de su grupo principal, como se establece en la ficha Polticas de la pgina Clientes.
12 En el cuadro de dilogo Asignar poltica de LiveUpdate, haga clic en S.
Configurar una poltica de contenido de LiveUpdate

De forma predeterminada, todos los clientes de un grupo reciben las ltimas versiones de todas las actualizaciones del contenido. Si se configura un grupo para que obtenga actualizaciones de un servidor de administracin, los clientes reciben slo las actualizaciones que descarga el servidor. Si la poltica de contenido de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor de administracin no se configura para descargar todas las actualizaciones, los clientes reciben slo lo que el servidor descarga. Los elementos que el servidor descarga pueden configurarse desde el panel Administrador. Nota: Las polticas de contenido de LiveUpdate no estn disponibles para los clientes de Symantec Network Access Control. Para configurar una poltica de contenido de LiveUpdate
1 2 3 4 5
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, haga clic en la ficha Contenido de LiveUpdate. En el panel inferior izquierdo Tareas, haga clic en Agregar una poltica de contenido de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica.
80
Instalacin por primera vez Configurar y probar Symantec Endpoint Protection
6 7
Si configura Symantec Endpoint Protection, en el panel Contenido de LiveUpdate, haga clic en Definiciones de seguridad. En el panel Definiciones de seguridad, marque las actualizaciones que se descargarn e instalarn, y deje sin marcar las actualizaciones que no se utilizarn. En la ventana Poltica de contenido de LiveUpdate, haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, haga clic en S. uno o ms grupos a los cuales se aplicar esta poltica y, despus, haga clic en Asignar. Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas de su grupo principal, como se establece en la ficha Polticas de la pgina Clientes.
8 9
10 En el cuadro de dilogo Asignar poltica de contenido de LiveUpdate, marque
11 En el cuadro de dilogo Asignar poltica de LiveUpdate, haga clic en S.
Configurar y probar Symantec Endpoint Protection

Despus de configurar e instalar una poltica de LiveUpdate, es necesario crear y aplicar una poltica antivirus y contra software espa. Nota: En esta seccin, se asume que usted compr e instal Symantec Endpoint Protection.
Configurar una poltica antivirus y contra software espa predeterminada

Debe configurar una poltica antivirus y contra software espa para su grupo. En este procedimiento, deber editar la poltica predeterminada que actualmente se aplica solamente al grupo. Es posible, sin embargo, crear una nueva poltica y aplicarla a su grupo. Para configurar una poltica antivirus y contra software espa predeterminada
1 2 3
En la consola, en el panel izquierdo, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo y haga clic en la ficha Polticas. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, al costado de Poltica antivirus y contra software espa [compartida], haga clic en Tareas > Convertir en poltica no compartida.
81
4 5
En el panel Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, verifique que Habilitar Auto-Protect para el sistema de archivos est marcado y que el icono de bloqueo est en el modo desbloqueado (para la prueba). Generalmente, esta configuracin debe estar bloqueada, pero para los propsitos de prueba iniciales, djela desbloqueada. Bloquear una opcin impide que los usuarios modifiquen una configuracin.
6 7
En la ficha Acciones, bajo Deteccin, haga clic en Virus no de macro. Bajo Acciones para: Virus no de macro, examine la secuencia de acciones predeterminada que ocurrirn cuando se detecta un virus no de macro. La primera accin es intentar limpiar el virus. Si no es posible limpiarlo, el virus se pone en cuarentena.
En la ficha Notificaciones, examine el mensaje que aparece en los equipos cliente cuando se detecta un virus o un riesgo de seguridad. Es posible modificar este mensaje ms tarde si es necesario.
En el panel izquierdo, haga clic en Anlisis definidos por el administrador. y despus haga clic en Editar.
10 En la ficha Anlisis, bajo Nombre, haga clic en Anlisis programado semanal 11 Familiarcese con las opciones de las diversas fichas y modifquelas si es
necesario. Inicialmente, se recomienda siempre realizar anlisis completos. Despus de que se ejecuten anlisis completos, Active scan y Auto-Protect son eficaces para asegurar los equipos cliente.
12 Cuando comprenda las opciones del anlisis, haga clic en Aceptar. 13 En el panel izquierdo, haga clic en Cuarentena y, despus, haga clic en
Limpieza.
14 En la ficha Limpieza, revise las opciones para depurar archivos reparados y

en cuarentena. Familiarcese con esta configuracin si desea modificarla en el futuro.
15 Haga clic en Aceptar.
Probar las funciones antivirus

Es necesario experimentar con la deteccin antivirus en un entorno de prueba controlado a fin de familiarizarse con las alertas y las entradas de registro. Antes
82
de probar la deteccin antivirus, descargue el ltimo archivo Eicar.com de prueba de antivirus en un soporte transportable, tal como una memoria flash. Puede descargar Eicar.com de la siguiente URL: http://www.eicar.org
Probar Auto-Protect
Auto-Protect es el proceso en tiempo real de Symantec que examina cada archivo que se ejecuta o al que accede un usuario a fin de evaluar si es un virus o un riesgo de seguridad. Auto-Protect determina si los archivos son virus o riesgos de seguridad usando las definiciones que usted descarga de Symantec. Es posible ver cmo Auto-Protect funciona usando un virus benigno llamado Eicar. Estn disponibles varias versiones en la URL siguiente: http://www.eicar.org Para probar Auto-Protect
En un equipo cliente, en la esquina inferior derecha, haga clic con el botn secundario en el escudo de Symantec Endpoint Protection y haga clic en Inhabilitar Symantec Endpoint Protection. Si no ha descargado eicar.com, vaya a http://www.eicar.org y busque y descargue eicar.com en el equipo cliente. En la esquina inferior derecha, haga clic con el botn secundario en el escudo de Symantec Endpoint Protection y haga clic en Habilitar Symantec Endpoint Protection. Haga doble clic en eicar.com.
2 3
Lea los detalles en las indicaciones del mensaje y familiarcese con ellos.
83
Administrar amenazas detectadas

Despus de que Symantec Endpoint Protection detecta y asla eicar.com, enva la informacin a Symantec Endpoint Protection Manager. Es posible entonces ver la actividad que ocurri desde la pgina principal en la Consola de Symantec Endpoint Protection Manager. Esta tarea es una tarea primaria que usted realiza en un entorno de produccin. Cuando los clientes detectan amenazas verdaderas, usted primero ver detalles sobre la amenaza. A continuacin, deber decidir si Auto-Protect atena la amenaza y dejar en blanco el estado.
84
Para administrar amenazas detectadas
En la consola, haga clic en Pgina principal.
En la columna Virus de la fila Bloqueado, haga clic en el nmero.
3 4
En la ventana Informes: Equipos infectados y en riesgo, familiarcese con la informacin obtenida y cierre la ventana. Haga clic en Supervisin.
85
En la ficha Registros, en el men desplegable Tipo de registro, haga clic en Estado del equipo y despus haga clic en Ver registro.
6 7
Para visualizar informacin sobre la infeccin, haga clic en Detalles. Para borrar el estado Infectado, haga clic en Borrar estado infectado.
Configurar el icono de Estado de seguridad

La pgina principal muestra el estado de la seguridad de sus equipos cliente. Los dos estados posibles son Bueno y Se necesita atencin. Es posible controlar cundo el estado es Bueno y Se necesita atencin configurando las preferencias del umbral del estado de seguridad. Para configurar el icono de Estado de seguridad
1 2 3 4 5
En la consola, haga clic en Pgina principal. Bajo Estado de seguridad, haga clic en Ms detalles. En el cuadro de dilogo Detalles del estado de seguridad, revise las funciones que activan los estados Bueno y Se necesita atencin. Cierre la ventana. Bajo Estado de seguridad, haga clic en Preferencias.
86
Instalacin por primera vez Configurar y probar Symantec Network Access Control
En el cuadro de dilogo Preferencias, en la ficha Estado de seguridad, revise las activaciones y el umbral del estado de seguridad que es posible configurar. Todos los umbrales se establecen de forma predeterminada en diez por ciento.
Para ver detalles del estado de la seguridad, haga clic en Ayuda. Para activar el estado Se necesita atencin, deshabilite Symantec Endpoint Protection en uno de sus clientes de prueba.
8 9
Haga clic en Aceptar. Para revisar el estado de la seguridad de sus clientes administrados en cualquier momento, en la pgina principal, haga clic en el icono Estado.
Configurar y probar Symantec Network Access Control

Symantec Network Access Control admite dos polticas solamente: LiveUpdate e Integridad del host. La poltica de integridad del host, sin embargo, proporciona la funcionalidad bsica de Symantec Network Access Control. Nota: En este tema, se asume que usted compr e instal Symantec Network Access Control.
Crear una poltica de integridad del host

La poltica de integridad del host es la base de Symantec Network Access Control. La poltica creada para esta prueba es slo con fines de demostracin. La poltica detecta la existencia de un sistema operativo y, cuando se detecta, genera un evento de ERROR. Normalmente, los eventos de ERROR se generaran por otros motivos. Nota: Si compr e instal Symantec Network Access Control y Symantec Endpoint Protection, puede crear una poltica de firewall para los equipos cliente que no pasan la comprobacin de Integridad del host. Si ejecuta Symantec Enforcer con Symantec Network Access Control, es posible aislar los clientes que no pasan la comprobacin de Integridad del host a segmentos de la red especficos. Este aislamiento impide la autenticacin del cliente y el acceso al dominio. Para crear una poltica de integridad del host
1 2 3
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic para seleccionar Integridad del host. Bajo Tareas, haga clic en Agregar una poltica de integridad del host.
87
4 5 6 7 8 9
En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Haga clic en Requisitos. En el panel Requisitos, marque Comprobar siempre la integridad del host y despus haga clic en Agregar. En el cuadro de dilogo Agregar requisito, en el men desplegable Tipo, haga clic en Requisito personalizado y despus haga clic en Aceptar. En la ventana Requisito personalizado, en el cuadro Nombre, escriba un nombre para el Requisito personalizado. Bajo Script del requisito personalizado, haga clic con el botn secundario en Insertar instrucciones a continuacin y despus haga clic en Agregar > IF .. THEN. clic en Utilidad: El sistema operativo es.
10 En el panel derecho, en el men desplegable Seleccione una condicin, haga 11 Bajo Sistema operativo, marque uno o ms sistemas operativos que los equipos
cliente ejecuten.
12 Bajo Script del requisito personalizado, haga clic con el botn secundario en
THEN //Insertar instrucciones aqu y despus haga clic en Agregar > Funcin > Utilidad: Mostrar cuadro de dilogo del mensaje.
13 En Leyenda del cuadro de mensaje, escriba un nombre que aparecer en el

ttulo del mensaje.
14 En el cuadro Texto del cuadro de mensaje, escriba el texto que usted quisiera
mostrar en el mensaje.
15 Para ver informacin sobre la configuracin para los iconos y los botones que
es posible integrar con el mensaje, haga clic en Ayuda.
16 En el panel izquierdo, bajo Script del requisito personalizado, haga clic en

Aprobado.
17 En el panel derecho, bajo Arrojar lo siguiente como resultado del requisito,

marque Error y despus haga clic en Aceptar.
18 En la ventana Integridad del host, haga clic en Aceptar. 19 En la indicacin Asignar poltica, haga clic en S. 20 En el cuadro de dilogo Poltica de integridad del host, marque el grupo o los
grupos a los cuales se aplicar la poltica y que contengan los equipos cliente de prueba. A continuacin, haga clic en Asignar.
21 En la indicacin Asignar poltica de integridad del host, haga clic en S.
88
Probar una poltica de integridad del host

Es posible probar una poltica de integridad del host desde la Consola de Symantec Endpoint Protection Manager. Nota: Es posible tambin ejecutar comprobaciones de integridad del host desde el cliente. Para probar una poltica de integridad del host
1 2 3 4 5
En la consola, haga clic en Clientes. En el panel derecho, haga clic en la ficha Clientes. En el panel izquierdo, bajo Ver, haga clic y resalte el grupo que contiene los equipos cliente a los cuales usted aplic la poltica de integridad del host. Bajo Tareas, haga clic en Ejecutar comando en el grupo > Actualizar contenido. Inicie sesin en un equipo cliente que ejecute Symantec Network Access Control y observe el cuadro de mensaje que aparece. Si la norma activ un error en la prueba, el cuadro de mensaje aparece. Despus de la prueba, deshabilite o elimine la poltica de prueba.
Captulo
Instalacin de Symantec Endpoint Protection Manager


Antes de proceder a la instalacin Instalar Symantec Endpoint Protection Manager con una base de datos integrada Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL Instalar consolas de Symantec Endpoint Protection Manager adicionales Instalar y el configurar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga Instalar y el configurar Symantec Endpoint Protection Manager para la replicacin Ajustar el tamao de pila de Symantec Endpoint Protection Manager Actualizar desde la base de datos integrada a Microsoft SQL Server Desinstalar Symantec Endpoint Protection Manager
Antes de proceder a la instalacin

Antes de instalar una instancia de Symantec Endpoint Protection Manager y una base de datos, es necesario decidir qu tipo de base de datos se desea crear. Es
90
Instalacin de Symantec Endpoint Protection Manager Instalar Symantec Endpoint Protection Manager con una base de datos integrada
posible crear una base de datos SQL integrada o una base de datos de Microsoft SQL. Los archivos de instalacin de la base de datos SQL integrada se incluyen en el CD de instalacin. Si crea una base de datos de Microsoft SQL, primero se debe instalar una instancia del servidor de Microsoft SQL que cumpla los requisitos de Symantec. Advertencia: La instalacin de Symantec Endpoint Protection Manager no instala Symantec Endpoint Protection o ninguna otra tecnologa de la proteccin. Para proteger el equipo que ejecuta los administradores de Symantec Endpoint Protection, es necesario instalar el software de cliente de Symantec Endpoint Protection. Tambin, por motivos de rendimiento, el instalador de Symantec Endpoint Protection bloquea la instalacin de Auto-Protect para correo electrnico de Internet en sistemas operativos de servidor de Microsoft.
Instalar Symantec Endpoint Protection Manager con una base de datos integrada
La instalacin con la base de datos integrada es la manera ms fcil de instalar Symantec Endpoint Protection Manager. La base de datos integrada admite hasta 1000 clientes. Despus de instalar Symantec Endpoint Protection Manager y sentirse cmodo con las tareas de administracin, debe proteger sus archivos de cifrado en caso de que necesite recuperarlos despus de un desastre. Se debe adems documentar la contrasea de cifrado que se escribe durante la configuracin de Symantec Endpoint Protection Manager. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229.
Acerca de la configuracin de instalacin de la base de datos integrada

Durante la instalacin, se toman decisiones sobre la configuracin de valores de la base de datos. Estas decisiones deben tomarse antes de iniciar la instalacin. La Tabla 4-1 enumera y describe estos valores y opciones.
91
Tabla 4-1
Opciones predeterminadas y descripciones de la base de datos integrada Descripcin

Usar el sitio Web predeterminado Instala la aplicacin Web de IIS de Symantec Endpoint Protection en el sitio Web de IIS predeterminado y funciona con cualquier otra aplicacin Web que se instale en el sitio Web. Crear un sitio Web personalizado Deshabilita el sitio Web de IIS predeterminado y crea un servidor Web de Symantec Endpoint Protection Manager.
Opcin
Predeterminado
Seleccione las opciones Usar el sitio Web de configuracin del predeterminado sitio Web de IIS
Nombre del servidor
nombre del host local
Nombre del equipo que ejecuta Symantec Endpoint Protection Manager. Nmero de puerto TCP en el cual Symantec Endpoint Protection Manager escucha. Puerto HTTP utilizado para conexiones de consola remotas.
Puerto del servidor
8443
Puerto de la consola Web Carpeta de datos del servidor
9090
\\Program Files\Symantec Endpoint Protection Manager\data
Directorio en el cual Symantec Endpoint Protection Manager coloca los archivos de datos, incluso las copias de respaldo, los registros replicados y otros archivos. El instalador crea este directorio si no existe. Nombre del sitio del contenedor de nivel superior bajo el cual todas las funciones se configuran y se ejecutan con Symantec Endpoint Protection Manager.
Nombre del sitio
Sitio nombre del host local
92
Opcin
Predeterminado
Descripcin
La contrasea que cifra la comunicacin entre Symantec Endpoint Protection Manager, clientes y dispositivos de hardware opcionales de Enforcer. La contrasea puede incluir entre 1 y 32 caracteres alfanumricos y es obligatoria. Cuando se configura el servidor en modo simple, la contrasea de cifrado se establece con la misma contrasea configurada para la cuenta del administrador. Documente esta contrasea y gurdela en una ubicacin segura. No es posible modificar o recuperar la contrasea despus de crear la base de datos. Es necesario tambin escribir esta contrasea para la recuperacin despus de un desastre si no tiene una copia de respaldo de la base de datos para restaurar. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229.
Contrasea de cifrado Ninguno
Nombre de usuario
admin
Nombre del nombre de usuario predeterminado que se utiliza para iniciar sesin en la consola de Symantec Endpoint Protection Manager por primera vez. (No modificable)
Contrasea
Ninguno
Contrasea especificada durante la configuracin de servidor para el nombre de usuario del administrador.
Instalar Symantec Endpoint Protection Manager con la base de datos integrada

La instalacin se divide en tres partes. La primera parte instala el servidor de administracin y la consola. La segunda parte instala y configura la base de datos. La tercera parte implica la implementacin del software de cliente en equipos cliente, y es opcional. En la primera parte, es posible aceptar todas las opciones predeterminadas. En la segunda parte, se agrega por lo menos un valor personalizado, que es una contrasea. En la tercera parte, usted selecciona los clientes en los cuales implementar el software de cliente. Para instalar Symantec Endpoint Protection Manager con la base de datos integrada
1 2
Inserte el CD de instalacin e inicie la instalacin. En el panel de bienvenida, realice una de las siguientes acciones:
93
Para instalar para Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection Manager. Para instalar Symantec Network Access Control, haga clic en Instalar Symantec Network Access Control y despus haga clic en Instalar Symantec Endpoint Protection Manager.
3 4 5
Haga clic para desplazarse por los paneles hasta que aparezca el panel Carpeta de destino. En el panel Carpeta de destino, acepte o modifique el directorio de instalacin predeterminado. Realice uno de los pasos siguientes:
Para permitir que el servidor Web IIS de Symantec Endpoint Protection Manager se ejecute con otros sitios Web en este equipo, marque Usar el sitio Web predeterminado y haga clic en Siguiente. Para configurar el sitio Web de IIS de Symantec Endpoint Protection Manager como el nico servidor Web del equipo, marque Crear un sitio Web personalizado y haga clic en Siguiente.
6 7
Haga clic para desplazarse por los paneles hasta que comience la instalacin. Cuando la instalacin finaliza y aparece el panel Asistente de instalacin finalizado, haga clic en Finalizar. El panel del Asistente para la configuracin del servidor puede tardar hasta 15 segundos en aparecer. Si se le solicita reiniciar el equipo, reinicie el equipo e inicie sesin, y el panel del Asistente para la configuracin del servidor aparece automticamente para continuar.
8 9
En el panel Asistente para la configuracin del servidor de administracin, seleccione Opciones avanzadas y despus haga clic en Siguiente. Seleccione el nmero de clientes que desea que el servidor administre y despus haga clic en Siguiente.
10 Marque Instalar mi primer sitio y despus haga clic en Siguiente 11 En el panel Informacin de servidor, acepte o modifique los valores
predeterminados para los cuadros siguientes y despus haga clic en Siguiente:

94
Instalacin de Symantec Endpoint Protection Manager Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
12 En el panel Nombre del sitio, en el cuadro Nombre del sitio, acepte o modifique
el nombre predeterminado y despus haga clic en Siguiente.
13 En el panel Crear contrasea de cifrado, en los cuadros Crear contrasea de

cifrado, escriba una contrasea y haga clic en Siguiente. Documente esta contrasea y gurdela en una ubicacin segura. No es posible modificar o recuperar la contrasea despus de crear la base de datos. Es necesario tambin escribir esta contrasea para la recuperacin despus de un desastre si no tiene una copia de respaldo de la base de datos para restaurar.
14 En el panel Eleccin del servidor de bases de datos, marque Base de datos

integrada y despus haga clic en Siguiente.
15 En el panel de usuario administrador, proporcione una contrasea para la

cuenta del administrador y confrmela. Opcionalmente, puede proporcionar una direccin de correo electrnico de administrador. Haga clic en Siguiente. Utilice el nombre de usuario y la contrasea aqu establecidos para iniciar sesin en la consola por primera vez.
16 En el cuadro de dilogo Configuracin finalizada, realice una de las acciones

siguientes:
Para implementar el software de cliente con el Asistente para migracin e implementacin, haga clic en S. Para iniciar sesin en la consola de Symantec Endpoint Protection Manager primero y despus implementar el software de cliente, haga clic en No.
Consulte el captulo sobre instalacin de clientes para obtener informacin sobre cmo implementar el software de cliente. Despus de instalar Symantec Endpoint Protection Manager y sentirse cmodo con las tareas de administracin, debe proteger sus archivos de cifrado en caso de que necesite recuperarlos despus de un desastre. Debe adems documentar la contrasea de cifrado que escribi durante la instalacin de Symantec Endpoint Protection Manager. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229.
Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
Es posible instalar Symantec Endpoint Protection Manager en el mismo equipo que ejecuta Microsoft SQL Server 2000/2005 y despus crear una base de datos en el servidor SQL local. Es posible tambin instalar Symantec Endpoint Protection
95
Manager en un equipo que no ejecute Microsoft SQL Server 2000/2005 y despus crear una base de datos en el servidor SQL remoto. En ambos casos, es necesario instalar y configurar correctamente los componentes de Microsoft SQL Server en todos los equipos. Nota: Microsoft SQL Server 2000 se admite solamente en sistemas operativos Windows en idioma ingls.
Preparar Microsoft SQL Server 2000/2005 para la creacin de una base de datos
Antes de crear la base de datos, Symantec recomienda que se instale una nueva instancia de SQL Server que cumpla los requisitos de instalacin y configuracin de Symantec. Se puede instalar una base de datos en una copia anterior, pero la copia debe configurarse correctamente para que la instalacin de la base de datos se realice correctamente. Por ejemplo, si la configuracin de autenticacin no es de Modo mixto, la instalacin no se completar o no funcionar correctamente. Si selecciona una intercalacin de SQL que distinga entre maysculas y minsculas, no se completar la instalacin. Advertencia: Symantec Endpoint Protection Manager se autentica en Microsoft SQL Server con un nombre de usuario y una contrasea de propietario de la base de datos con texto en blanco. Si realiza la instalacin en un servidor de Microsoft SQL Server remoto y se comunica con l, cualquier equipo en la ruta de comunicaciones puede potencialmente capturar este nombre de usuario y esta contrasea con una utilidad de captura de paquetes. Para maximizar la seguridad de las comunicaciones remotas de Microsoft SQL Server, coloque ambos servidores en una subred segura. Una subred segura asla las comunicaciones por red entre los servidores en esa subred solamente. Tpicamente, una subred segura se establece detrs de un dispositivo de red que realiza la traduccin de direcciones de red (NAT). Muchos de los routers econmicos modernos que realizan asignaciones de direcciones DHCP tambin realizan esta traduccin. Una subred segura es tambin fsicamente segura, de modo que solamente el personal autorizado tiene acceso fsico a los dispositivos de red de esa subred.
96
Requisitos de instalacin y configuracin de Microsoft SQL Server 2000

La instalacin y los requisitos de configuracin afectan a todas las instalaciones de Microsoft SQL Server 2000, locales y remotas. Para crear una base de datos en un servidor SQL remoto, se deben adems instalar los componentes de cliente de SQL Server en el servidor que ejecuta Symantec Endpoint Protection Manager.
Requisitos de instalacin de Microsoft SQL Server 2000

Al instalar la copia de Microsoft SQL Server 2000, seleccione las siguientes opciones no predeterminadas:
No acepte el nombre de instancia predeterminado. Utilice SEPM o algn otro nombre. De forma predeterminada, una base de datos denominada Sem5 se crea en esta instancia cuando se instala Symantec Endpoint Protection Manager. Se admite la instancia predeterminada, que no tiene nombre, pero puede llevar la confusin si usted instala varias instancias en un equipo. Configure la autenticacin en Modo mixto (autenticacin de Windows y de SQL Server). Determine la contrasea de sa al configurar la autenticacin en Modo mixto. Escriba esta contrasea cuando instale Symantec Endpoint Protection Manager.
Nota: Al instalar la instancia de Microsoft SQL Server, no seleccione una intercalacin de SQL que distinga entre maysculas y minsculas. La base de datos no admite esa distincin.
Requisitos de configuracin de Microsoft SQL Server 2000

Tras instalar la instancia de Microsoft SQL Server 2000, realice las siguientes tareas:
Aplique SQL Server con Service Pack 4 y seleccione la autenticacin mediante credenciales del servidor SQL. En Enterprise Manager, registre la copia, haga clic con el botn secundario en la instanca y modifique las propiedades de registro a fin de utilizar la autenticacin del servidor SQL. A continuacin, cuando se le indique, desconctese del servidor. Haga clic con el botn secundario en la instancia y conctese al servidor. Use la Herramienta de red de SQL Server para verificar que el protocolo TCP/IP est activado. De no ser as, actvelo.
97
Verifique que el Agente SQL Server se est ejecutando e incielo si no est ejecutndose.
Instalar y configurar componentes de cliente de Microsoft SQL Server 2000

Se instalan y configuran los componentes de cliente de Microsoft SQL Server 2000 en el equipo que ejecuta o ejecutar Symantec Endpoint Protection Manager. Para instalar componentes de cliente de Microsoft SQL Server 2000
1 2 3
Inicie el CD de instalacin de Microsoft SQL Server 2000 y comience el proceso. En la ventana Definicin de instalacin, haga clic en Slo herramientas cliente. Complete la instalacin.
Para configurar componentes de cliente de Microsoft SQL Server 2000
1 2
Haga clic en Inicio > Programas > Microsoft SQL Server > Herramienta de red de cliente. En el cuadro de dilogo Herramienta de red de cliente de SQL Server, en la ficha General, verifique que el protocolo TCP/IP est activado. De no ser as, actvelo. Haga clic con el botn secundario en TCP/IP y despus haga clic en Propiedades. En el cuadro de dilogo TCP/IP, en el cuadro Puerto predeterminado, escriba el nmero de puerto que coincide con el puerto utilizado por la instancia de Microsoft SQL Server 2000. El puerto predeterminado tpicamente es 1433. Se especifica este nmero de puerto cuando se crea la base de datos.
3 4
Haga clic en Aceptar y despus salga de la Herramienta de red de cliente de SQL Server.
Requisitos de instalacin y configuracin de Microsoft SQL Server 2005

La instalacin y los requisitos de configuracin afectan a todas las instalaciones de Microsoft SQL Server 2005, locales y remotas. Para crear una base de datos en un servidor SQL remoto, se deben adems instalar los componentes de cliente de SQL Server en el servidor que ejecuta Symantec Endpoint Protection Manager.
Requisitos de instalacin de Microsoft SQL Server 2005

Al instalar la instancia de Microsoft SQL Server 2005, debe seleccionar las siguientes opciones no predeterminadas:
98
No acepte el nombre de instancia predeterminado. Utilice SEPM o algn otro nombre. De forma predeterminada, una base de datos denominada Sem5 se crea en esta instancia cuando se instala Symantec Endpoint Protection Manager. Se admite la instancia predeterminada, que no tiene nombre, pero puede llevar la confusin si usted instala varias instancias en un equipo. Configure la autenticacin en Modo mixto (autenticacin de Windows y de SQL Server). Determine la contrasea de sa al configurar la autenticacin en Modo mixto. Escriba esta contrasea cuando instale Symantec Endpoint Protection Manager. Al configurar Cuentas de servicio, opte por iniciar el explorador de SQL Server al finalizar la configuracin.
Nota: Al instalar la instancia de Microsoft SQL Server, no seleccione una intercalacin de SQL que distinga entre maysculas y minsculas. La base de datos no admite esa distincin.
Requisitos de configuracin de Microsoft SQL Server 2005

Despus de instalar la instancia de Microsoft SQL Server 2005, aplique SQL Server 2005 con Service Pack 2 y seleccione la autenticacin mediante credenciales del servidor SQL. A continuacin, utilice el Administrador de configuracin de SQL Server para hacer lo siguiente:

Mostrar los protocolos de la Configuracin de red de SQL Server 2005. Mostrar las propiedades de protocolo y activar TCP/IP. Mostrar las direcciones IP de TCP/IP y activar las direcciones IP1 e IP2. Configurar los nmeros de puerto TCP/IP para IP1, IP2 y PALL. La base de datos de Symantec Endpoint Protection Manager no admite puertos dinmicos. Como resultado, deje los puertos TCP dinmicos en blanco y especifique un nmero de puerto TCP. El predeterminado tpicamente es 1433. Se especifica este nmero de puerto cuando se crea la base de datos. Reinicie el servicio SQL Server.
Si no seleccion iniciar el explorador de SQL durante la instalacin, la instalacin remota no se completar. Si no realiz esta seleccin durante la instalacin, use la utilidad Configuracin del rea de superficie de SQL Server para hacer lo siguiente:
Mostrar la informacin de la Configuracin de superficie para servicios y conexiones.
99
Habilitar el servicio del explorador de SQL Server. De no estar habilitado, los equipos cliente no pueden comunicarse con el servidor. Verificar que las conexiones locales y remotas estn habilitadas mediante TCP/IP nicamente. No son necesarias canalizaciones con nombre.
Instalar y configurar componentes de cliente de Microsoft SQL Server 2005

Se instalan los componentes de cliente de Microsoft SQL Server 2005 en el equipo que ejecuta Symantec Endpoint Protection Manager. Nota: Es necesario instalar los componentes de cliente en un equipo que ejecute Windows Server 2003. La instalacin de los componentes de cliente requiere MDAC 2.8 Service Pack 1 o superior, Windows Installer 3.1 e Internet Explorer 6.0 Service Pack 1 o superior. Para instalar componentes de cliente de Microsoft SQL Server 2005
1 2 3 4 5 6 7
Inicie el CD de instalacin de Microsoft SQL Server 2005 y comience el proceso. En la ventana Inicio, haga clic en Componentes de servidor, herramientas, libros en pantalla y muestras. Contine la instalacin hasta que se le solicite que seleccione los componentes que se instalarn. En el cuadro de dilogo Componentes para instalar, haga clic en Avanzados. En el panel izquierdo, haga clic en Componentes de cliente y expndalo. Haga clic en Componentes de cliente y seleccione Se instalar en la unidad de disco duro local. Haga clic en las siguientes funciones de Componentes de clientes: Componentes de conectividad y Herramientas de administracin y luego seleccione Se instalarn en la unidad de disco duro local. Complete la instalacin.
Para configurar componentes de cliente de Microsoft SQL Server 2005
1 2
Haga clic en Inicio > Programas > Microsoft SQL Server 2005 > Herramientas de configuracin > Administrador de configuracin de SQL Server. Bajo Configuracin de SQL Native Client, haga clic en Protocolos de cliente, haga clic con el botn secundario en TCP/IP y despus haga clic en Propiedades.
100
En el cuadro Puerto predeterminado, escriba el nmero de puerto que coincide con el puerto utilizado por la instancia de Microsoft SQL Server 2005. El puerto predeterminado tpicamente es 1433. Se especifica este nmero de puerto cuando se crea la base de datos.
Haga clic en Aplicar > Aceptar.
Acerca de las opciones de instalacin de la base de datos de Microsoft SQL Server

Durante la instalacin de Symantec Endpoint Protection Manager, se toman decisiones sobre la configuracin de valores de la base de datos. Estas decisiones deben tomarse antes de iniciar la instalacin. La Tabla 4-2 enumera y describe estos valores y opciones. Tabla 4-2 Opcin Predeterminado Opciones predeterminadas y descripciones de Microsoft SQL Server Descripcin
Usar el sitio Web predeterminado Instala la aplicacin Web de IIS de Symantec Endpoint Protection en el sitio Web de IIS predeterminado y funciona con cualquier otra aplicacin Web que se instale en el sitio Web. Crear un sitio Web personalizado Deshabilita el sitio Web de IIS predeterminado y crea un servidor Web de Symantec Endpoint Protection Manager.
Seleccione las opciones Usar el sitio Web de configuracin del predeterminado sitio Web de IIS
Nombre del servidor
Nombre del equipo que ejecuta Symantec Endpoint Protection Manager. Nmero de puerto en el cual el servidor de Symantec Endpoint Protection Manager escucha. Puerto HTTP utilizado para conexiones de consola remotas
Puerto del servidor
8443
Puerto de la consola Web Carpeta de datos del servidor
9090
C:\Program Files\Symantec Endpoint Protection Manager\data
Directorio en el cual Symantec Endpoint Protection Manager coloca los archivos de datos, incluso las copias de respaldo, la replicacin y otros archivos de Symantec Endpoint Protection Manager. El instalador crea este directorio si no existe.
101
Opcin
Nombre del sitio
Predeterminado
Sitio nombre del host local
Descripcin
Nombre del sitio del contenedor de nivel superior bajo el cual todas las funciones se configuran y se ejecutan con Symantec Endpoint Protection Manager. La contrasea que cifra la comunicacin entre Symantec Endpoint Protection Manager, clientes y dispositivos de hardware opcionales de Enforcer. La contrasea puede incluir entre 1 y 32 caracteres alfanumricos y es obligatoria. Documente esta contrasea y gurdela en una ubicacin segura. No es posible modificar o recuperar la contrasea despus de crear la base de datos. Es necesario tambin escribir esta contrasea para la recuperacin despus de un desastre si no tiene una copia de respaldo de la base de datos para restaurar. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229.
Contrasea de cifrado Ninguno
Servidor de bases de datos
Nombre del servidor de Microsoft SQL y de la instancia opcional. Si el servidor de bases de datos fue instalado con la instancia predeterminada, que no tiene nombre, escriba el nombre de host o la direccin IP del host. Si el servidor de bases de datos fue instalado con una instancia con nombre, escriba el nombre de host\nombre_instancia o la direccin IP\nombre_instancia. Escribir nombre de host funciona solamente con una DNS correctamente configurada. Si se instala un servidor de bases de datos remoto, se deben primero instalar los componentes de cliente de SQL Server en el equipo que ejecuta Symantec Endpoint Protection Manager.
Puerto de SQL Server
1433
El puerto con el que el servidor SQL est configurado para enviar y recibir trfico. No se admite el puerto 0, que se utiliza para especificar un puerto negociado al azar.
Nombre de la base de datos
sem5
Nombre de la base de datos creada.
102
Opcin
Usuario
Predeterminado
sem5
Descripcin
Nombre de la cuenta de usuario de la base de datos creada. La cuenta de usuario tiene un rol estndar con acceso de lectura y escritura. El nombre puede ser una combinacin de valores alfanumricos y de los caracteres especiales ~#%_+=|:./. No se admiten los caracteres especiales `!@$^&*()-{}[]\\<;>,?. Los nombres siguientes tampoco se permiten: sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin. La contrasea que se debe asociar a la cuenta de usuario de la base de datos. El nombre puede ser una combinacin de valores alfanumricos y de los caracteres especiales ~#%_+=|:./. No se admiten los caracteres especiales `!@$^&*()-{}[]\\<;>,?. Ubicacin del directorio de la utilidad del cliente de SQL local que contiene bcp.exe. Si crea una base de datos en SQL Server 2005, el directorio numrico predeterminado es 90. La ruta predeterminada completa es C:\Program Files\Microsoft SQL Server\90\Tools\Binn.
Contrasea
Ninguno
Carpeta de cliente de SQL
C:\Program Files\Microsoft SQL Server\80\Tools\Binn
Usuario administrador Ninguno de bases de datos Contrasea del Ninguno administrador de bases de datos
Nombre de la cuenta de administrador del servidor de bases de datos, que tpicamente es "sa". Contrasea que se asocia a la cuenta de usuario del administrador de bases de datos.
103
Opcin
Predeterminado
Descripcin
Carpeta de datos de la Detectado automticamente al Ubicacin del directorio de datos del servidor SQL. Si base de datos hacer clic en Predeterminado realiza la instalacin en un servidor remoto, el identificador del volumen debe coincidir con el identificador en el SQL Server 2000: C:\Program servidor remoto. Si est instalando en una instancia con Files\Microsoft SQL nombre en SQL Server 2000, el nombre de la instancia se Server\MSSQL\Data aade al final de MSSQL con un signo de dlar, por ejemplo SQL Server 2005: C:\Program \MSSQL$nombre de instancia\Data. Si est instalando en Files\Microsoft SQL una instancia con nombre en SQL Server 2005, la instancia Server\MSSQL.1\MSSQL\Data con nombre se aade al final de MSSQL con un identificador numrico, como \MSSQL.1\MSSQL\Data.
Nota: Al hacer clic en Predeterminado se visualiza el

directorio de instalacin correcto, si usted escribi el servidor de bases de datos y el nombre de la instancia correctamente. Si hace clic en Predeterminado y no aparece el directorio de instalacin correcto, la creacin de la base de datos falla. Nombre del usuario administrador admin Nombre del nombre de usuario predeterminado que se utiliza para iniciar sesin en la consola de Symantec Endpoint Protection Manager por primera vez. (No modificable) Contrasea de administrador Ninguno La contrasea especificada durante la configuracin del servidor que se debe utilizar con el nombre de usuario del administrador.
Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
Una vez que instale y configure los componentes de cliente del servidor SQL, es posible instalar Symantec Endpoint Protection Manager. Nota: Si crea una nueva base de datos, SQL Server administra automticamente su base de datos con el modelo simple de recuperacin y habilita Reducir automticamente. Para instalar Symantec Endpoint Protection Manager
1 2
Inserte el CD de instalacin e inicie la instalacin. En el panel de bienvenida, realice una de las siguientes acciones:
104
Para instalar Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection Manager. Para instalar Symantec Network Access Control, haga clic en Instalar Symantec Network Access Control y despus haga clic en Instalar Symantec Endpoint Protection Manager.
3 4 5
Haga clic para desplazarse por los paneles hasta que aparezca el panel Carpeta de destino. En el panel Carpeta de destino, acepte o modifique el directorio de instalacin predeterminado. Realice uno de los pasos siguientes:
Para permitir que el servidor Web de IIS de Symantec Endpoint Protection Manager se ejecute con otros sitios Web en este equipo, marque Usar el sitio Web predeterminado y despus haga clic en Siguiente. Para configurar el servidor Web de IIS de Symantec Endpoint Protection Manager como el nico servidor Web de este equipo, marque Crear un sitio Web personalizado y despus haga clic en Siguiente.
6 7
En el panel Preparado para instalar el programa, haga clic en Instalar. Cuando la instalacin finaliza y aparece el panel Asistente de instalacin finalizado, haga clic en Finalizar. El panel del Asistente para la configuracin del servidor puede tardar hasta 15 segundos en aparecer. Si se le solicita reiniciar el equipo, reincielo. Cuando inicie sesin, el panel del Asistente para la configuracin del servidor aparece automticamente.
Para crear una base de datos SQL
1 2 3 4
En el panel Asistente para la configuracin del servidor de administracin, seleccione Opciones avanzadas y despus haga clic en Siguiente. Seleccione el nmero de clientes que desea que el servidor administre y despus haga clic en Siguiente. Marque Instalar mi primer sitio y despus haga clic en Siguiente En el panel Informacin de servidor, acepte o modifique los valores predeterminados para los cuadros siguientes y despus haga clic en Siguiente:

105
5 6
En el panel Informacin del sitio, en el cuadro Nombre del sitio, acepte o modifique el nombre predeterminado y despus haga clic en Siguiente. En el panel Crear contrasea de cifrado, en los cuadros Crear contrasea de cifrado, escriba una contrasea y haga clic en Siguiente. Documente esta contrasea y gurdela en una ubicacin segura. No es posible modificar o recuperar la contrasea despus de crear la base de datos. Es necesario tambin escribir esta contrasea para la recuperacin despus de un desastre si no tiene una copia de respaldo de la base de datos para restaurar.
7 8
En el panel de seleccin Tipo de base de datos, marque Microsoft SQL Server y despus haga clic en Siguiente. En el panel Definir nueva base de datos, realice una de las siguientes tareas:
Si no existe la base de datos, marque Crear una base de datos nueva (recomendado). Si existe la base de datos, marque Usar una base de datos existente.
Una base de datos existente debe definir los grupos de archivos RIMARY, FG_CONTENT, FG_LOGINFO, FG_RPTINFO y FG_INDEX. La cuenta de usuario para el acceso a la base de datos debe tener los privilegios db_ddladmin, db_datareader y db_datawriter. Si estos requisitos no se cumplen, la instalacin falla. Las mejores prcticas son definir una nueva base de datos.
Haga clic en Siguiente. los cuadros siguientes y despus haga clic en Siguiente:
10 En el panel Informacin de Microsoft SQL Server, escriba sus valores para

Servidor de bases de datos Si cre una nueva instancia, el formato es NombreDeServidor_o_DireccinIP\nombre_instancia. Puerto de SQL Server Nombre de la base de datos Usuario Contrasea Confirmar contrasea (solamente al crear una nueva base de datos) Carpeta de cliente de SQL Usuario de administrador de bases de datos (solamente al crear una nueva base de datos) Contrasea del administrador de bases de datos (solamente al crear una nueva base de datos)
106
Instalacin de Symantec Endpoint Protection Manager Instalar consolas de Symantec Endpoint Protection Manager adicionales
Carpeta de datos de la base de datos
11 Especifique y confirme una contrasea para la cuenta de administrador de

Symantec Endpoint Protection Manager. Opcionalmente, puede proporcionar una direccin de correo electrnico de administrador.
12 Haga clic en Siguiente. 13 En el cuadro de dilogo Advertencia, lea y comprenda la informacin del aviso
sobre las comunicaciones de texto y despus haga clic en Aceptar.
14 En el panel Configuracin finalizada, realice una de las siguientes acciones:
Para implementar el software de cliente con el Asistente para migracin e implementacin, haga clic en S. Para iniciar sesin en la consola de Symantec Endpoint Protection Manager primero y despus implementar el software de cliente, haga clic en No.
Consulte el captulo sobre instalacin de clientes para obtener informacin sobre cmo implementar el software de cliente. Despus de instalar Symantec Endpoint Protection Manager y sentirse cmodo con las tareas de administracin, debe proteger sus archivos de cifrado en caso de que necesite recuperarlos despus de un desastre. Debe adems documentar la contrasea de cifrado que escribi durante la instalacin de Symantec Endpoint Protection Manager. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229.
Instalar consolas de Symantec Endpoint Protection Manager adicionales

Es posible instalar las consolas de administracin adicionales en los equipos remotos e iniciar sesin en Symantec Endpoint Protection Manager y administrarlo. Las consolas requieren software Java runtime, as que si su equipo no cuenta con la versin correcta de Java runtime, se instala automticamente. Es posible que tenga que ajustar su configuracin de Internet Explorer para ActiveX y Java para permitir la instalacin. Nota: Si exporta los paquetes de instalacin de clientes de una consola de administracin remota, los paquetes se crean en el equipo desde el cual se ejecuta la consola de administracin remota. Tambin, cuando se instalan servidores para la conmutacin por error o el balanceo de carga, se instalan las consolas de administracin en esos equipos.
Instalacin de Symantec Endpoint Protection Manager Instalar y el configurar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga
107
Para instalar consolas de administracin adicionales
1 2
En el equipo en el cual se instalar la consola de administracin, inicie un navegador Web. En el cuadro URL, escriba uno de los identificadores siguientes para el equipo que ejecuta Symantec Endpoint Protection Manager:

http://nombre_equipo: 9090 http://direccin_IP_equipo: 9090
9090 es el puerto de la consola Web predeterminado durante la instalacin. Es posible modificar el puerto de la consola Web mediante la opcin de volver a configurar el servidor de administracin en el Asistente para la configuracin del servidor de administracin.
3 4 5 6
En la ventana de la consola de Symantec Policy Management, haga clic en Aqu para descargar e instalar JRE 1.5. Si aparece una advertencia de seguridad, haga clic en Instalar. Siga los pasos en el asistente para la instalacin y despus haga clic en Finalizar. En la ventana de la consola de Symantec Endpoint Protection Manager, haga clic en Hacer clic aqu para descargar y para iniciar sesin en Symantec Endpoint Protection Manager. En el cuadro de dilogo Advertencia de seguridad, haga clic en Ejecutar. En el cuadro de creacin de acceso directo, haga clic en S. El botn Configurar abre el cuadro de dilogo de la configuracin de Java.
7 8
En la indicacin de inicio de sesin, escriba su nombre de usuario y contrasea para Symantec Endpoint Protection Manager y despus haga clic en Iniciar sesin.
10 Complete el proceso de autenticacin.
Instalar y el configurar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga
Las configuraciones de conmutacin por error y balanceo de carga se admiten solamente en las instalaciones de Microsoft SQL Server. Las configuraciones de conmutacin por error se utilizan para mantener la comunicacin cuando los clientes no pueden comunicarse con Symantec Endpoint Protection Manager. El
108
balanceo de carga se utiliza para distribuir la administracin de clientes entre los servidores de Symantec Endpoint Protection Manager. Es posible configurar la conmutacin por error y el balanceo de carga asignando prioridades a los servidores de administracin en las listas de servidores de administracin. El balanceo de carga ocurre entre los servidores asignados a Prioridad 1 en una lista de servidores de administracin. Si se asigna ms de un servidor a Prioridad 1, los clientes eligen aleatoriamente uno de los servidores y establecen comunicacin con l. Si todos los servidores de Prioridad 1 fallan, los clientes se conectan con el servidor asignado a Prioridad 2. Nota: Cuando se instala un servidor para la conmutacin por error o el balanceo de carga, tambin se instala una consola de administracin. Instalar y configurar servidores para la conmutacin por error y el balanceo de carga es un proceso de dos partes. Primero, se instala Symantec Endpoint Protection Manager en un equipo y lo agrega a un sitio existente. En segundo lugar, se inicia sesin en la consola de Symantec Endpoint Protection Manager y configura el nuevo Symantec Endpoint Protection Manager.
Instalar Symantec Endpoint Protection Manager para conmutacin por error o balanceo de carga
Se admiten las instalaciones con conmutacin por error y balanceo de carga solamente cuando Symantec Endpoint Protection Manager original utiliza Microsoft SQL Server. No instale servidores para conmutacin por error o balanceo de carga cuando Symantec Endpoint Protection Manager original utiliza la base de datos integrada. Para instalar un servidor para conmutacin por error o balanceo de carga
Instalar Symantec Endpoint Protection Manager Ver "Para instalar Symantec Endpoint Protection Manager" en la pgina 103.
2 3
En el panel Asistente para la configuracin del servidor de administracin, marque Opciones avanzadas y despus haga clic en Siguiente. Seleccione el nmero de clientes que el servidor administrar y haga clic en Siguiente. Marque Instalar un servidor de administracin adicional en un sitio existente y haga clic en Siguiente.
En el panel Informacin de servidor, acepte o modifique los valores predeterminados para los cuadros siguientes y despus haga clic en Siguiente:
109
En el cuadro de dilogo Informacin de Microsoft SQL Server, escriba los valores del servidor remoto para los cuadros siguientes:

Servidor de bases de datos\nombre_instancia Puerto de SQL Server Nombre de la base de datos Usuario Contrasea Carpeta del cliente de SQL (en el equipo local) Si este cuadro no se rellena automticamente con la ruta correcta, la utilidad de cliente de Microsoft SQL no est instalada o no est instalada correctamente.
Especifique y confirme una contrasea para la cuenta de administrador de Symantec Endpoint Protection Manager. Opcionalmente, puede proporcionar una direccin de correo electrnico de administrador. Haga clic en Siguiente. En la indicacin de Advertencia, lea el mensaje de texto y despus haga clic en Aceptar. En el panel Finalizado del Servidor de administracin, haga clic en Finalizar.
7 8 9
Configurar conmutacin por error y balanceo de carga

De forma predeterminada, un servidor de administracin que se instala para la conmutacin por error y el balanceo de carga se configura para el balanceo de carga cuando ambos servidores comparten la misma prioridad. Si desea modificar la configuracin predeterminada despus de la instalacin, debe configurarla con la consola de Symantec Endpoint Protection Manager.
110
Para configurar conmutacin por error y balanceo de carga
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En el panel Ver polticas, a la derecha de Componentes de polticas, haga clic en la flecha ascendente de modo que se convierta en una flecha descendente y, despus, haga clic en Listas de servidores de administracin.
En el panel Tareas, haga clic en Agregar una lista de servidores de administracin.
111
En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, haga clic en Agregar > Nueva prioridad tres veces.
5 6 7
Debajo de Servidores de administracin, haga clic en Prioridad 1. Haga clic en Agregar > Nuevo servidor. En el cuadro de dilogo Agregar servidor de administracin, en el cuadro Direccin del servidor, escriba el nombre de dominio completo o la direccin IP de una instancia de Symantec Endpoint Protection Manager. Si escribe una direccin IP, asegrese de que sea esttica y que todos los clientes pueden resolverla.
8 9
Haga clic en Aceptar. Realice uno de los pasos siguientes:
Para configurar el balanceo de carga con el otro servidor, haga clic en Prioridad 1. Para configurar conmutacin por error con el otro servidor, haga clic en Prioridad 2.
10 Haga clic en Agregar > Nuevo servidor. 11 En el cuadro de dilogo Agregar servidor de administracin, en el cuadro
Direccin del servidor, escriba el nombre de dominio completo o la direccin IP de una instancia de Symantec Endpoint Protection Manager. Si escribe una direccin IP, asegrese de que sea esttica y de que todos los clientes pueden resolverla.
112
12 Haga clic en Aceptar.
13 (Opcional) Para modificar la prioridad de un servidor, que modifica la

configuracin del balanceo de carga o de la conmutacin por error, haga clic en un servidor y realice una de las siguientes acciones:

Haga clic en Subir. Haga clic en Bajar.
14 En el cuadro de dilogo Listas de servidores de administracin, haga clic en

Aceptar. Para aplicar la lista de servidores de administracin
En el panel derecho, bajo Listas de servidores de administracin, bajo Nombre, haga clic en la lista de servidores de administracin que usted cre para resaltarla. En el panel inferior izquierdo Tareas, haga clic en Asignar la lista. En el cuadro de dilogo Aplicar lista de servidores de administracin, marque los grupos a los que desea aplicar la lista. Haga clic en Asignar. En el cuadro de dilogo Asignar lista de servidores de administracin, haga clic en S.
2 3 4 5
Instalacin de Symantec Endpoint Protection Manager Instalar y el configurar Symantec Endpoint Protection Manager para la replicacin
113
Instalar y el configurar Symantec Endpoint Protection Manager para la replicacin

Las configuraciones de replicacin se admiten con bases de datos integradas y de Microsoft SQL Server. Las configuraciones de replicacin se utilizan para la redundancia. Todos los datos de una base de datos se replican (duplican) en otra base de datos. Si una base de datos falla, an es posible administrar y controlar todos los clientes porque la otra base de datos contiene la informacin de los clientes. Instalar y configurar los servidores para la replicacin es un proceso de dos partes. En un sitio de instalacin existente, primero instale una nueva instancia de Symantec Endpoint Protection Manager y una base de datos para la replicacin con un administrador existente. En segundo lugar, inicie sesin en Symantec Endpoint Protection Manager, y seleccione y programe los elementos para la replicacin. Cuando se seleccionan los elementos para replicar, es posible elegir registros y paquetes. Los paquetes tambin incluyen las actualizaciones de definiciones de virus, componentes de cliente y software de cliente. El tamao de los paquetes y las actualizaciones puede llegar a varios gigabytes de informacin si usted descarga actualizaciones en idiomas varios. Tenga en cuenta la cantidad de datos que usted replica cuando se seleccionan estas opciones, junto con el consumo de ancho de banda. Un paquete de cliente generalmente tiene 180 MB de tamao cuando est comprimido.
Instalar Symantec Endpoint Protection Manager para la replicacin

Es posible instalar servidores para replicacin con bases de datos integradas y de Microsoft SQL Server. Si desea instalar una base de datos de Microsoft SQL Server para la replicacin, es necesario primero instalar Microsoft SQL Server. Ver "Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL" en la pgina 94. Para instalar servidores para la replicacin
Instale Symantec Endpoint Protection Manager. Ver "Para instalar Symantec Endpoint Protection Manager" en la pgina 103.
2 3
En el panel Asistente para la configuracin del servidor de administracin, marque Instalar un sitio adicional y despus haga clic en Siguiente. En el panel Informacin de servidor, acepte o modifique los valores predeterminados para los cuadros siguientes y despus haga clic en Siguiente:
114
Instalacin de Symantec Endpoint Protection Manager Instalar y el configurar Symantec Endpoint Protection Manager para la replicacin
4 5
En el panel Informacin del sitio, acepte o modifique el nombre del cuadro Nombre del sitio y despus haga clic en Siguiente. En el panel Informacin de replicacin, escriba los valores en los cuadros siguientes:
Nombre del servidor de replicacin El nombre o la direccin IP del Symantec Endpoint Protection Manager remoto El valor predeterminado es 8443 El nombre que se utiliza para iniciar sesin en la consola La contrasea que se utiliza para iniciar sesin en la consola
Puerto del servidor de replicacin Nombre del administrador
Contrasea
6 7 8
Haga clic en Siguiente. En la advertencia del certificado, haga clic en S. En el panel Eleccin del servidor de bases de datos, realice una de las siguientes tareas y haga clic en Siguiente.

Marque Base de datos integrada y termine la instalacin. Marque Microsoft SQL Server y termine la instalacin. Ver "Para crear una base de datos SQL" en la pgina 104.
Configurar Symantec Endpoint Protection Manager para la replicacin

Se utiliza la Consola de Symantec Endpoint Protection Manager para configurar los servidores para la replicacin. Las credenciales de inicio de sesin de administrador son las credenciales que se utilizan en el primer sitio que usted especific para la replicacin.
Instalacin de Symantec Endpoint Protection Manager Ajustar el tamao de pila de Symantec Endpoint Protection Manager
115
Para configurar los servidores para la replicacin
1 2
En el equipo en el que se instal Symantec Endpoint Protection Manager, haga clic en Inicio > Programas > Symantec Endpoint Protection Manager. En el cuadro de dilogo Inicio de sesin, en el cuadro Nombre de usuario, escriba el ID de administrador que se utiliza para iniciar sesin en la instancia de Symantec Endpoint Protection Manager que utiliza la base de datos inicial. En el cuadro Contrasea, escriba la contrasea que se asocia al ID de administrador y despus haga clic en Iniciar sesin. En la consola, en el panel izquierdo, haga clic en Administrador > Servidores. En el rbol izquierdo, expanda Sitio local y, a continuacin, Asociado de replicacin. Luego haga clic con el botn secundario en Sitio <host_remoto> y despus haga clic en Editar propiedades. En el cuadro de dilogo Propiedades del asociado de replicacin, configure las opciones que desee para los registros, los paquetes y la frecuencia de replicacin, y despus haga clic en Aceptar. Consulte la ayuda contextual y la Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control a fin de obtener informacin sobre esta configuracin.
3 4 5
7 8 9
Haga clic con el botn secundario en Sitio <host_remoto> y despus haga clic en Replicar ahora. Haga clic en S. Haga clic en Aceptar.
Ajustar el tamao de pila de Symantec Endpoint Protection Manager

El tamao de pila predeterminado para Symantec Endpoint Protection Manager es 256 MB. Si la Consola de Symantec Endpoint Protection Manager funciona lenta o no responde, un tamao de pila ms grande puede mejorar la situacin. Es posible aumentar el tamao predeterminado con dos valores de clave del registro. Los dos valores de clave del registro son -Xms256m y -Xmx256m. -Xms256m configura el tamao de pila mnimo. -Xmx256m configura el tamao de pila mximo. -Xms256m es el valor que se especifica para la opcin 0 de la clave JVM. -Xmx256m es el valor que se especifica para la opcin 1 de la clave JVM 1. Symantec Endpoint Protection Manager necesita los mismos valores para ambas claves.
116
Instalacin de Symantec Endpoint Protection Manager Actualizar desde la base de datos integrada a Microsoft SQL Server
Para ajustar el tamao de pila de Symantec Endpoint Protection Manager
1 2 3
Haga clic en Inicio > Ejecutar. En el cuadro de dilogo Ejecutar, escriba regedit y presione Intro. Localice la siguiente clave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\semsrv\Parameters\
Localice las siguientes claves:

Opcin 0 de JVM Opcin 1 de JVM
Aumente los valores de la clave y asegrese de que coincidan. Por ejemplo, para crear una pila esttica de 1 GB, configure la opcin 0 de JVM en -Xms1024m y la opcin 1 de JVM en -Xmx1024m.
6 7
Salga de Regedit y haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas. En el cuadro de dilogo Servicios, haga clic con el botn secundario en Symantec Endpoint Protection Manager y despus haga clic en Reiniciar.
Actualizar desde la base de datos integrada a Microsoft SQL Server

Si utiliza la base de datos integrada y encuentra que es insuficiente, es posible actualizar el servidor de bases de datos a Windows SQL Server 2000 2005. Los siguientes puntos resumen el proceso y los pasos necesarios:
Haga una copia de respaldo del archivo de certificado del almacn de claves de Java y el archivo server.xml, y mueva o copie los archivos del directorio \Symantec\Symantec Endpoint Protection Manager\. Haga una copia de respaldo de la base de datos integrada y mueva o copie la copia de respaldo del \Symantec\Symantec Endpoint Protection Manager\. Instale una instancia de Microsoft SQL Server 2000 2005. Es posible ejecutar el Asistente para la configuracin del servidor de administracin para volver a configurar el servidor y modificar el tipo de base de datos utilizado desde la consola integrada hasta Microsoft SQL Server. Restaure el certificado del almacn de claves de Java. Restaure la base de datos integrada a la base de datos de Microsoft SQL Server.
117
El proceso de actualizacin es muy similar al proceso de recuperacin despus de un desastre porque es necesario desinstalar la instancia actual de Symantec Endpoint Protection Manager. Por lo tanto, es necesario prepararse para la recuperacin despus de desastres a fin de realizar correctamente la actualizacin y crear un archivo de recuperacin despus de desastres. Nota: Mejores prcticas antes de actualizar: Realice estos procedimientos de actualizacin en los equipos de prueba antes de realizarlos en los equipos de produccin. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229. Advertencia: No intente esta actualizacin sin crear ni tener un archivo bien formado de recuperacin despus de desastres. No intente esta actualizacin antes de sacar la copia de respaldo del almacn de claves, el archivo server.xml y la base de datos del directorio \Symantec\Symantec Endpoint Protection Protection Manager\. Estos archivos se eliminan durante el proceso de desinstalacin.
Hacer copia de respaldo del almacn de claves y los archivos server.xml

Si no se ha realizado la preparacin para la recuperacin despus de un desastre, es necesario copiar o mover estos archivos. El proceso de desinstalacin elimina estos archivos de su ubicacin original. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229. Para hacer una copia de respaldo del almacn de claves y los archivos server.xml
Mueva o copie todos los archivos de copia de respaldo en el siguiente directorio dentro de un directorio que no est debajo de \Symantec\Symantec Endpoint Protection Manager\ \Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup\ Los archivos se denominan keystore_fecha.jks y server_fecha.xml.
Hacer una copia de respaldo de la base de datos integrada

Se restaurar esta base de datos a Microsoft SQL Server.
118
Para hacer una copia de respaldo de la base de datos integrada
En el equipo que ejecuta la base de datos integrada, haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Database Backup and Restore. En el cuadro de dilogo Database Backup and Restore, haga clic en Copia de respaldo. Este proceso tardar unos minutos. Los archivos de copia de respaldo son archivos .zip que se guardan en \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\.
3 4 5
Haga clic en Aceptar. Cuando finalice la copia de respaldo, haga clic en Salir. Mueva o copie el archivo de copia de respaldo en un directorio que no est debajo de \Symantec\Symantec Endpoint Protection Manager. Si no realiza este paso, la actualizacin falla porque se desinstala el archivo de copia de respaldo.
Instalar una instancia de Microsoft SQL Server 2000 2005

Es necesario instalar Microsoft SQL Server 2000 2005 con autenticacin de servidor SQL y saber qu puerto utiliza el servidor para las comunicaciones de red. Se debe escribir este nmero de puerto al reinstalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL Server. Para instalar una instancia de Microsoft SQL Server 2000 2005
Instale y configure una instancia de Microsoft SQL Server en el equipo que ejecuta Symantec Endpoint Protection Manager y la base de datos integrada, o en un equipo diferente. Ver "Requisitos de instalacin y configuracin de Microsoft SQL Server 2000" en la pgina 96. Ver "Requisitos de instalacin y configuracin de Microsoft SQL Server 2005" en la pgina 97. Ver "Para crear una base de datos SQL" en la pgina 104.
Volver a configurar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
Se necesita la contrasea de cifrado original para reinstalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL. Esta contrasea debe
119
estar en el archivo bien formado de recuperacin despus de desastres. Si no lo est, es necesario encontrar a alguien que sepa la contrasea. Para volver a configurar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
1 2
Inicie el Asistente para la configuracin del servidor de administracin desde el men Inicio de Windows. Cuando aparece el panel de bienvenida del Asistente para la configuracin del servidor de administracin, marque Volver a configurar el servidor de administracin y despus haga clic en Siguiente. Confirme los valores para el servidor de administracin y despus haga clic en Siguiente. En el panel de seleccin Tipo de base de datos, seleccione Microsoft SQL Server y despus haga clic en Siguiente. Especifique los valores siguientes en el panel para los parmetros de base de datos y despus haga clic en Siguiente.

3 4 5
Servidor de bases de datos Puerto de SQL Server Nombre de la base de datos Usuario Contrasea Carpeta de cliente de SQL
6 7
En el cuadro de dilogo Advertencia, lea y comprenda la informacin del aviso sobre las comunicaciones de texto y despus haga clic en Aceptar. En el panel Establecer contrasea de la consola, escriba la misma contrasea en los cuadros siguientes, proporcione una direccin de correo electrnico de administrador y despus haga clic en Siguiente.

Contrasea Confirmar contrasea
8 9
En el panel Configuracin finalizada, seleccione No y despus haga clic en Siguiente. Restaure la copia de respaldo de la base de datos integrada.
120
Restaurar el archivo de almacn de claves de Java original

El archivo de almacn de claves contiene el certificado pblico que se utiliza para proteger las comunicaciones. Es necesaria la contrasea de la clave privada original para restaurar este archivo. Esta contrasea est en el archivo bien formado de recuperacin despus de desastres, si ste fue creado durante la instalacin original. La contrasea est tambin en el archivo server_marca de hora.xml. Ver "Cmo prepararse para la recuperacin despus de un desastre" en la pgina 229. Para restaurar el archivo de almacn de claves de Java original
1 2 3 4 5 6 7
Inicie sesin en la Consola y despus haga clic en Administrador. En el panel Administrador, bajo Tareas, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local y despus haga clic en el nombre del equipo que identifica el sitio local. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida, haga clic en Siguiente. En el panel Administrar certificado del servidor, marque Actualizar el certificado del servidor y despus haga clic en Siguiente. Bajo Seleccione el tipo de certificado para importar, marque Almacn de claves JKS y despus haga clic en Siguiente. Si ha implementado otro tipo de certificado, seleccione ese tipo.
En el panel Almacn de claves JKS, haga clic en Examinar, busque y seleccione el archivo de almacn de claves keystore_marca de hora.jks incluido en la copia de respaldo y despus haga clic en Aceptar. Abra su archivo de texto de recuperacin despus de un desastre y seleccione y copie la contrasea del almacn de claves. contrasea del almacn de claves en el cuadro Contrasea del almacn de claves y el cuadro Contrasea de clave. El nico mecanismo de pegado compatible es Ctrl + V.
10 Active el cuadro de dilogo Almacn de claves JKS y despus pegue la
11 Haga clic en Siguiente.

Si recibe un mensaje de error que diga que hay un archivo no vlido de almacn de claves, probablemente haya escrito contraseas no vlidas. Reintente copiar y pegar la contrasea. Este mensaje de error es engaoso.
12 En el panel Completado, haga clic en Finalizar. 13 Cierre la sesin en la Consola.
Instalacin de Symantec Endpoint Protection Manager Desinstalar Symantec Endpoint Protection Manager
121
Desinstalar Symantec Endpoint Protection Manager

Cuando se desinstala Symantec Endpoint Protection Manager, todos los componentes de Symantec se desinstalan excepto los paquetes de instalacin de clientes exportados. No obstante, puede optar por no desinstalar la base de datos integrada, la base de datos de Microsoft SQL Server y los archivos de copia de respaldo. Para todas las instalaciones, los archivos de copia de respaldo de la base de datos se encuentran en el equipo que ejecuta Symantec Endpoint Protection Manager. Utilice la funcin estndar Agregar o quitar programas de Windows para desinstalar Symantec Endpoint Protection Manager. Tambin seleccione Cambiar para tener la opcin de desinstalar la base de datos. Si selecciona Quitar, la base de datos no se desinstala. Desactive la replicacin antes de intentar desinstalar un mdulo de Symantec Endpoint Protection Manager configurado para replicacin. A continuacin, reinicie el equipo del cual desee desinstalar Symantec Endpoint Protection Manager y, despus, realice la desinstalacin. Nota: Es necesario eliminar manualmente todos los directorios que contengan los paquetes de instalacin de clientes exportados, incluidos los directorios creados con el Asistente para migracin e implementacin. Es necesario tambin eliminar manualmente todos los archivos y directorios de copia de respaldo, incluidos los archivos y directorios de respaldo que contengan claves privadas, certificados y archivos de base de datos.
122
Instalacin de Symantec Endpoint Protection Manager Desinstalar Symantec Endpoint Protection Manager
Captulo
Instalar el software de cliente de Symantec


Acerca del software de instalacin de clientes de Symantec Acerca de la instalacin de software de cliente no administrado Instalar el software de cliente no administrado con el CD de instalacin Crear paquetes de instalacin de clientes Acerca de la implementacin de software de cliente desde una unidad asignada Implementar software de cliente con el Asistente de implementacin mediante transferencia Implementar software de cliente con Buscar equipos no administrados Importar listas de equipos Acerca de la instalacin y la implementacin de software con Altiris Opciones de instalacin de otros fabricantes Iniciar la interfaz de usuario del cliente Desinstalar el software de cliente
124
Instalar el software de cliente de Symantec Acerca del software de instalacin de clientes de Symantec
Acerca del software de instalacin de clientes de Symantec

Estn disponibles dos productos de software de instalacin de clientes de Symantec. Un producto es Symantec Endpoint Protection. El otro producto es Symantec Network Access Control. Nota: Las instalaciones de Symantec Endpoint Protection necesitan por lo menos 700 MB de espacio en el disco duro durante el proceso de instalacin. Si esta cantidad no est disponible, la instalacin falla.
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection contiene muchos componentes que se pueden seleccionar para instalar o para no instalar. Cuando se instala Symantec Endpoint Protection, tiene las siguientes opciones en cuanto a qu componentes se instalarn:
Archivos principales Esta opcin es obligatoria para todas las instalaciones. Proteccin antivirus y contra software espa Esta opcin instala el software antivirus y contra software espa base y le permite seleccionar Proteccin antivirus de correo electrnico:
Proteccin antivirus de correo electrnico Nota: Por motivos de rendimiento, el instalador de Symantec Endpoint Protection bloquea la instalacin de Auto-Protect para correo electrnico de Internet en los sistemas operativos Microsoft Server compatibles. Por ejemplo, no es posible instalar Auto-Protect para correo electrnico de Internet en un equipo que ejecute Windows Server 2003.
Proteccin proactiva contra amenazas Esta opcin no instala el software bsico, sino que permite seleccionar estos componentes:

Anlisis de amenazas proactivo TruScan Control de aplicaciones y dispositivos
Proteccin contra amenazas de red
Instalar el software de cliente de Symantec Acerca del software de instalacin de clientes de Symantec
125
Esta opcin no instala el software bsico, sino que permite seleccionar Firewall y prevencin de intrusiones:
Firewall y Prevencin de intrusiones
Nota: Symantec Endpoint Protection adems instala el software de Symantec Network Access Control, pero Symantec Network Access Control no se habilita. Cuando se actualiza la Consola de Symantec Endpoint Protection Manager para Symantec Network Access Control, la funcin del cliente de Symantec Network Access Control aparece automticamente en la interfaz de usuario del cliente. Por lo tanto, si usted instala Symantec Endpoint Protection y compra Symantec Network Access Control ms tarde, no es necesario instalar el software de cliente de Symantec Network Access Control. Si sus equipos cliente ejecutan Symantec Network Access Control y si usted compr el software de Symantec Endpoint Protection ms tarde, deber sobreinstalar el software de Symantec Endpoint Protection. No es necesario desinstalar Symantec Network Access Control.
Acerca del software de Symantec Network Access Control

El software de Symantec Network Access Control no contiene los componentes que puedan seleccionarse para instalar o no instalar. Si sus equipos cliente ejecutan Symantec Endpoint Protection y usted compr el software de Symantec Network Access Control ms tarde, no es necesario instalar el software de Symantec Network Access Control. Despus de actualizar Symantec Endpoint Protection Manager para Symantec Network Access Control, la funcin de Symantec Network Access Control de los clientes aparece automticamente.
Acerca de Windows Installer versin 3.1

Todas las instalaciones de software de cliente requieren que todos los equipos cliente ejecuten la versin 3.1 de Windows Installer (MSI). Si no se est ejecutando 3.1 en los equipos cliente, el software de instalacin de clientes de Symantec la instala automticamente. Nota: Si ejecuta msiexec en una lnea de comandos en un equipo que ejecute MSI 3.1, la versin que se muestra es 3.01.4000.x.
Acerca de los grupos y los clientes

Los grupos pueden contener clientes de 32 bits y de 64 bits. Sin embargo, es necesario implementar los paquetes de 32 bits y de 64 bits por separado en los clientes. Los clientes de 32 bits bloquean los paquetes de instalacin de 64 bits y
126
Instalar el software de cliente de Symantec Acerca de la instalacin de software de cliente no administrado
los clientes de 64 bits bloquean los paquetes de instalacin de 32 bits debido a la discordancia de versin. Si su entorno tiene una combinacin de clientes de Symantec Endpoint Protection y Symantec Network Access Control, resulta conveniente agrupar estos clientes por separado. Por ejemplo, se recomienda no colocar clientes de Symantec Endpoint Protection en un grupo que tambin contenga clientes de Symantec Network Access Control. Adems, si usted instala Symantec Endpoint Protection Manager para Symantec Network Access Control, los clientes de Symantec Endpoint Protection admiten automticamente Symantec Network Access Control. Cuando se crean paquetes de instalacin de clientes con la Consola de Symantec Endpoint Protection Manager, es posible especificar un grupo que los contenga. Si reinstala un paquete de software de cliente en los clientes y el paquete especifica un grupo diferente, los clientes an aparecen en su grupo original. Los clientes no aparecen en el nuevo grupo. Solamente es posible mover clientes a los nuevos grupos con la Consola de Symantec Endpoint Protection Manager.
Acerca de la instalacin de software de cliente no administrado

Los clientes pueden ser administrados o no administrados. Si no desea administrar el software de cliente, es posible instalar software de cliente no administrado. Sin embargo, la instalacin de software de cliente no administrado de Symantec Network Access Control no se recomienda. El software de cliente no administrado se puede instalar de cualquiera de las siguientes maneras: mediante el programa de instalacin del CD de instalacin, implementando paquetes de instalacin de clientes no administrados con la consola de Symantec Endpoint Protection Manager o usando el Asistente de implementacin mediante transferencia del CD de herramientas.
Acerca de implementar software de cliente no administrado mediante la consola de administracin

Es posible exportar paquetes de instalacin de clientes no administrados desde la consola de Symantec Endpoint Protection Manager. Despus de exportar los paquetes no administrados, no asigne los paquetes a grupos para la actualizacin automtica. Si asigna los paquetes a un grupo, los clientes del grupo aparecen en la consola despus de la instalacin de software. Sin embargo, no es posible administrar estos clientes.
Instalar el software de cliente de Symantec Instalar el software de cliente no administrado con el CD de instalacin
127
Acerca de implementar software de cliente no administrado con el Asistente de implementacin mediante transferencia
Es posible tambin implementar software no administrado con el Asistente de implementacin mediante transferencia. Es posible iniciar el asistente con el archivo ClientRemote.exe que se encuentra en el directorio TOOLS\PUSHDEPLOYMENTWIZARD del CD que contiene herramientas adicionales. Cuando se le solicite especificar la carpeta que contiene el software de cliente, seleccione la carpeta SEP para los paquetes de instalacin de Symantec Endpoint Protection o la carpeta SNAC para los paquetes de instalacin de Symantec Network Access Control.
Instalar el software de cliente no administrado con el CD de instalacin

Es posible instalar software de cliente no administrado de Symantec Endpoint Protection mediante el archivo Setup.exe del CD de instalacin. El programa de instalacin instala el software de cliente de Symantec Endpoint Protection mediante un asistente para la instalacin. La instalacin Server Core de Windows Server 2008 ofrece una interfaz de lnea de comandos solamente. Tambin es posible, sin embargo, administrar instalaciones Server Core con herramientas de administracin remota. El software de cliente se puede instalar con el CD de instalacin desde una ubicacin de red compartida o local. Nota: En Windows Vista y Windows Server 2008, es posible hacer clic en Continuar en cualquier cuadro de dilogo de control de cuentas de usuario que aparezca al realizar estos procedimientos. Para instalar el software de cliente de Symantec Endpoint Protection no administrado mediante el CD de instalacin
1 2 3
Inserte el CD de instalacin e inicie el programa de instalacin si no se inicia automticamente. Haga clic en Instalar Symantec Endpoint Protection. En el panel de bienvenida, haga clic en Siguiente.
128
Instalar el software de cliente de Symantec Instalar el software de cliente no administrado con el CD de instalacin
Si va a instalar el software de cliente de Symantec Endpoint Protection por primera vez en este equipo, confirme que Equipo no administrado est seleccionado y haga clic en Siguiente. Se muestra este panel solamente si instala el software de cliente de Symantec Endpoint Protection por primera vez en este equipo.
5 6
En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente. En el panel Tipo de instalacin, realice una de las siguientes acciones:
Haga clic en Tpica para instalar el software de cliente con la mayora de las opciones comunes y, luego, haga clic en Siguiente. Haga clic en Personalizada para elegir qu componentes se van a instalar y las opciones que se utilizan para instalarlos; a continuacin, haga clic en Siguiente. En el panel Instalacin personalizada, seleccione las funciones que desee instalar y cmo desea instalarlas. Confirme la ubicacin de instalacin o haga clic en Cambiar para seleccionar una diferente y, luego, haga clic en Siguiente.
En el panel Opciones de proteccin, haga clic en Siguiente. Puede hacer clic en Habilitar Auto-Protect y Ejecutar LiveUpdate y anular la seleccin al finalizar la instalacin y, despus, hacer clic en Siguiente. En Windows Vista es posible tambin elegir desactivar Windows Defender.
8 9
En el panel Preparado para instalar el programa, haga clic en Instalar. En el panel de finalizacin del Asistente, haga clic en Finalizar. Si la opcin Ejecutar liveUpdate est seleccionada durante la instalacin, LiveUpdate se inicia cuando la instalacin haya finalizado. Es posible que se le solicite reiniciar el equipo.
Para instalar el software de cliente de Symantec Network Access Control no administrado mediante el CD de instalacin
1 2 3 4
Inserte el CD de instalacin e inicie el programa de instalacin si no se inicia automticamente. Haga clic en Instalar Symantec Network Access Control y, despus, haga clic en Instalar Symantec Network Access Control. En el panel de bienvenida, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente.
Instalar el software de cliente de Symantec Crear paquetes de instalacin de clientes
129
5 6 7
En el panel Carpeta de destino, confirme o modifique la carpeta de destino que se muestra y haga clic en Siguiente. En el panel Preparado para la instalacin, haga clic en Instalar. En el panel de finalizacin del Asistente, haga clic en Finalizar. Es posible que se le solicite reiniciar el equipo.
Para instalar el software de cliente de 64 bits de Symantec Endpoint Protection no administrado en Windows Server 2008 Server Core de 64 bits
1 2 3 4 5 6 7
Inserte el CD de instalacin. Cambie el directorio al directorio raz del CD de instalacin. Escriba cd SEPWIN64\X64 y presione Intro. Escriba vcredist_x64.exe y presione Intro. Cambie el directorio de nuevo al directorio raz del CD de instalacin. Escriba Setup.exe y presione Intro. Siga los pasos del asistente para la instalacin para terminar la instalacin.
Para instalar el software de cliente no administrado en Windows Server 2008 Server Core (el resto de los clientes)
1 2 3 4 5
Inserte el CD de instalacin. Abra a una lnea de comandos. Cambie el directorio al directorio raz del CD de instalacin. Escriba Setup.exe y presione Intro. Siga los pasos del asistente para la instalacin para terminar la instalacin.
Crear paquetes de instalacin de clientes

Es posible crear dos tipos de paquetes de instalacin de clientes. Un tipo es de 32 bits y el otro tipo es de 64 bits. Es posible tambin crear dos paquetes de 32 bits y de 64 bits. Un tipo es el paquete de instalacin predeterminado que se crea cuando usted instala Symantec Endpoint Protection Manager. Si instala este paquete, los clientes aparecen en un grupo temporal y reciben las polticas predeterminadas. El otro tipo es un paquete de instalacin que se personaliza para un grupo, que generalmente no es el grupo temporal. Este paquete de instalacin puede contener polticas y opciones de grupo personalizadas. Es posible crear paquetes de instalacin de clientes para los grupos en cualquier momento. Si ha personalizado polticas para un grupo que son estables y no se modifican regularmente, es posible crear un paquete de instalacin de clientes
130
Instalar el software de cliente de Symantec Acerca de la implementacin de software de cliente desde una unidad asignada
para ese grupo. Sin embargo, no es necesario reinstalar los paquetes de instalacin de clientes en los equipos cliente existentes de un grupo para modificar una poltica. A medida que usted realiza cambios en las polticas de un grupo, estos cambios se propagan automticamente a los clientes instalados en ese grupo. Nota: Los paquetes de instalacin de clientes se deben implementar como paquetes de instalacin silenciosa o sin intervencin del usuario en los equipos cliente que ejecutan Microsoft Windows Servidor 2008 o Microsoft Vista (x64) y solamente como paquetes de la instalacin silenciosa en los equipos cliente que ejecutan Microsoft Vista (x86).
Nota: La Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control contiene informacin completa sobre los paquetes de instalacin de clientes. Para crear paquetes de instalacin de clientes
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. En el panel Tareas, haga clic en Paquetes de instalacin. En el panel derecho, bajo Nombre del paquete, seleccione el paquete que desea exportar. En el panel inferior izquierdo, bajo Tareas, haga clic en Exportar paquete de instalacin de clientes. En el cuadro de dilogo Exportar paquete, haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta de exportacin, busque y seleccione el directorio que contendr el paquete exportado y despus haga clic en Aceptar. En el cuadro de dilogo Exportar paquete, configure las otras opciones segn sus metas de instalacin. Para obtener informacin acerca de las otras opciones en este cuadro de dilogo, haga clic en Ayuda.
Haga clic en Aceptar.
Acerca de la implementacin de software de cliente desde una unidad asignada

Despus de exportar un paquete de instalacin de clientes a un directorio, es posible compartir ese directorio y hacer que los usuarios asignen el directorio
Instalar el software de cliente de Symantec Implementar software de cliente con el Asistente de implementacin mediante transferencia
131
desde los equipos cliente. Los usuarios pueden entonces instalar el software de cliente desde la unidad asignada. Nota: Durante la instalacin del software de cliente de Symantec Endpoint Protection, la unidad asignada se desconecta temporalmente. Esta actividad es conocida y se espera que ocurra. Esta actividad no ocurre cuando se instala el software de cliente de Symantec Network Access Control.
Implementar software de cliente con el Asistente de implementacin mediante transferencia

El Asistente de implementacin mediante transferencia aparece automticamente cuando se utiliza el asistente de implementacin, o es posible iniciarlo manualmente. En cualquier caso, es necesario tener una idea de qu paquete de software de clientes se desea implementar y en qu carpeta est el paquete. Es necesario localizarlo durante la implementacin. Para implementar el software de cliente con el Asistente de implementacin mediante transferencia
1 2 3 4 5
Inicie el Asistente para migracin e implementacin del men men Inicio de Windows. En el panel de bienvenida, haga clic en Siguiente. Haga clic en Implementar el cliente (solamente para Symantec Endpoint Protection) y en Siguiente. Haga clic en Seleccionar un paquete de instalacin de clientes existente para distribuirlo y, despus, en Finalizar. En el panel del Asistente de implementacin mediante transferencia, haga clic en Examinar, ubique y seleccione la carpeta que contiene el paquete de instalacin que desee implementar y haga clic en Aceptar. Autorice o modifique el nmero mximo de implementaciones simultneas y haga clic en Siguiente. En el panel Seleccionar equipos, en el panel izquierdo bajo Equipos disponibles, expanda los rboles y seleccione los equipos en los cuales desea instalar el software de cliente y despus haga clic en Agregar. Como alternativa, es posible importar un grupo de trabajo o un dominio de equipos y tambin una lista de archivo de texto de equipos. Ver "Importar listas de equipos" en la pgina 134.
6 7
132
Instalar el software de cliente de Symantec Implementar software de cliente con Buscar equipos no administrados
En el cuadro de dilogo Autenticacin de clientes remotos, escriba un nombre de usuario y una contrasea que puedan autenticarse en el dominio de Windows o el grupo de trabajo que contiene los equipos y, despus, haga clic en Aceptar. Cuando haya seleccionado todos los equipos y stos aparezcan en el panel derecho, haga clic en Finalizar.
Implementar software de cliente con Buscar equipos no administrados

Es posible implementar el software de cliente mediante Buscar equipos no administrados en la Consola Symantec Policy Management. La utilidad permite detectar los equipos cliente que no ejecutan software de cliente y, despus, instalar el software de cliente en esos equipos. Nota: Esta utilidad coloca los equipos no administrados en la categora de componentes desconocidos si los niveles de autenticacin de LAN Manager son incompatibles. Hay seis niveles de autenticacin. Symantec recomienda la respuesta "Send NTLM 2" solamente. La poltica para editar est bajo Configuracin de poltica local > Configuracin de seguridad > Polticas locales > Opciones de seguridad > [Seguridad de la red] Nivel de autenticacin de administrador de LAN. Adems, esta utilidad no reconoce correctamente los sistemas operativos Windows 2000 cuando se ejecuta desde una instalacin predeterminada de Windows 2003 Server. Para resolver esta limitacin, ejecute el servicio de Symantec Endpoint Protection Manager como Administrador, en lugar de Sistema, en el panel Servicios.
Advertencia: Esta utilidad detecta y muestra una variedad de dispositivos de red en la ficha de equipos desconocidos. Por ejemplo, esta utilidad detecta interfaces de router y las pone en la ficha de equipos desconocidos. Tenga precaucin cuando implementa el software de cliente en dispositivos que aparecen en la ficha de equipos no administrados. Verifique que estos dispositivos sean destinos vlidos para la implementacin del software de cliente. Para implementar software de cliente usando Buscar equipos no administrados
1 2
En la Consola Symantec Policy Management, haga clic en Clientes. En el panel Tareas, haga clic en Buscar equipos no administrados.
Instalar el software de cliente de Symantec Implementar software de cliente con Buscar equipos no administrados
133
En la ventana Buscar equipos no administrados, bajo Buscar por, marque Intervalo de direcciones IP y escriba una direccin IP de principio y final. El anlisis de un intervalo de 100 direcciones IP que no existen toma aproximadamente 5,5 minutos. Opcionalmente, especifique un nombre de equipo.
Bajo Credenciales de inicio de sesin, complete los cuadros Nombre de usuario, Contrasea y Dominio-Grupo de trabajo con las credenciales de inicio de sesin que permiten la administracin y la instalacin. Haga clic en Buscar ahora.
En las fichas Equipos desconocidos o Equipos no administrados, realice una de las siguientes acciones:

Marque cada equipo en el cual usted desee instalar el software de cliente. Haga clic en Seleccionar todo.
7 8 9
Bajo Instalacin, seleccione el paquete de instalacin, la opcin de instalacin y las funciones que usted desea instalar. Para instalar a un grupo que no sea el grupo temporal, haga clic en Cambiar, seleccione un grupo diferente y haga clic en Aceptar. Cuando est listo para instalar, haga clic en Iniciar la instalacin.
134
Instalar el software de cliente de Symantec Importar listas de equipos
Importar listas de equipos

En vez de seleccionar los equipos durante la instalacin del Asistente de implementacin mediante transferencia, es posible importar una lista de equipos.
Crear un archivo de texto de equipos para instalar

Es posible crear un archivo de texto de las direcciones IP de los equipos, importar este archivo de texto durante la implementacin del Asistente de implementacin mediante transferencia e implementar el software de cliente en los equipos especificados. Es posible tambin crear el archivo de texto exportando una lista de equipos que usted escribi uno por uno en un archivo de texto antes de que comience la implementacin. Nota: No se recomienda crear un archivo de texto de direcciones IP para los equipos que reciben direcciones IP asignadas por DHCP. Para crear un archivo de texto con direcciones IP para su importacin
1 2
En un editor de texto, como el Bloc de notas, cree un archivo de texto nuevo. Escriba las direcciones IP de cada uno de los equipos que desee importar en lneas distintas. Por ejemplo: 192.168.1.1 192.168.1.2 192.168.1.3 Puede marcar como comentario las direcciones IP que no desee importar, utilizando para ello un punto y coma (;) o dos puntos (:) delante de cada direccin. Por ejemplo, si en la lista de equipos ha incluido direcciones de equipos ubicados en una subred cuyo servicio sabe que se ha interrumpido, puede marcarlas como comentario para eliminar errores.
Guarde el archivo en un directorio.
Importar un archivo de texto de los equipos que desea instalar

Se importa el archivo de texto durante la instalacin del Asistente de implementacin mediante transferencia.
Instalar el software de cliente de Symantec Acerca de la instalacin y la implementacin de software con Altiris
135
Para importar un archivo de texto de los equipos que desea instalar
1 2 3
En el panel Seleccin de equipos, haga clic en Seleccionar. En el cuadro de dilogo Detalles del cliente, haga clic en Importar. Localice el archivo de texto que contenga las direcciones IP y haga doble clic en l. Durante el proceso de autenticacin, es posible que deba indicar un nombre de usuario y una contrasea para los equipos que lo requieran. El programa de instalacin tambin comprueba las condiciones de error. Se le preguntar si desea ver esta informacin equipo por equipo o si prefiere que se escriba la informacin en un archivo de registro para consultarlo posteriormente.
Finalice la instalacin.
Acerca de la instalacin y la implementacin de software con Altiris

Es posible instalar e implementar el software de cliente de Symantec usando el software de Altiris, que ahora es parte de Symantec. Altiris proporciona un componente integrado gratuito para Symantec Endpoint Protection que proporciona funcionalidades de instalacin predeterminadas, administracin integrada de clientes y elaboracin de informes de alto nivel. El software de Altiris permite a las organizaciones de tecnologa de la informacin administrar, proteger y proporcionar servicios a activos de TI heterogneos. Tambin admite transferencia de software, administracin de parches, aprovisionamiento y muchas otras funcionalidades de administracin. El software de Altiris ayuda a alinear servicios para conducir objetivos de negocio, proporcionar niveles de seguridad adecuados para auditoras, automatizar tareas y reducir los costos y la complejidad de la administracin. Para obtener informacin sobre el componente integrado para Symantec Endpoint Protection, vaya a la siguiente URL: https://kb.altiris.com/article.asp?article=35819&p=1 Para obtener informacin sobre Altiris, vaya a la siguiente URL: http://www.altiris.com Para descargar el componente de integracin para Symantec Endpoint Protection u otras soluciones de Altiris, vaya a la siguiente URL: http://www.altiris.com/Download.aspx
136
Instalar el software de cliente de Symantec Opciones de instalacin de otros fabricantes
Opciones de instalacin de otros fabricantes

El software de cliente de Symantec admite opciones de instalacin de otros fabricantes que es posible utilizar para implementar el software de cliente. Sin embargo, esta ayuda requiere un conocimiento avanzado de Windows o de las herramientas de administracin de otros fabricantes. Estas opciones resultan especialmente tiles para la instalacin de software de cliente de Symantec en redes de mayor tamao.
Acerca de la instalacin de clientes mediante productos de otros fabricantes

Es posible instalar los clientes de Symantec utilizando distintos productos de otros fabricantes, como Microsoft Active Directory, Tivoli, Microsoft Systems Management Server (SMS) o Novell ZENworks. Los nicos productos de otros fabricantes probados y admitidos son Novell ZENworks, Microsoft Active Directory y Microsoft SMS.
Acerca de la personalizacin de las instalaciones mediante opciones de .msi

Los paquetes de instalacin de software de cliente de Symantec son archivos de Windows Installer (.msi) que se pueden configurar e implementar mediante las opciones estndar de Windows Installer. Se pueden utilizar las herramientas de administracin de entornos que admitan la implementacin de .msi, como Active Directory o Tivoli, para instalar los clientes en una red. Ver "Acerca de la configuracin de cadenas de comando de MSI" en la pgina 215.
Acerca de la instalacin de clientes con Microsoft SMS 2003

Los administradores del sistema pueden utilizar Microsoft Systems Management Server (SMS) para instalar el software de cliente de Symantec. Se asume que los administradores del sistema que utilizan SMS han instalado previamente software con SMS. Como resultado, se asume que no es necesario proporcionar informacin detallada acerca de la instalacin de software de cliente de Symantec con SMS. El software de instalacin de clientes de Symantec requiere que Microsoft Installer 3.1 se ejecute en los equipos cliente antes de la instalacin. Este software se instala automticamente, si no estaba instalado, en los equipos cliente, pero solamente cuando se implementa con un solo archivo ejecutable setup.exe. Este software no se instala automticamente si se implementa con el archivo MSI. Los equipos con Windows Server 2003 con Service Pack 2 y Windows Vista incluyen Microsoft Installer 3.1 o superior. Si es necesario, primero implemente el archivo
137
WindowsInstaller-x86.exe incluido en los directorios de instalacin SEP y SNAC del CD de instalacin. La actualizacin a MSI 3.1 tambin implica reiniciar el equipo. Nota: Esta nota se aplica a la versin 2.0 de SMS y anteriores: Si realiza la implementacin de archivos mediante SMS, deber deshabilitar la funcin para mostrar el icono de estado en la barra de herramientas para cualquier actividad del sistema en los clientes en el Monitor de programas anunciados. En ocasiones, Setup.exe podra necesitar actualizar un archivo compartido que est en uso por el Monitor de programas anunciados. Si se est usando el archivo, no se podr llevar a cabo la instalacin. Para crear y distribuir el software de cliente de Symantec con SMS 2003, generalmente debe realizar las tareas siguientes:
Cree un paquete de instalacin de software con la Consola de Symantec Endpoint Protection Manager que contenga el software y las polticas que desee instalar en sus equipos cliente. Adems, este paquete de instalacin de software debe contener un archivo denominado Sylink.xml, que identifica el servidor que administra los clientes. Cree un directorio de origen y copie los archivos de instalacin de clientes de Symantec en ese directorio. Por ejemplo, se creara un directorio de origen que contiene los archivos de instalacin para el software de cliente de Symantec. Cree un paquete, asgnele un nombre e identifique el directorio de origen como parte del paquete. Configure el cuadro de dilogo Programa para el paquete a fin de especificar el ejecutable que inicia el proceso de instalacin y especifique el MSI con parmetros. Distribuya el software en colecciones especficas con anuncios.
Advertencia: No instale un paquete creado con archivos de instalacin copiados desde el CD de instalacin o de otros soportes, sin incluir Sylink.xml. Es necesario incluir un archivo Sylink.xml que se crea despus de instalar y de usar la Consola de Symantec Endpoint Protection Manager. Como mnimo, este archivo identifica el servidor de administracin al cual los clientes informarn. Si no se incluye este archivo y se instala un paquete que fue creado solamente con los archivos de instalacin, se instalarn clientes no administrados. Como resultado, usted podra instalar 1000 o ms clientes no administrados con las opciones predeterminadas, si administra una empresa grande.
138
Si desea ms informacin sobre el uso de SMS, consulte la documentacin de Systems Management Server de Microsoft.
Instalar clientes con un Objeto de directiva de grupo de Active Directory

Es posible instalar el software de cliente de Symantec usando un Objeto de directiva de grupo (GPO, Group Policy Object) de Active Directory de Windows 2000/2003. La manera ms fcil de implementar la poltica de grupo es con la Consola de administracin de directivas de grupo de Microsoft con Service Pack 1 o posterior. Este software est disponible gratuitamente en el sitio Web de Microsoft y se ejecuta en Windows Server 2003. En los procedimientos para instalar el software de cliente con un Objeto de directiva de grupo de Active Directory, se asume que usted ha instalado este software y que utiliza Windows 2003 Active Directory. Para instalar el software de cliente de Symantec usando un Objeto de directiva de grupo de Active Directory, es necesario hacer lo siguiente:

Crear la imagen de instalacin administrativa Copiar Sylink.xml a los archivos de instalacin Establecer la imagen de instalacin administrativa Crear una distribucin de software de objeto de directiva de grupo Crear un script de inicio de Windows Installer 3.1 Agregar equipos a la unidad organizativa

El software de instalacin requiere que los equipos cliente contengan y puedan ejecutar Windows Installer 3.1 o posterior. De forma predeterminada, los equipos cliente cumplen este requisito si ejecutan Windows XP con Service Pack 2 y posterior, Windows Server 2003 con Service Pack 1 y posterior, y Windows Vista. Si los equipos cliente no cumplen este requisito, el resto de los mtodos de instalacin instalan automticamente Windows Installer 3.1 inicindolo desde los archivos de instalacin. Por motivos de seguridad, los objetos de directiva de grupo de Windows no permiten el inicio del archivo ejecutable WindowsInstaller*.exe desde los archivos de instalacin. Por lo tanto, antes de instalar el software de cliente de Symantec, es necesario ejecutar este archivo en los equipos que no contienen y no ejecutan Windows Installer 3.1. Es posible ejecutar este archivo con un script de inicio del equipo. Antes de que decida utilizar objeto de directiva de grupo como mtodo de instalacin, debe desarrollar un enfoque para actualizar los equipos cliente que no contienen ni ejecutan Windows Installer 3.1.
139
La instalacin de clientes de Symantec utiliza los archivos .msi estndar de Windows Installer. Como resultado, es posible personalizar la instalacin de clientes con las propiedades y las funciones de .msi segn se explica en el apndice A. Por ltimo, confirme que el servidor DNS est instalado correctamente. Es muy importante que la instalacin sea correcta, ya que Active Directory depende del servidor DNS para la comunicacin de los equipos. Para probar el programa de instalacin, establezca una comunicacin ping con el equipo de Windows Active Directory y despus establezca una comunicacin ping en la direccin opuesta. Utilice el nombre de dominio completo. Utilizar el nombre del equipo solamente no requiere nuevas operaciones de bsqueda DNS. Utilice el siguiente formato:
ping nombreequipo.nombredominiocompleto.com
Es necesario tambin probar la instalacin de GPO con una pequea cantidad de equipos antes de implementarlo en los equipos de produccin. Si el DNS no se configura correctamente, las instalaciones de GPO pueden tardar una hora o ms.
Crear la imagen de instalacin administrativa

Las instalaciones Objeto de directiva de grupo que utilizan Windows Installer 3.0, o una versin anterior, requieren imgenes administrativas de los archivos de instalacin de clientes. Esta imagen no es un requisito para las instalaciones en la versin 3.1 y posteriores, y es opcional. Si no se crea la imagen administrativa, igual es necesario copiar el contenido de la carpeta de SEP del CD al equipo. Para crear la imagen de instalacin administrativa
1 2 3 4 5
Copie el contenido de la carpeta SEP del CD a su equipo. Desde una lnea de comandos, dirjase a la carpeta SEP y escriba msiexec /a
"Symantec AntiVirus.msi"
En el panel de bienvenida, haga clic en Siguiente. En el panel Ubicacin de red, especifique la ubicacin donde desea crear la imagen de instalacin administrativa y, a continuacin, haga clic en Instalar. Haga clic en Finalizar.
Copiar Sylink.xml a los archivos de instalacin

Cuando se instala una instancia de Symantec Endpoint Protection Manager, la instalacin crea un archivo denominado Sylink.xml. Los clientes de Symantec leen el contenido de este archivo para saber qu instancia de Symantec Endpoint Protection Manager administra el cliente. Si no copia este archivo a los archivos de instalacin antes de instalar el software de cliente, se crearn clientes no administrados. Si no ha creado por lo menos un grupo nuevo con la consola de
140
administracin, el archivo Sylink.xml hace que los clientes aparezcan en el grupo temporal. Nota: Esta informacin no se aplica a los paquetes que se exportan con la Consola de Symantec Endpoint Protection Manager. Estos paquetes contienen sylink.xml. Para copiar Sylink.xml a los archivos de instalacin
1 2
Si an no lo ha hecho, instale Symantec Endpoint Protection Manager. Localice un archivo Sylink.xml en una de las carpetas de la bandeja de salida. De forma predeterminada, estas carpetas se encuentran en \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\uid\. Es posible que deba abrir y leer los archivos Sylink.xml en los diversos archivos uid con un programa de edicin de texto para encontrar el archivo deseado.
3 4
Si es necesario, copie Sylink.xml en soportes extrables. Copie Sylink.xml usando uno de los siguientes mtodos:
Si cre una imagen administrativa del archivo de instalacin, sobrescriba el archivo Sylink.xml en la carpeta \\directorio_instalacin\Program Files\Symantec Endpoint Protection Manager\. Si no cre una imagen administrativa del archivo de instalacin, copie el contenido de la carpeta SEP del CD a una carpeta de destino en su equipo. A continuacin, copie el archivo Sylink.xml en esa carpeta de destino.
Preparar los archivos de instalacin

Preparar los archivos de instalacin implica compartir la carpeta que contiene o contendr los archivos de instalacin de clientes. Para preparar los archivos de instalacin
1 2 3 4 5
Si es necesario, copie la carpeta que contiene los archivos de instalacin de clientes a una carpeta que est compartida o vaya a estarlo. Haga clic con el botn secundario en la carpeta y despus haga clic en Compartir y seguridad. En el cuadro de dilogo Propiedades, en la ficha Uso compartido, marque Compartir esta carpeta y despus haga clic en Permisos. En el cuadro de dilogo Permisos, bajo Nombres de grupos o usuarios, haga clic en Todos y despus haga clic en Quitar. Haga clic en Agregar.
141
6 7 8
Bajo Escribir los nombres de objeto para seleccionar, escriba Usuarios autentificados y haga clic en Comprobar nombres. Escriba Equipos del dominio, haga clic en Comprobar nombres y despus haga clic en Aceptar. En el cuadro de dilogo Permisos, haga clic en Aplicar y despus haga clic en Aceptar.
Crear una distribucin de software de objeto de directiva de grupo

En este procedimiento, se asume que usted ha instalado la Consola de administracin de directivas de grupo de Microsoft con Service Pack 1 o mayor. En este procedimiento, tambin se asume que hay equipos en el grupo de equipos o en otro grupo en los cuales se desea instalar el software de cliente. Arrastre estos equipos a un nuevo grupo que cree. Nota: Si se habilita el Control de cuentas de usuario (UAC), es necesario habilitar Instala siempre con privilegios elevados en Configuracin del equipo y Configuracin de usuario a fin de instalar el software de cliente de Symantec con un GPO. Configurar estas opciones permite que todos los usuarios de Windows, incluidos los usuarios estndar, instalen el software de cliente de Symantec. Para crear un paquete de GPO
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Administracin de directivas de grupo. En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola, haga clic con el botn secundario en el dominio y despus haga clic en Usuarios y equipos de Active Directory. En la ventana Usuarios y equipos de Active Directory, haga clic con el botn secundario en Dominio y despus haga clic en Nueva > Unidad organizativa. En el cuadro de dilogo Nuevo objeto, en el cuadro Nombre, escriba un nombre para su unidad organizativa y haga clic en Aceptar. En la ventana Usuarios y equipos de Active Directory, haga clic en Archivo > Salir. En la ventana Administracin de directivas de grupo, en el rbol de la consola, haga clic con el botn secundario en la unidad organizativa que usted cre y despus haga clic en Crear y vincular un GPO aqu. Puede ser necesario actualizar el dominio para ver su nueva unidad organizativa.
3 4 5 6
142
7 8 9
En el cuadro de dilogo Nuevo GPO, en el cuadro Nombre, escriba un nombre para su GPO y haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en el GPO que usted cre y despus haga clic en Editar. En la ventana Editor de objetos de directiva de grupo, en el panel izquierdo, bajo Configuracin del equipo, ample Configuracin de software. haga clic en Nuevo > Paquete.
10 Haga clic con el botn secundario en Instalacin de software y, a continuacin, 11 En el cuadro de dilogo Abrir, escriba la ruta de convencin de nomenclatura
universal (UNC) que hace referencia al paquete de MSI y lo contiene. Utilice el formato segn el ejemplo siguiente:
\\nombre de servidor\SharedDir\Symantec AntiVirus.msi
12 Haga clic en Abrir. 13 En el cuadro de dilogo Implementar software, haga clic en Asignado y
despus haga clic en Aceptar. El paquete aparece en el panel derecho de la ventana Editor de objetos de directiva de grupo si usted selecciona Instalacin de software. Para configurar plantillas para el paquete
En la ventana Editor de objetos de directiva de grupo, en el rbol de la consola, muestre y habilite las opciones siguientes:
Bajo Configuracin > Plantillas administrativas > Windows Installer > Instalar siempre con privilegios elevados Configuracin del equipo > Plantillas administrativas > Sistema > Inicio de sesin > Esperar siempre la deteccin de red al inicio del equipo y de sesin Configuracin del equipo > Plantillas administrativas > Sistema > Directiva de grupo > Procesamiento de directivas de instalacin de software Configuracin de usuario > Plantillas administrativas > Componentes de Windows > Windows Installer > Instalar siempre con privilegios elevados
2 3
Cierre la ventana del Editor de objetos de directiva de grupo. En la ventana Administracin de directivas de grupo, en el panel izquierdo, haga clic con el botn secundario en el objeto de directiva de grupo que usted edit y despus haga clic en Forzado.
143
4 5
En el panel derecho, bajo Filtrado de seguridad, haga clic en Agregar. En el cuadro de dilogo, bajo Escriba el nombre de objeto a seleccionar, escriba Equipos del dominio y haga clic en Aceptar.
Crear un script de inicio de Windows Installer 3.1

Es necesario instalar Windows Installer 3.1 en los equipos que contienen y ejecutan versiones anteriores de Windows Installer. Es posible visualizar las versiones de Windows Installer ejecutando msiexec /? en una lnea de comandos. Windows Installer 3.1 es obligatorio para el paquete de instalacin GPO. Usted puede elegir la forma en que se instale Windows Installer 3.1 en los equipos. Nota: Los usuarios restringidos no pueden ejecutar Windows Installer 3.1, y los usuarios restringidos con privilegios elevados no pueden ejecutar Windows Installer 3.1. Los usuarios restringidos se configuran con la poltica de seguridad local. Una forma de instalar Windows Installer 3.1 es con un script de inicio del equipo de GPO. Los scripts de inicio se ejecutan antes que los archivos de instalacin .msi de GPO cuando los equipos se reinician. Si se utiliza este enfoque, tenga en cuenta que el script de inicio ejecuta y reinstala Windows Installer cada vez que se reinicia el equipo. Si lo instala en modo silencioso, sin embargo, los usuarios experimentan un retraso leve antes de ver la pantalla de inicio de sesin. El software de cliente de Symantec se instala solamente una vez con un GPO. Para instalar Windows Installer 3.1
En la ventana Administracin de directivas de grupo, en el rbol de la consola, ample su unidad organizativa, haga clic con el botn secundario en su paquete y despus haga clic en Editar. En la ventana Editor de objetos de directiva de grupo, en el rbol de la consola, expanda Configuracin del equipo > Configuracin de Windows y despus haga clic en Scripts (Inicio/Cierre). En el panel derecho, haga doble clic en Inicio. En el cuadro de dilogo Propiedades de inicio, haga clic en Mostrar archivos. En una nueva ventana, visualice el contenido de su carpeta de archivo de instalacin de GPO y despus copie WindowsInstaller-893803-x86.exe desde esa ventana y carpeta a la ventana y carpeta Inicio. Vuelva a abrir el cuadro de dilogo Propiedades de inicio y haga clic en Agregar. En el cuadro de dilogo Agregar un script, haga clic en Examinar.
3 4 5
6 7
144
8 9
En el cuadro de dilogo Examinar, seleccione el archivo ejecutable de Windows Installer y despus haga clic en Abrir. En el cuadro de dilogo Agregar un script, en el cuadro Parmetros de script, escriba /quiet /norestart y haga clic en Aceptar.
10 En el cuadro de dilogo Propiedades de inicio, haga clic en Aceptar. 11 Salga de la ventana del administrador de objetos de directiva de grupo.
Agregar equipos a la unidad organizativa y software de instalacin

Est ya listo para agregar equipos a la unidad organizativa. Cuando los equipos se reinician, el proceso de instalacin de software de cliente comienza. Cuando los usuarios inician sesin en los equipos, el proceso de instalacin de software de cliente termina. La actualizacin de la poltica de grupo, sin embargo, no es instantnea. Por lo tanto, la propagacin de esta poltica puede tardar un tiempo. Este procedimiento, sin embargo, contiene los comandos que es posible ejecutar en los equipos cliente para actualizar la poltica cuando lo necesite. Para agregar los equipos a la unidad organizativa e instalar software
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Usuarios y equipos de Active Directory. En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola, localice uno o ms equipos para agregarlos a la unidad organizativa que usted cre para la instalacin de GPO. Los equipos primero aparecen en la unidad organizativa de los equipos.
3 4 5 6
Arrastre los equipos y sultelos en la unidad organizativa que usted cre para la instalacin. Cierre la ventana Usuarios y equipos de Active Directory. Para aplicar rpidamente los cambios a los equipos cliente (para la prueba), abra una lnea de comandos en los equipos cliente. Escriba uno de los siguientes comandos y presione Intro.
En los equipos con Windows 2000, escriba secedit /refreshpolicy machine_policy. En los equipos con Windows XP o superior, escriba gpupdate.
Instalar el software de cliente de Symantec Iniciar la interfaz de usuario del cliente
145
Desinstalar el software de cliente con un Objeto de directiva de grupo de Active Directory

Es posible tambin desinstalar el software de cliente que se instal con Active Directory. Para desinstalar el software de cliente con un Objeto de directiva de grupo de Active Directory
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Administracin de directivas de grupo. En la ventana Administracin de directivas de grupo, en el rbol de la consola, expanda el dominio, Configuracin del equipo y Configuracin de software, haga clic con el botn secundario en Instalacin de software y despus haga clic en Propiedades. En la ficha Avanzadas, marque Desinstalar esta aplicacin cuando est fuera del mbito de administracin y despus haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en el paquete de software y despus haga clic en Quitar. En el cuadro de dilogo Quitar software, marque Desinstalar inmediatamente el software de usuarios y equipos y despus haga clic en Aceptar. Cierre la ventana Editor de objetos de directiva de grupo y despus cierre la ventana Administracin de directivas de grupo. El software se desinstala cuando se reinician los equipos cliente.
3 4 5 6
Iniciar la interfaz de usuario del cliente

Es posible iniciar la interfaz de usuario del cliente en los clientes administrados y no administrados mediante el men Inicio de Windows o es posible hacer doble clic en el icono de la barra de tareas de Windows. Windows Server 2008 Server Core proporciona solamente una interfaz de lnea de comandos. Es posible iniciar la interfaz de usuario del cliente manualmente ejecutando el archivo SymCorpUI.exe que se almacena en la carpeta de instalacin de Symantec Endpoint Protection. Para iniciar la interfaz de usuario del cliente
Realice uno de los pasos siguientes:
En el men men Inicio de Windows, haga clic en Inicio > Todos los Programas > Symantec Endpoint Protection > Symantec Endpoint Protection.
146
Instalar el software de cliente de Symantec Desinstalar el software de cliente
En el men men Inicio de Windows, haga clic en Inicio > Todos los Programas > Symantec Network Access Control > Symantec Network Access Control. En la barra de tareas de Windows, en el rea de la notificacin, haga doble clic en el icono Symantec Endpoint Protection o Symantec Network Access Control.
Para iniciar la interfaz de usuario del cliente en Windows Server 2008 Server Core
En una lnea de comandos, realice una de las siguientes acciones:
En los servidores de 32 bits de Windows Server 2008 Server Core, ejecute el comando siguiente:
cd C:\Program Files\Symantec\Symantec Endpoint Protection
En los servidores de 64 bits de Windows Server 2008 Server Core, ejecute el comando siguiente:
cd C:\Program Files (x86)\Symantec\Symantec Endpoint Protection
Ejecute el comando siguiente:

symcorpui.
Desinstalar el software de cliente

Es posible desinstalar el software de cliente con la utilidad Agregar y quitar de Windows. Si desinstala el software del cliente de Symantec Endpoint Protection que ejecuta una poltica que bloquea dispositivos de hardware, los dispositivos siguen siendo bloqueados despus de desinstalar el software. Para desbloquear los dispositivos, utilice Herramientas administrativas > Administracin de equipos > Administrador de dispositivos.
Desinstalar el software de cliente en Windows Server 2008 Server Core

La instalacin Server Core de Windows Server 2008 ofrece una interfaz de lnea de comandos solamente. Es posible, sin embargo, administrar instalaciones Server Core con herramientas de administracin remota. Para desinstalar el software de cliente en Windows Server 2008 Server Core
1 2
Inicie el Editor del Registro con el comando Regedit. Ubique la clave siguiente: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
147
3 4
Seleccione y copie el nombre de la clave {cadena de desinstalacin} de Symantec Endpoint Protection. En una lnea de comandos, ejecute el comando siguiente:
msiexec.exe /x {cadena_de_desinstalacin}
148
Captulo
Instalar los servidores de Cuarentena y de LiveUpdate


Antes de proceder a la instalacin Instalar y configurar la Cuarentena central Acerca del uso de un servidor de Symantec LiveUpdate Dnde conseguir ms informacin sobre la configuracin de un servidor de LiveUpdate Desinstalar componentes de administracin de Symantec Endpoint Protection

Symantec Endpoint Protection y Symantec Network Access Control incluyen los componentes de administracin opcionales que puede utilizar como ayuda para administrar clientes y servidores. Symantec Endpoint Protection incluye los servidores de administracin de Cuarentena central y de LiveUpdate. Symantec Network Access Control incluye un servidor de administracin de LiveUpdate solamente. Un servidor de administracin de LiveUpdate es especialmente til en las redes grandes que contienen varios productos de Symantec que ejecutan LiveUpdate.
Instalar y configurar la Cuarentena central

El servidor de cuarentena recibe envos de virus y riesgos de seguridad de los clientes de Symantec Endpoint Protection y los remite a Symantec. La consola de cuarentena le permite administrar el Servidor de cuarentena y estos envos. Si
150
Instalar los servidores de Cuarentena y de LiveUpdate Instalar y configurar la Cuarentena central
determina que la red requiere una ubicacin centralizada para todos los archivos en cuarentena, puede instalar Cuarentena central. La Cuarentena central se compone del Servidor de cuarentena y la consola de cuarentena. La consola y el Servidor de cuarentena se pueden instalar en el mismo equipo o en equipos distintos con los sistemas operativos de Windows admitidos. Nota: Si instala el Servidor de cuarentena o la consola de cuarentena desde las carpetas de instalacin individuales del CD, ejecute Setup.exe en lugar de ejecutar el archivo .msi. Al utilizar Setup.exe, se garantiza que se instalen todos los archivos que Windows Installer necesita en el equipo de destino antes de ejecutar el paquete de instalacin .msi. Para obtener informacin ms detallada, consulte la Gua de administracin de Cuarentena central de Symantec en el CD de instalacin. Para instalar la Cuarentena central, se deben realizar las tareas siguientes en el orden en que se mencionan:

Instalar la consola de cuarentena Instalar el Servidor de cuarentena Configurar los grupos para que utilicen Cuarentena central
Nota: Instale la consola de cuarentena primero y luego instale el Servidor de cuarentena. Si no sigue este orden, AMS no se configura correctamente. Si no sigue este orden y desea configurar correctamente AMS, asocie AMS con el Servidor de cuarentena con propiedades de alerta. A continuacin, reinicie el Servidor de cuarentena.
Instalar la consola de cuarentena

La consola de cuarentena le permite administrar envos al Servidor de cuarentena.
151
Para instalar la consola de cuarentena
En el equipo en el cual se instala la Consola de Symantec Endpoint Protection Manager, inserte el CD de instalacin en la unidad de CD-ROM. Si el equipo no est configurado para ejecutar automticamente el CD, tendr que ejecutar manualmente Setup.exe.
2 3
En el panel principal, haga clic en Instalar otras herramientas para el administrador > Instalar consola de Cuarentena central. Siga las instrucciones que aparezcan en la pantalla para completar la instalacin.
Instalar el Servidor de cuarentena

El Servidor de cuarentena recibe envos de virus. El Servidor de cuarentena requiere reiniciar despus de la instalacin. Para instalar el Servidor de cuarentena
Introduzca el CD de instalacin en la unidad de CD-ROM del equipo en el que desee instalar el Servidor de cuarentena. Si el equipo no est configurado para ejecutar automticamente el CD, tendr que ejecutar manualmente Setup.exe.
2 3 4 5
Haga clic en Instalar otras herramientas para el administrador > Instalar servidor de Cuarentena central. En el panel de bienvenida, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente. En el panel Carpeta de destino, realice una de las acciones siguientes:

Para aceptar la carpeta de destino predeterminada, haga clic en Siguiente. Haga clic en Cambiar, localice una carpeta de destino y seleccinela, haga clic en Aceptar y, a continuacin, en Siguiente.
En el panel Tipo de instalacin, seleccione lo siguiente:
Internet (recomendado) y haga clic en Siguiente.
La opcin Correo electrnico ya no se admite.
En el panel Mximo espacio en disco, introduzca la cantidad de espacio en disco que desea destinar en el servidor para los envos de Cuarentena central por parte de los clientes y, a continuacin, haga clic en Siguiente.
152
En el panel Informacin de contacto, escriba el nombre de su empresa, el ID o el nmero de cuenta de Symantec y la informacin de contacto y, a continuacin, haga clic en Siguiente. En el panel Comunicacin por Web, modifique la direccin de gateway si es necesario y haga clic en Siguiente. De forma predeterminada, el campo Nombre de gateway se completa con la direccin de sta.
10 En el panel Configuracin de alertas, marque Activar alertas para utilizar

AMS y haga clic en Siguiente.
11 En el panel Preparado para instalar el programa, haga clic en Instalar y siga

las instrucciones de la pantalla para completar la instalacin.
12 Escriba la direccin o el nombre de host del equipo en el que haya instalado

el Servidor de cuarentena y el nmero de puerto. Necesitar esta informacin cuando configure programas de cliente para enviar elementos a Cuarentena central.
Configurar los grupos para que utilicen Cuarentena central

Para configurar las comunicaciones de red de Cuarentena central, es necesario especificar el puerto en el que el Servidor de cuarentena escucha. Es necesario tambin crear y aplicar a un grupo una poltica antivirus que especifique el equipo y el puerto del Servidor de cuarentena. Se configura el puerto de escucha del Servidor de cuarentena con Symantec Quarantine Console y usted crea la poltica antivirus con la Consola de Symantec Endpoint Protection Manager. Nota: La interfaz del usuario de la consola de cuarentena permite seleccionar el protocolo IP o el protocolo SPX, y especificar el nmero de puerto que se configura. Este protocolo y nmero de puerto de IP es TCP. No seleccione SPX. Adems, el nmero de puerto TCP que usted escribe no es el que aparece para el puerto de escucha del Servidor de cuarentena cuando se visualiza con herramientas como netstat -a. Por ejemplo, si usted escribe el nmero de puerto 33, netstat -a muestra el puerto TCP 8448. Los nmeros hexadecimales y decimales se convierten y se transportan incorrectamente. Para obtener informacin ms detallada, vaya a siguiente URL: http://entsupport.symantec.com/docs/n2000081412370148
153
Para configurar el Servidor de cuarentena
En el panel izquierdo de la consola de Cuarentena central de Symantec, en el rbol de raz de la consola, haga clic con el botn secundario en Symantec Central Quarantine y, a continuacin, haga clic en Propiedades. En la ficha General, bajo Protocolos, marque Escucha en IP. SPX ya no se admite.
En el cuadro Puerto de Escucha en IP, escriba el nmero de puerto en el cual se escucharn los envos de clientes. Este nmero de puerto es TCP/IP. No escriba un nmero de puerto conocido asignado por IANA sin saber si se utiliza en su red. Por ejemplo, no escriba el nmero de puerto 21 porque est reservado para las comunicaciones FTP.
Para configurar una poltica antivirus
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En el panel Ver polticas, haga clic en Antivirus y proteccin contra software espa. En el panel Tareas, haga clic en Agregar una poltica antivirus y contra software espa. Es posible tambin editar una poltica ya existente.
4 5
En la ventana Poltica antivirus y contra software espa, en el panel izquierdo, haga clic en Envos. Bajo Elementos en cuarentena, marque Permitir que los equipos cliente enven automticamente elementos de la cuarentena a un servidor de cuarentena. En el cuadro de nmero Servidor, escriba el nombre de dominio completo o la direccin IP del Servidor de cuarentena. En el cuadro de nmero Puerto, acepte o modifique el nmero de puerto predeterminado. En el cuadro Reintentar, acepte o modifique el intervalo de reintento cuando haya errores en las comunicaciones del Servidor de cuarentena. Haga clic en Aceptar.
6 7 8 9
10 En el cuadro de dilogo de advertencia Asignar poltica, haga clic en S. 11 Seleccione a los grupos para la poltica y haga clic en Asignar. 12 Haga clic en S para confirmar sus cambios.
154
Instalar los servidores de Cuarentena y de LiveUpdate Acerca del uso de un servidor de Symantec LiveUpdate
Acerca del uso de un servidor de Symantec LiveUpdate

LiveUpdate es la utilidad que actualiza los equipos cliente con definiciones de antivirus, firmas de deteccin de intrusiones, parches de producto, etc. En entornos no administrados, LiveUpdate generalmente se configura en los equipos cliente para conectarse directamente a los servidores de Symantec LiveUpdate. En entornos administrados de redes pequeas a medianas, LiveUpdate generalmente se configura en los equipos cliente para conectarse a Symantec Endpoint Protection Manager. En redes grandes administradas, los problemas de conservacin de ancho de banda a travs de gateways de Internet pueden ser muy importantes. Cuando estos problemas son importantes, es posible instalar y configurar uno o varios servidores de LiveUpdate para descargar actualizaciones. A continuacin, es posible distribuir las actualizaciones a los servidores de administracin o directamente a los clientes. La Figura 6-1 ilustra las tres arquitecturas de red que admiten los servidores de LiveUpdate.
Instalar los servidores de Cuarentena y de LiveUpdate Acerca del uso de un servidor de Symantec LiveUpdate
155
Figura 6-1
Arquitecturas de distribucin de LiveUpdate
Symantec LiveUpdate
Servidor de LiveUpdate
Servidor de administracin Grupo de clientes
Servidor proxy de LiveUpdate
Grupo de clientes
Grupo de clientes
La arquitectura de la izquierda es la ms simple de implementar. Para implementar esta arquitectura, usted modifica una opcin para el sitio de administracin. La arquitectura del centro es un poco ms difcil de implementar. Para implementarla, usted modifica una opcin para el sitio de administracin y modifica la poltica de LiveUpdate que se aplica al grupo. La arquitectura de la derecha es la ms difcil de implementar e incluye un servidor proxy de LiveUpdate.
156
Instalar los servidores de Cuarentena y de LiveUpdate Dnde conseguir ms informacin sobre la configuracin de un servidor de LiveUpdate
Nota: Esta documentacin no describe cmo configurar los sitios o las polticas de Symantec Endpoint Protection para implementar estas arquitecturas de LiveUpdate. Esta documentacin describe cmo instalar solamente la utilidad de administracin de LiveUpdate y el Servidor. Para implementar completamente estas arquitecturas de LiveUpdate, consulte Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control.
Dnde conseguir ms informacin sobre la configuracin de un servidor de LiveUpdate

Para conocer los procedimientos de configuracin ms recientes, consulte la Gua de inicio del Administrador de Symantec LiveUpdate ubicada en la carpeta DOCUMENTACIN del CD de instalacin.
Desinstalar componentes de administracin de Symantec Endpoint Protection

Puede desinstalar todos los componentes de administracin de Symantec Endpoint Protection mediante la opcin Agregar o quitar programas del Panel de control del equipo local.
Seccin
Migracin y actualizacin
Migrar de Symantec AntiVirus y Symantec Client Security Migrar software de versin anterior de Symantec Sygate Actualizar a los nuevos productos de Symantec
158
Captulo
Migrar de Symantec AntiVirus y Symantec Client Security


Descripcin y secuencia de migracin Rutas de migracin compatibles e incompatibles Preparar instalaciones de versiones anteriores para la migracin Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuracin Acerca de la migracin de grupos y opciones Acerca de las opciones que no se migran Acerca de los paquetes y la implementacin Instalar Symantec Endpoint Protection Manager Migrar opciones de configuracin de grupos de clientes y servidores Verificar la migracin y actualizar polticas migradas Migrar clientes no administrados Qu se ha modificado para los administradores de versiones anteriores
160
Migrar de Symantec AntiVirus y Symantec Client Security Descripcin y secuencia de migracin
Descripcin y secuencia de migracin

Lea toda la informacin de este captulo antes de migrar clientes y servidores de versiones anteriores de Symantec AntiVirus y Symantec Client Security. Tambin, pruebe todos los procedimientos de este captulo en un entorno de prueba antes de migrar clientes y servidores de versiones anteriores de Symantec AntiVirus y Symantec Client Security. Siga esta secuencia para crear su entorno de prueba y probar la migracin:
Cree un entorno de prueba de por lo menos tres equipos. Si es posible, cree un entorno de prueba que se asemeje a su infraestructura de administracin. Si tiene varios servidores de administracin, instale varios servidores de administracin. Por ejemplo, si tiene varios grupos de servidores, cree varios grupos de servidores. Instale una versin anterior compatible de Symantec System Center, un servidor de administracin primario y un cliente administrado en diversos equipos de prueba. Desinstale el servidor de informes, si lo instal. Utilice Symantec System Center para configurar las opciones del servidor de administracin y el cliente que prepara la migracin. Instale Symantec Endpoint Protection Manager en un equipo de su entorno de prueba e inicie sesin.
A continuacin, decida si desea migrar sus grupos y opciones de Symantec System Center a Symantec Endpoint Protection Manager. Si no desea migrar sus grupos y opciones, es posible crear nuevos grupos, polticas y paquetes de instalacin con Symantec Endpoint Protection Manager. Despus, migre los clientes y los servidores de versiones anteriores, desinstale Symantec System Center y migre el cliente o el servidor de una versin anterior que protege ese equipo. Para migrar sus grupos y opciones, es necesario entender cmo se migran los grupos y las opciones, y cmo se implementan en clientes y servidores de versiones anteriores. Especficamente, es necesario hacer lo siguiente:
Lea las opciones para migrar opciones de grupo de Symantec System Center a las polticas de la Consola de Symantec Endpoint Protection Manager. Lea cmo se crean los paquetes de instalacin de clientes, dnde se encuentran y cmo afectan a los equipos cliente despus de la migracin. Si no implementa los paquetes de instalacin de clientes con herramientas de otros fabricantes, tales como SMS, lea y comprenda sus opciones para usar el Asistente de implementacin mediante transferencia para implementar paquetes de instalacin de clientes.
Migrar de Symantec AntiVirus y Symantec Client Security Rutas de migracin compatibles e incompatibles
161
Particularmente, considere si desea exportar una lista de equipos cliente a un archivo de texto desde Symantec System Center para cada servidor de administracin. A continuacin importe este archivo al Asistente de implementacin mediante transferencia para la implementacin. Utilice el Asistente para migracin e implementacin para realizar la migracin en este entorno de prueba y crear sus paquetes de instalacin de clientes. Decida qu paquetes de instalacin se implementarn para la migracin.
Una vez que cree sus paquetes de instalacin, decida cules para desea implementar en los clientes y los servidores de administracin de versiones anteriores. Se recomienda implementar los paquetes y verificar su implementacin en la secuencia siguiente:
Implemente un paquete de instalacin de clientes en uno o ms clientes. Verifique que los clientes aparezcan en los grupos correctos en la Consola de Symantec Endpoint Protection Manager. Verifique que la poltica de configuracin de LiveUpdate y las polticas antivirus y contra software espa para el cliente se hayan migrado correctamente. Implemente un paquete de instalacin de clientes en uno o ms servidores de administracin de una versin anterior. Verifique que los servidores aparezcan en los grupos correctos en la Consola de Symantec Endpoint Protection Manager. Verifique que la poltica de configuracin de LiveUpdate y las polticas antivirus y contra software espa para el servidor se hayan migrado correctamente. Desinstale Symantec System Center. Instale un paquete de instalacin de clientes en el equipo que ejecut Symantec System Center.
Finalmente, si modific las opciones de Symantec System Center segn las recomendaciones para la migracin, localice estas opciones en la poltica de configuracin de LiveUpdate y las polticas antivirus y contra software espa. A continuacin, recupere la configuracin original. Por ejemplo, una recomendacin era deshabilitar los anlisis programados, que deben habilitarse en las polticas antivirus y contra software espa para cada grupo. Cuando se sienta cmodo y confiado con la migracin en su entorno de prueba, estar listo para comenzar la migracin de su red de produccin.
Rutas de migracin compatibles e incompatibles

Entienda qu migraciones son compatibles, cules se bloquean y cules son incompatibles. Si tiene software de una versin anterior que bloquea la migracin,
162
Migrar de Symantec AntiVirus y Symantec Client Security Rutas de migracin compatibles e incompatibles
es necesario desinstalar este software. Si tiene software de una versin anterior que no es compatible con la migracin, decida si desea desinstalarlo. Por ejemplo, si ejecuta Symantec AntiVirus en equipos con NetWare, probablemente desee seguir ejecutando el software de versin anterior en esos equipos.
Migraciones compatibles
Las rutinas de instalacin de clientes comprueban la existencia del siguiente software y migran el software si se detecta:

Cliente y servidor de Symantec AntiVirus 9.x y posterior Cliente y servidor de Symantec Client Security 2.x y posterior
Migraciones que se bloquean

Las rutinas de instalacin de clientes comprueban la existencia del siguiente software y bloquean la migracin si se detecta este software:

Cliente y servidor de Symantec AntiVirus 8.x y anterior Cliente y servidor de Symantec Client Security 1.x Symantec Client Firewall 5.0 Symantec System Center, todas las versiones Symantec Reporting Server 10.x Confidence Online Heavy by Whole Security, todas las versiones Norton AntiVirus y Norton Internet Security, todas las versiones
Es necesario desinstalar este software primero y luego instalar los clientes de Symantec Endpoint Protection.
Migraciones incompatibles
El software siguiente no se migra y puede coexistir en el mismo equipo que el software de cliente de Symantec Endpoint Protection:

Symantec Client Firewall Administrator, todas las versiones LiveUpdate Server Para instalar la ltima versin de LiveUpdate Server, primero desinstale la versin anterior. Los equipos con NetWare que ejecutan cualquier versin de Symantec AntiVirus Los sistemas operativos NetWare no se admiten con esta versin. Contine protegiendo estos equipos con las versiones anteriores.
Migrar de Symantec AntiVirus y Symantec Client Security Preparar instalaciones de versiones anteriores para la migracin
163
Clientes y servidores de Symantec AntiVirus y Symantec Client Security que se ejecutan en hardware Itanium El hardware Itanium no se admite con esta versin. Contine protegiendo estos equipos con las versiones anteriores.
Acerca de la migracin de Cuarentena central

Para migrar la consola y el servidor de Cuarentena central, es necesario desinstalar y despus reinstalar ambos componentes.
Preparar instalaciones de versiones anteriores para la migracin

Con Symantec System Center, es necesario modificar la configuracin de los clientes y los servidores para simplificar el proceso de migracin. Por ejemplo, si un cliente ejecuta un anlisis antivirus durante la migracin, sta se bloquear hasta que el anlisis finalice y la migracin puede fallar. Tambin es necesario deshabilitar la funcin de contrasea de desinstalacin para el software de cliente, si est habilitada. Si no lo hace, se les solicitar a los usuarios que escriban la contrasea en el modo interactivo. Nota: Si migra grupos y opciones desde Symantec System Center, la poltica de configuracin de LiveUpdate y las polticas antivirus y contra software espa migradas que se crean para estos grupos contienen estas modificaciones. Es posible revertir estas opciones. Por ejemplo, es posible activar anlisis programados. Tampoco es necesario deshabilitar la contrasea de desinstalacin, si est habilitada. La migracin omite la contrasea.
Preparar todas las instalaciones de versiones anteriores

Estos procedimientos se aplican a todas las instalaciones de software de versiones anteriores compatibles con la migracin. Nota: Si utiliza grupos de clientes y esos grupos no heredan una configuracin, prepare estos grupos de la misma manera en que se preparan los grupos de servidores y los servidores de administracin.
164
Deshabilitar anlisis programados

Si un anlisis est programado para ejecutarse y se est ejecutando al tiempo que ocurre la migracin del cliente, la migracin puede fallar. Se recomienda deshabilitar los anlisis programados durante la migracin y habilitarlos despus de la migracin. Para deshabilitar anlisis programados
En Symantec System Center, realice una de las siguientes acciones:

Haga clic con el botn secundario en un servidor de administracin. Haga clic con el botn secundario en un grupo de clientes.
2 3 4 5
Haga clic en Todas las tareas > Symantec AntiVirus > Anlisis programados. En el cuadro de dilogo Anlisis programados, en la ficha Anlisis de servidor, deje sin marcar todos los anlisis programados. En la ficha Anlisis de clientes, deje sin marcar todos los anlisis programados y haga clic en Aceptar. Repita este procedimiento para todos los servidores de administracin primarios, los servidores de administracin secundarios y todos los grupos de clientes.
Configurar Cuarentena central y archivos en cuarentena

El Servidor de cuarentena ya no admite actualizaciones de los equipos cliente con las ltimas definiciones. Por lo tanto, es preferible que no actualice los equipos cliente con las ltimas definiciones durante una migracin. Adems, la migracin de archivos en cuarentena no es necesaria. Para configurar Cuarentena central y elementos de cuarentena
1 2 3 4
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de cuarentena. En el cuadro de dilogo Opciones de cuarentena, haga clic en Opciones de depuracin. En el cuadro de dilogo Opciones de depuracin, configure todos los valores de tiempo a 1 da y configure todos los valores de lmite del tamao del directorio a 1 MB. Active todas las casillas de verificacin. Haga clic en Aceptar.
165
6 7 8
En el cuadro de dilogo Opciones de cuarentena, deje sin marcar la opcin Habilitar cuarentena y Asistente de anlisis y envo. Bajo Cuando lleguen nuevas definiciones de virus, marque No hacer nada y haga clic en Aceptar. Repita este procedimiento para todos los grupos de servidores, si tiene ms de uno.
Eliminar historiales
Todos los historiales se almacenan en una base de datos. La eliminacin del archivo de historiales acelera el proceso de migracin. Para eliminar los historiales
1 2 3 4 5
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Configurar historial. En el cuadro de dilogo Opciones de historias, establezca el valor de Suprimir despus en 1 da. Haga clic en Aceptar. Repita este procedimiento para todos los grupos de servidores, si tiene ms de uno.
Deshabilitar LiveUpdate
Si LiveUpdate se ejecuta en los equipos cliente durante la migracin, pueden ocurrir conflictos. Por lo tanto, es mejor reducir la posibilidad de que LiveUpdate se ejecute en los equipos cliente durante la migracin. Para deshabilitar LiveUpdate
1 2 3
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Administrador de definiciones de virus. En el cuadro de dilogo Administrador de definiciones de virus, marque Actualizar solamente el servidor principal de este grupo de servidores y despus haga clic en Configurar. En el cuadro de dilogo Configurar actualizaciones del servidor principal, desactive Programacin para actualizaciones automticas y haga clic en Aceptar.
166
En el cuadro de dilogo Administrador de definiciones de virus, deje sin marcar las siguientes opciones:

Actualizar definiciones de virus del servidor principal Programar actualizaciones automticas en los clientes con LiveUpdate Habilitar LiveUpdate continuo
6 7
Marque No permitir al cliente iniciar LiveUpdate manualmente y despus haga clic en Aceptar. Repita este procedimiento para todos los grupos de servidores, si tiene ms de uno.
Deshabilitar el servicio de uso mvil

Si el servicio de uso mvil est habilitado en los equipos cliente, la migracin puede bloquearse y nunca terminar. Si el servicio de uso mvil no est habilitado, no siga este procedimiento. Nota: Si sus clientes de uso mvil ejecutan la versin 10.x de Symantec AntiVirus, desbloquee los grupos de servidores antes de deshabilitar el servicio de uso mvil. Esta prctica ayuda a garantizar que los clientes de uso mvil estn autenticados correctamente con certificados en su servidor principal. Para deshabilitar el servicio de uso mvil
1 2 3 4 5 6 7
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil para clientes. En el cuadro de dilogo Opciones de uso mvil para clientes, en el cuadro Validar el servidor principal cada X minutos, escriba 1. En el cuadro Buscar el servidor principal ms cercano cada X minutos, escriba 1 y presione Aceptar. Espere algunos minutos. En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil para clientes.
167
8 9
En el cuadro de dilogo Opciones de uso mvil para clientes, deje sin marcar Habilitar uso mvil en clientes con el servicio Symantec AntiVirus Roaming. Haga clic en Aceptar.
Preparar instalaciones de versiones anteriores de Symantec 10.x/3.x

Symantec AntiVirus 10.x y Symantec Client Security 3.x proporcionan las funciones adicionales que se deben configurar correctamente para una migracin correcta.
Desbloquear grupos de servidores

Si no se desbloquean los grupos de servidores antes de la migracin, pueden presentarse resultados imprevisibles. Adems, si el servicio de uso mvil est habilitado para los clientes, el desbloqueo del grupo de servidores garantiza que los clientes se autentiquen correctamente en un servidor principal. Los clientes que se autentican correctamente en un servidor principal se colocan en la base de datos. Los clientes que se colocan en la base de datos aparecen automticamente en el grupo de versiones anteriores correcto de la consola despus de la instalacin. Para desbloquear un grupo de servidores
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores bloqueado y despus haga clic en Desbloqueo de grupo de servidores. En el cuadro de dilogo Desbloqueo de grupo de servidores, escriba las credenciales de autenticacin, si es necesario, y haga clic en Aceptar.
Deshabilitar Proteccin contra intervenciones

Proteccin contra intervenciones puede ocasionar resultados imprevisibles durante la migracin. Para deshabilitar Proteccin contra intervenciones
En Symantec System Center, haga clic con el botn secundario en una de las siguientes opciones:

Grupo de servidores Servidor de administracin primario o secundario
2 3
Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de Proteccin contra intervenciones para servidores. En el cuadro de dilogo Opciones de Proteccin contra intervenciones para servidores, deje sin marcar Habilitar Proteccin contra intervenciones.
168
Migrar de Symantec AntiVirus y Symantec Client Security Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuracin
4 5
Haga clic en Aceptar. Realice uno de los pasos siguientes:
Si seleccion un grupo de servidores, repita este procedimiento para todos los grupos de servidores, si tiene ms de uno. Si seleccion un servidor de administracin, repita este procedimiento para todos los servidores de administracin de todos los grupos de servidores.
Desinstalar y eliminar servidores de informes

Si instal uno o ms servidores de informes, es necesario desinstalar estos servidores y, opcionalmente, eliminar los archivos de base de datos. Es necesario tambin eliminar los servidores de informes de Symantec System Center. Es posible obtener informacin completa sobre la desinstalacin de servidores de informes en la ayuda en pantalla de Symantec System Center. Las opciones de versiones anteriores se almacenaban en el registro. Toda la configuracin ahora se almacena en una base de datos, junto con los datos de informes. Para desinstalar servidores de informes
1 2 3 4 5
Inicie sesin en un equipo que ejecute el servidor de informes. Haga clic en Inicio > Configuracin > Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, haga clic en Servidor de informes de Symantec y despus haga clic en Quitar. Siga las indicaciones que se muestran en la pantalla hasta que se elimine el servidor de informes. Repita este paso para todos los servidores de informes.
Para eliminar servidores de informes de Symantec System Center
1 2
En Symantec System Center, haga clic con el botn secundario y ample Informes. Haga clic con el botn secundario en cada servidor de informes y haga clic en Eliminar.
Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuracin

No es obligatorio para migrar los grupos y la configuracin para los clientes de una versin anterior y los servidores de Symantec System Center a Symantec
Migrar de Symantec AntiVirus y Symantec Client Security Acerca de la migracin de grupos y opciones
169
Endpoint Protection Manager. Si se siente cmodo con operaciones de la Consola de Symantec Endpoint Protection Manager, puede crear y exportar un paquete de instalacin e implementarlo en los clientes de una versin anterior y en los servidores para la migracin. Ver "Instalar y configurar Symantec Endpoint Protection Manager" en la pgina 71. Nota: Se recomienda crear uno o ms grupos y polticas asociadas para los clientes de una versin anterior y migrarlos primero. Es posible entonces crear uno o ms grupos y polticas asociadas para los servidores de una versin anterior y despus migrarlos a los clientes. Finalmente, desinstale Symantec System Center y migre el servidor de administracin o el cliente de versin anterior que protegieron el equipo que ejecut Symantec System Center.
Acerca de la migracin de grupos y opciones

Para migrar grupos y opciones de servidores y clientes de Symantec System Center a Symantec Endpoint Protection Manager, es necesario comprender cmo funciona este proceso. Por ejemplo, su configuracin existente en Symantec System Center puede heredarse de los grupos de servidores. Es necesario elegir si desea conservar esta relacin. Los servidores de administracin primarios y secundarios de versiones anteriores tienen opciones que se aplican solamente a esos servidores, pero no a los clientes que administran. El motivo es que estos servidores pueden necesitar una proteccin diferente de la de los clientes que administran. Por ejemplo, estos servidores pueden proporcionar otros servicios que pueden necesitar excluir ciertos tipos de archivos de los anlisis. Con Symantec System Center, es posible especificar que todos los servidores hereden sus opciones de la configuracin especificada para el grupo de servidores. O es posible especificar opciones personalizadas para cada servidor. Despus de migrar la configuracin para los servidores de administracin, las opciones aparecen en la poltica de configuracin de LiveUpdate y en las polticas antivirus y contra software espa. Estas polticas se aplican a los grupos que contienen los servidores de administracin despus de migrarlos a un cliente de Symantec Endpoint Protection. Durante la migracin usted decide si la configuracin se hereda del grupo de servidores o se especifica para cada servidor. La configuracin de un cliente de una versin anterior tambin se puede heredar del grupo de servidores o de un servidor de administracin. Despus de migrar la configuracin para los clientes, las opciones aparecen en la poltica de configuracin de LiveUpdate y en las polticas antivirus y contra software espa.
170
Durante la migracin, usted decide si la configuracin se hereda del grupo de servidores o del servidor de administracin. La Figura 7-1 ilustra la situacin antes y despus cuando los servidores de administracin y los clientes heredan su configuracin de los grupos de servidores. Figura 7-1 Antes y despus de la configuracin heredada de grupos de servidores
Seleccin de opciones de migracin de polticas de clientes
Symantec System Center antes de la migracin
Todos los equipos cliente que no estn en ningn grupo de clientes aparecen aqu Los equipos cliente de un grupo de clientes aparecen aqu Cada servidor principal migrado a un cliente aparece en Servidor
Todos los equipos cliente de este grupo comparten todas las polticas La herencia de polticas de grupo de clientes coincide con la configuracin de herencia de Symantec System Center El grupo Servidor hereda polticas de SORINA3
Consola de Symantec Endpoint Protection Manager despus de la migracin e implementacin de clientes
171
En esta situacin, todos los servidores de administracin en Grupo_Servidores_1 y Grupo_Servidores_2 heredan su configuracin del grupo de servidores en Symantec System Center. Despus de la migracin al cliente de Symantec Endpoint Protection, cada equipo que ejecutaba un servidor de administracin de versiones anteriores aparece en un grupo denominado Servidor. Ese grupo hereda toda la configuracin del grupo con el mismo nombre que el grupo de servidores original. Por ejemplo, el servidor de administracin IDPRUEBA99 hereda las polticas configuradas para Grupo_Servidores_1. En esta situacin, todos los clientes heredan la configuracin del grupo de servidores y de cualquier grupo de clientes que pudiera contenerlos. Todos los clientes que no estaban contenidos en un grupo de clientes en Symantec System Center, ahora aparecen en el grupo con el mismo nombre que el grupo de servidores original. La Figura 7-2 ilustra una situacin antes y despus cuando los servidores de administracin y los clientes heredan la configuracin que se especifica en el servidor de administracin principal.
172
Figura 7-2
Antes y despus de la configuracin heredada de servidores principales
Seleccin de opciones de migracin de polticas de clientes Symantec System Center antes de la migracin
Todos los equipos cliente aparecen en Clientes, debajo de su servidor principal Cada servidor principal migrado a un cliente aparece en Servidor
Este grupo no hereda polticas El grupo Clientes hereda polticas de SORINA3 El grupo Servidor hereda polticas de SORINA3
Consola de Symantec Endpoint Protection Manager despus de la migracin e implementacin de clientes
En esta situacin, todos los servidores de administracin en Grupo_Servidores_1 y Grupo_Servidores_2 heredan su configuracin de cada servidor principal en Symantec System Center. Despus de la migracin al cliente de Symantec Endpoint Protection, cada equipo que ejecutaba un servidor de administracin de versiones anteriores aparece en un grupo denominado Servidor. Esta vez, sin embargo, los
Migrar de Symantec AntiVirus y Symantec Client Security Acerca de las opciones que no se migran
173
grupos no heredan la configuracin. Se personalizan nuevas polticas para cada equipo que ejecutaba un servidor de administracin de una versin anterior. En esta situacin, todos los clientes heredan la configuracin que se configura para los clientes en cada servidor principal. Si los clientes estn en grupos de clientes en Symantec System Center, ahora aparecen en el grupo Clientes, debajo del grupo del servidor principal en el cual estaban instalados.
Acerca de las opciones que no se migran

Las opciones de Proteccin contra intervenciones no se migran. Proteccin contra intervenciones ahora es parte de Configuracin general para los grupos. Proteccin contra intervenciones no es una poltica que se aplique a las ubicaciones. De forma predeterminada, Proteccin contra intervenciones se habilita y protege los objetos internos y los procesos de Symantec. Solamente es posible habilitar e deshabilitar Proteccin contra intervenciones. No tendr control detallado sobre los procesos u objetos internos. Las opciones desbloqueadas pueden migrarse o no. Si la configuracin es la configuracin predeterminada instalada originalmente y nunca fue modificada ni bloqueada, la configuracin no se migra. La configuracin no se migra porque las entradas del registro nunca fueron generadas. En algunos casos, la nueva configuracin de polticas predeterminada de Symantec Endpoint Protection puede corresponder a la configuracin predeterminada de la versin anterior. En otros casos, la nueva configuracin de polticas predeterminada de Symantec Endpoint Protection puede no corresponder a la configuracin predeterminada de la versin anterior. Se recomienda revisar todas las opciones que aparezcan despus de la migracin en sus polticas antivirus y contra software espa y en su poltica de configuracin de LiveUpdate.
Acerca de los paquetes y la implementacin

Para migrar el servidor, los grupos de clientes y las configuraciones de Symantec System Center a Symantec Endpoint Protection Manager, es necesario comprender cmo funciona este proceso. Por ejemplo, su configuracin existente en Symantec System Center puede heredarse de los grupos de servidores. Es necesario elegir si desea conservar esta relacin. Nota: Los equipos cliente deben ejecutar Internet Explorer 6.0 y MSI 3.1, o una versin posterior, para poder ser migrados.
174
Migrar de Symantec AntiVirus y Symantec Client Security Acerca de los paquetes y la implementacin
Acerca de los paquetes de instalacin de clientes que se generan durante la migracin

Para realizar la migracin, se ejecuta el Asistente para migracin e implementacin. Cuando se ejecuta el Asistente para migracin e implementacin, usted elige los servidores de administracin y los clientes para los cuales crear paquetes de instalacin de clientes. Nota: Los servidores de administracin migran a los clientes. Despus de instalar estos paquetes de instalacin de clientes en los clientes de versiones anteriores, los clientes migrados aparecen automticamente en el grupo apropiado de la Consola de Symantec Endpoint Protection Manager. Durante la migracin, se generan automticamente paquetes de instalacin para varias combinaciones de componentes de cliente. Por ejemplo, se genera un paquete de instalacin para todas las funciones de Symantec Endpoint Protection. Se genera un paquete de instalacin slo para la proteccin antivirus y contra software espa, y as sucesivamente. Estos paquetes se crean en el directorio que usted especifique durante la migracin. En este directorio, hay cuatro directorios que contienen diferentes paquetes de instalacin con los nombres siguientes:

Todas las funciones del cliente_xx-bit Slo funciones de antivirus_xx-bit Slo funciones de proteccin contra amenazas de red_xx-bit Slo funciones de proteccin proactiva contra amenazas y de antivirus_xx-bit
Para los paquetes de instalacin de 32 bits, estos paquetes ocupan 300 MB del espacio libre en el disco, y todos los paquetes se generan siempre automticamente. Para los paquetes de instalacin de 64 bits, estos paquetes ocupan ms de 300 MB del espacio libre en el disco. Cuando utiliza el Asistente para migracin e implementacin, usted elige si desea migrar todos los servidores de administracin y clientes que aparezcan en Symantec System Center. La otra opcin es seleccionar servidores de administracin individuales. Si decide migrar servidores de administracin especficos, debe crear directorios separados de creacin de paquetes para cada servidor de administracin o cada combinacin de servidores de administracin. A continuacin, es posible implementar estos paquetes a los clientes respectivos de versiones anteriores para la migracin. Los clientes aparecen automticamente en el grupo correcto en la Consola de Symantec Endpoint Protection Manager.
175
Nota: Cuando se migran grupos y opciones, el Asistente para migracin e implementacin almacena el servidor de administracin y los ID de clientes de versiones anteriores en una tabla en la base de datos de Symantec Endpoint Protection Manager. Cuando se migran servidores de administracin y clientes de versiones anteriores a Symantec Endpoint Protection, los clientes recin migrados envan sus ID anteriores a Symantec Endpoint Protection Manager. Cuando el administrador recibe los ID anteriores, coloca los clientes recin migrados en el grupo migrado correspondiente.
Exportar y dar formato a una lista de nombres de equipos cliente para migrar
La herramienta de implementacin de paquetes de clientes proporcionada por Symantec recomendada es el Asistente de implementacin mediante transferencia. Es posible iniciar esta herramienta haciendo doble clic en \Symantec Endpoint Protection\tomcat\bin\ClientRemote.exe. Es posible tambin iniciar el Asistente de implementacin mediante transferencia al utilizar el Asistente para migracin e implementacin. Nota: Es posible utilizar la tcnica que se describe aqu independientemente de si usted migra opciones desde Symantec System Center. Esta tcnica es til para crear listas de todos los clientes y servidores de versiones anteriores e importar las listas en el Asistente de implementacin mediante transferencia para su implementacin. El Asistente de implementacin mediante transferencia detecta automticamente los equipos Windows que estn encendidos. El asistente entonces permite seleccionar los equipos e implementar un paquete de instalacin seleccionable en los equipos detectados. Es posible seleccionar equipos uno a la vez, o seleccionar el grupo de trabajo o el dominio de equipos. Otra opcin es crear un archivo de texto que contenga los nombres o las direcciones IP de sus clientes de versiones anteriores. A continuacin, importe ese archivo en el Asistente de implementacin mediante transferencia para implementar el paquete. Es posible entonces iniciar manualmente el Asistente de implementacin mediante transferencia e implementar los paquetes a los clientes en etapas. Se recomienda exportar una lista de clientes para cada servidor de administracin a un archivo de texto. Despus bralas en una hoja de clculo y elimine todas las columnas excepto la columna que contiene el nombre o la direccin IP de los equipos. Es posible entonces guardarla de nuevo en un archivo de texto que pueda importarse en el Asistente de implementacin mediante transferencia. Este
176
enfoque permite realizar la implementacin en clientes mediante el servidor de administracin, y hacer la migracin en etapas. La desventaja de este enfoque es que el Asistente de implementacin mediante transferencia tarda cerca de 20 segundos por cada equipo de la lista que no est encendido. La ventaja de este enfoque es que es posible examinar el archivo de registro para ver qu equipos no estaban encendidos. De esa forma, tiene un expediente de los equipos que an no se migraron. En entornos con DHCP habilitado, se recomienda utilizar nombres de equipo en lugar de direcciones IP, ya que las direcciones IP pueden modificarse. Nota: El procedimiento siguiente proporciona detalles sobre cmo utilizar Microsoft Office Excel 2003. No es obligatorio utilizar Excel. Es posible utilizar cualquier software de hoja de clculo que importe archivos de texto. Para exportar y dar formato a una lista de nombres de equipos cliente para migrar
En Symantec System Center, haga clic con el botn secundario en una de las siguientes opciones y despus haga clic en Exportar lista:

Servidor de administracin primario o secundario Grupo de clientes
2 3 4 5 6 7 8 9
En el cuadro de dilogo Exportar lista, en el cuadro Nombre de archivo, escriba el nombre de un archivo de texto. En la lista desplegable Guardar como, seleccione Texto (delimitado por tabulaciones) (*.txt) y, a continuacin, haga clic en Guardar. En Microsoft Office Excel, haga clic en Archivo > Abrir. En el cuadro de dilogo Abrir, en la lista desplegable Tipo de archivo, haga clic en Todos los archivos. Busque y seleccione su archivo de texto y haga clic en Abrir. En el cuadro de dilogo Asistente para importar texto - paso 1 de 3, marque Delimitados y haga clic en Siguiente. En el cuadro de dilogo Asistente para importar texto - paso 2 de 3, bajo Separadores, marque Tabulacin y haga clic en Siguiente. En el cuadro de dilogo Asistente para importar texto - paso 3 de 3, haga clic en Finalizar.
10 Inicie el Bloc de notas y cree un nuevo archivo de texto. 11 En Excel, resalte y copie los nombres de equipo que aparecen en la columna
titulada Cliente.
177
12 En el Bloc de notas, pegue los nombres de los equipos y verifique que la ltima
lnea sea un nombre de equipo y no est en blanco.
13 Guarde el archivo como archivo de texto.
Puertos de comunicaciones que deben abrirse

Cuando se migran opciones de servidores y grupos de clientes, ocurren comunicaciones por red entre Symantec System Center y Symantec Endpoint Protection Manager. Si estos componentes se ejecutan en distintos equipos y estos equipos ejecutan firewalls, es necesario abrir los puertos de comunicacin. La Tabla 7-1 enumera los puertos que deben abrirse para la migracin de la configuracin. Tabla 7-1 Puertos utilizados para la migracin de opciones Symantec Endpoint Protection Manager
Puertos TCP efmeros TCP 139 UDP 137
Symantec System Center

TCP 139, 445 Puertos TCP efmeros UDP 137
Cuando se utiliza el Asistente de implementacin mediante transferencia para implementar software de cliente de Symantec Endpoint Protection, ocurren comunicaciones por red entre los servidores y los clientes de versiones anteriores y Symantec Endpoint Protection Manager. Si los servidores y los clientes de una versin anterior ejecutan firewalls, es necesario abrir los puertos de comunicacin. La Tabla 7-2 enumera los puertos que deben abrirse para las implementaciones que utilizan el Asistente de implementacin mediante transferencia. Tabla 7-2 Puertos utilizados para la implementacin de software de cliente con el Asistente de implementacin mediante transferencia Symantec Endpoint Protection Manager
Puertos TCP efmeros TCP 139 y 445 UDP 137, 138
Equipos cliente
TCP 139 y 445 Puertos TCP efmeros UDP 137, 138
178
Migrar de Symantec AntiVirus y Symantec Client Security Instalar Symantec Endpoint Protection Manager
Acerca de la preparacin de los equipos cliente para la migracin

Varias funciones del sistema operativo Windows pueden interferir en la correcta migracin de servidores y clientes. Es necesario entender cules son estas funciones y administrarlas apropiadamente. Por ejemplo, los equipos con Windows XP y que son parte de un grupo de trabajo necesitan que el uso compartido simple de archivos est deshabilitado. Si no se deshabilita, no es posible realizar la autenticacin en esos equipos para la instalacin remota. Los equipos con Windows XP que estn en un dominio de Windows no necesitan que esta funcin est deshabilitada. Tambin necesita entender que si usted instala un firewall de Symantec, se debe deshabilitar el Firewall de Windows. Si no opta por instalar un firewall de Symantec, no deshabilite el Firewall de Windows. Adems, puede ser necesario abrir puertos o deshabilitar firewalls antes de la migracin. Ver Tabla 2-10 en la pgina 56. Ver "Habilitar y modificar firewalls de Windows" en la pgina 58. Ver "Preparar equipos para la implementacin remota" en la pgina 62. Ver "Preparar equipos cliente para la instalacin" en la pgina 67.
Instalar Symantec Endpoint Protection Manager

El siguiente procedimiento asume que usted no ha instalado Symantec Endpoint Protection Manager en su entorno de produccin. Si ha instalado Symantec Endpoint Protection Manager en su entorno de produccin, proceda a leer acerca de cmo migrar los grupos de servidores y los grupos de clientes. Es posible instalar Symantec Endpoint Protection Manager en el mismo equipo que ejecuta Symantec System Center, pero no es un requisito. Tambin, si usted administra una gran cantidad de clientes de una versin anterior de Symantec, no se recomienda instalar Symantec Endpoint Protection Manager en el mismo equipo en el que ejecuta Symantec System Center. Finalmente, si tiene equipos de una versin anterior de NetWare o de Itanium, es necesario continuar administrando y protegiendo esos equipos con un software de una versin anterior. Nota: La instalacin de Symantec Endpoint Protection Manager no migra Symantec System Center.
Migrar de Symantec AntiVirus y Symantec Client Security Migrar opciones de configuracin de grupos de clientes y servidores
179
Para instalar Symantec Endpoint Protection Manager
1 2
En el equipo en el que desea instalar Symantec Endpoint Protection Manager, inserte e inicie el CD de instalacin. Haga clic en Instalar Symantec Endpoint Protection Manager. Siga las indicaciones de instalacin hasta que aparezca el panel Asistente de instalacin finalizado. Instale Symantec Endpoint Protection Manager y configrelo para que utilice una de las siguientes bases de datos (configuracin avanzada solamente; una configuracin simple utiliza una base de datos integrada):
Base de datos integrada Ver "Instalar Symantec Endpoint Protection Manager con una base de datos integrada" en la pgina 90. Base de datos de Microsoft SQL Ver "Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL" en la pgina 94.
Cuando la instalacin y la instalacin de base de datos finaliza, en el panel Configuracin finalizada, realice una de las siguientes acciones:
Marque S y despus haga clic en Finalizar para migrar los grupos de servidores y los grupos de clientes de Symantec System Center a Symantec Endpoint Protection Manager. A continuacin, cree los paquetes de instalacin de clientes para esos grupos. Marque No y, luego, haga clic en Finalizar para iniciar manualmente el Asistente para migracin e implementacin ms adelante, o para crear nuevos grupos con la Consola de Symantec Endpoint Protection Manager. Es posible tambin que desee realizar el inicio de sesin de la migracin despus de registrarse y verificar que Symantec Endpoint Protection Manager y la Consola estn funcionando. Tambin puede migrar un grupo de servidores al mismo tiempo si tiene varios grupos.
Migrar opciones de configuracin de grupos de clientes y servidores

Despus de instalar Symantec Endpoint Protection Manager, es posible migrar los grupos de clientes y servidores de administracin. No es obligatorio migrar todos los grupos de clientes y servidores al mismo tiempo. Tambin es posible migrar los servidores de administracin y los clientes relacionados con ellos uno a la vez.
180
Migrar de Symantec AntiVirus y Symantec Client Security Migrar opciones de configuracin de grupos de clientes y servidores
Nota: Todos los equipos que no ejecutan MSI 3.1 se migran a MSI 3.1 primero, antes de que se instale el software de cliente. Los equipos que no se reinician despus de la instalacin del software de cliente estn protegidos con las funciones antivirus y contra software espa, pero no cuentan con firewall. Para implementar las funciones de firewall, se deben reiniciar los equipos cliente. Para migrar opciones de configuracin de grupos de clientes y servidores
Si el Asistente para migracin y distribucin no est abierto, haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Asistente para migracin y distribucin. En el panel de bienvenida del Asistente para migracin y distribucin, haga clic en Siguiente. En el panel Qu desea hacer?, haga clic en Migrar desde una versin anterior de Symantec AntiVirus. En el siguiente panel sin nombre, marque las casillas de verificacin que indican cmo se aplicar la configuracin a sus grupos. Ver "Acerca de la migracin de grupos y opciones" en la pgina 169.
2 3 4
5 6
Haga clic en Siguiente. En el siguiente panel sin nombre, realice una de las siguientes acciones:
Para importar toda la configuracin de todos los servidores de administracin y clientes, haga clic en Detectar servidores automticamente, escriba la direccin IP de un equipo que ejecute Symantec System Center y haga clic en Aceptar. Para importar opciones de un solo servidor de administracin y de los clientes que ste administra, haga clic en Agregar servidor, escriba la direccin IP de un equipo que ejecute un servidor de administracin, y, a continuacin, haga clic en Aceptar.
7 8 9
Haga clic en Siguiente. En el siguiente panel sin nombre, haga clic en Siguiente. En el siguiente panel sin nombre, configure los paquetes de instalacin de clientes que desea exportar. que no desea crear y haga clic en Aceptar.
10 Haga clic en Opciones avanzadas del paquete, deje sin marcar los paquetes 11 Haga clic en Examinar, busque y seleccione un directorio al cual exportar los
paquetes de instalacin de clientes, y haga clic en Abrir.
Migrar de Symantec AntiVirus y Symantec Client Security Verificar la migracin y actualizar polticas migradas
181
12 En el panel sin nombre, haga clic en Siguiente. 13 En el siguiente panel sin nombre, realice una de las siguientes acciones:
Marque S, haga clic en Finalizar para exportar los paquetes y despus implemente los paquetes, primero en los clientes y despus en los servidores, con el Asistente de implementacin mediante transferencia. El proceso de exportacin puede tomar diez minutos o ms. Marque No, slo deseo crearlos; los distribuir ms tarde, haga clic en Finalizar para exportar los paquetes y despus implemente manualmente los paquetes, primero en los clientes y despus en los servidores, mediante ClientRemote.exe desde el directorio \Symantec Endpoint Protection\tomcat\bin\. Ver "Implementar software de cliente con el Asistente de implementacin mediante transferencia" en la pgina 131.
Verificar la migracin y actualizar polticas migradas

Despus de migrar sus clientes y servidores, es necesario verificar que aparezcan en los grupos apropiados en la Consola de Symantec Endpoint Protection Manager. A continuacin, actualice la poltica de configuracin de LiveUpdate y las polticas antivirus y contra software espa para revertir algunos o todos los cambios realizados en las opciones con Symantec System Center. Por ejemplo, para iniciar el proceso de migracin, usted deshabilit los anlisis programados. Probablemente necesite habilitar los anlisis programados.
Migrar clientes no administrados

Tiene tres opciones para migrar clientes no administrados. Es posible instalar Symantec Endpoint Protection con los archivos de instalacin y setup.exe que incluye el CD de instalacin. Esta opcin conserva la configuracin del cliente. Es posible exportar un paquete de la Consola de Symantec Endpoint Protection Manager en modo no administrado. Esta opcin no conserva la configuracin del cliente. Es posible exportar un paquete de la Consola de Symantec Endpoint Protection Manager en el modo no administrado para los archivos que no son .exe. A continuacin, reemplace serdef.dat en este paquete de instalacin por un archivo en blanco con el mismo nombre. Esta opcin conserva la configuracin del cliente. Nota: Los equipos cliente deben ejecutar Internet Explorer 6.0 o una versin posterior, y MSI 3.1 o una versin posterior. De lo contrario, no se podrn migrar.
182
Migrar de Symantec AntiVirus y Symantec Client Security Migrar clientes no administrados
Acerca de migrar clientes no administrados con archivos CD

Si tiene clientes de una versin anterior no administrados, es posible migrarlos a Symantec Endpoint Protection y mantenerlos no administrados. La migracin de clientes no administrados con los archivos CD tambin conserva la configuracin de cada cliente. Si ejecuta setup.exe, tambin actualiza automticamente el MSI en los clientes a 3.1, un requisito. Cuando se ejecuta setup.exe para instalar Symantec Endpoint Protection en los clientes no administrados de una versin anterior, se conserva la configuracin de la versin anterior. Por ejemplo, si un usuario crea un anlisis personalizado para ejecutarse a la media noche, se conserva esa configuracin. Es posible utilizar las siguientes opciones para migrar los clientes no administrados:
Inserte el CD de instalacin en cada cliente para migrar e instale Symantec Endpoint Protection desde la interfaz de usuario de instalacin. Copie los archivos desde el directorio SAV en el CD de instalacin a un directorio compartido. A continuacin, haga que los usuarios en los equipos cliente incorporen el directorio compartido y ejecuten setup.exe. Implemente los archivos que contiene el directorio SAV en el CD de instalacin con CD\TOOLS\PUSHDEPLOYMENTWIZARD\ClientRemote.exe. Implemente los archivos que contiene el directorio SAV en el directorio del CD de instalacin con las herramientas de otro fabricante de la distribucin.
Migrar clientes no administrados con paquetes exportados

Es posible crear paquetes de instalacin con la Consola de Symantec Endpoint Protection Manager para clientes no administrados. Este tipo de paquete crea clientes no administrados despus de la migracin pero, de forma predeterminada, elimina y reajusta las opciones de clientes de versiones anteriores a la nueva configuracin predeterminada. Es posible anular esta configuracin predeterminada creando un nuevo archivo serdef.dat en blanco en los archivos exportados. No es posible modificar el archivo serdef.dat si se exporta a un solo archivo de instalacin ejecutable. Para migrar clientes no administrados con paquetes exportados y conservar la configuracin de la versin anterior
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Bajo Tareas, haga clic en Paquetes de instalacin.
Migrar de Symantec AntiVirus y Symantec Client Security Migrar clientes no administrados
183
3 4 5 6 7 8
Bajo Paquetes de instalacin de clientes, haga clic con el botn secundario en el paquete que desea crear y haga clic en Exportar paquete. En el cuadro de dilogo Exportar paquete, deje sin marcar Crear un solo archivo.EXE para este paquete (obligatorio). Haga clic en Examinar y seleccione el directorio que contendr el paquete exportado. Bajo Configuracin de seguridad, marque Exportar un cliente no administrado. Haga clic en Aceptar. Busque el directorio que contiene su paquete exportado y desplcese hasta el directorio siguiente: \\Export\program files\Symantec\Symantec Endpoint Protection\
Abra el Bloc de notas, cree un nuevo archivo en blanco denominado serdef.dat y sobrescriba el archivo serdef.dat que est en este directorio. Opcionalmente, es posible cambiar el nombre del archivo existente a serdef_bak.dat antes de agregar la versin en blanco.
10 Implemente el paquete en los clientes de versiones anteriores.

Es posible utilizar ClientRemote.exe. Para migrar clientes no administrados con paquetes exportados y cambiar las opciones de versiones anteriores por la configuracin predeterminada
1 2 3 4 5 6 7 8
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Bajo Tareas, haga clic en Paquetes de instalacin. Bajo Paquetes de instalacin de clientes, haga clic con el botn secundario en el paquete que desea crear y haga clic en Exportar paquete. En el cuadro de dilogo Exportar paquete, marque Crear un solo archivo.EXE para este paquete (recomendado, pero no es obligatorio). Haga clic en Examinar y seleccione el directorio que contendr el paquete exportado. Bajo Configuracin de seguridad, marque Exportar un cliente no administrado. Haga clic en Aceptar. Implemente el paquete en los clientes de versiones anteriores. Es posible utilizar ClientRemote.exe.
184
Migrar de Symantec AntiVirus y Symantec Client Security Qu se ha modificado para los administradores de versiones anteriores
Qu se ha modificado para los administradores de versiones anteriores

La tabla siguiente describe cmo se han actualizado las funciones de productos anteriores. La Tabla 7-3 describe qu modificaciones hubo para los administradores de versiones anteriores. Tabla 7-3 Funcin
El software de servidor no proporciona la proteccin de Symantec AntiVirus
Nuevas funciones
Descripcin
Symantec Endpoint Protection Manager no incluye Symantec Endpoint Protection. Para proteger las instancias de Symantec Endpoint Protection Manager, es necesario instalar software de cliente de Symantec Endpoint Protection en el servidor. Los servidores con versiones anteriores de Symantec AntiVirus y de Symantec Client Security incluan la proteccin de Symantec AntiVirus.
Se redise la interfaz de usuario Se ha rediseado la interfaz de usuario del cliente. del software de cliente Se redise la consola de administracin Symantec System Center se ha dejado de usar. La nueva consola de administracin se llama consola de Symantec Endpoint Protection Manager.
Los servidores de administracin Los servidores de administracin de versiones anteriores se pueden instalar como secundarios ya no se utilizan servidores secundarios que responden a un servidor de administracin primario para un grupo de servidores. Proveedores de actualizaciones de grupo Los clientes de Symantec Endpoint Protection pueden configurarse para proporcionar actualizaciones de firmas y de contenido a los clientes de un grupo. Cuando los clientes se configuran de esta manera, se denominan Proveedores de actualizaciones de grupo. Los Proveedores de actualizaciones de grupo no necesitan estar en el grupo o en los grupos que actualizan.
Los grupos de servidores pueden Las operaciones de versiones anteriores de Symantec System Center giraban en ser pensados como sitios torno a grupos de servidores. Cada grupo tena un servidor principal y los clientes eran administrados por ese servidor principal. Symantec Endpoint Protection utiliza el concepto de un sitio. Varios sitios pueden ser parte de una instancia de instalacin. Cuando se instalan sitios adicionales en una instancia, no se especifica una clave secreta durante la instalacin. Cada vez que se especifica una clave secreta cuando se instala un sitio, se crea una nueva instancia de instalacin. Los equipos en distintas instancias de instalacin no se comunican entre ellos.
185
Funcin
Se ampla el reconocimiento de la ubicacin
Descripcin
Las operaciones de versiones anteriores admitan el reconocimiento de la ubicacin slo para las operaciones del firewall. Symantec Endpoint Protection ampla la funcin de reconocimiento de la ubicacin al nivel de grupo. Cada grupo puede ser dividido en varias ubicaciones y, cuando un cliente est en esa ubicacin, se pueden aplicar polticas a esa ubicacin.
Las polticas ahora controlan la mayora de las opciones del cliente
Las operaciones de versiones anteriores de Symantec System Center permitan aplicar una serie de opciones de configuracin a los grupos de equipos mediante cuadros de dilogo. La configuracin ahora se controla con las polticas que se pueden aplicar hasta el nivel de la ubicacin. Por ejemplo, dos polticas que afectan la configuracin de LiveUpdate. Una poltica especifica cuntas veces se ejecuta LiveUpdate y controla la interaccin de usuario. La otra poltica especifica el contenido que se permite instalar en los equipos cliente con LiveUpdate.
Grc.dat ya no se utiliza
Las comunicaciones de versiones anteriores de Symantec AntiVirus eran gobernadas por la presencia de un archivo Grc.dat en los equipos cliente, que se deja de usar. Algunas opciones de configuracin de versiones anteriores de Symantec System Center an se aplican en el nivel de grupo. Por ejemplo, la configuracin de la contrasea de desinstalacin del cliente aplicada a todos los equipos en un grupo. Adems, la nueva poltica de contenido de LiveUpdate se aplica al grupo. Servidores de administracin de versiones anteriores de NetWare ya no se admiten. No migre los servidores de administracin de versiones anteriores de NetWare; contine administrndolos con el software de versin anterior. Los dominios permiten crear grupos globales adicionales si se desea utilizar grupos globales adicionales. Esta funcin es avanzada y se debe utilizar solamente si es necesario. El dominio predeterminado se llama Predeterminado.
Algunas opciones an se configuran en los grupos
NetWare ya no se admite
Los dominios estn ahora disponibles para su uso
Symantec Endpoint Protection Los productos de versiones anteriores denominados Symantec Client Security ahora incluye compatibilidad con incluan Symantec AntiVirus y Symantec Client Firewall. Symantec Endpoint firewall Protection ahora incluye un firewall nuevo y mejorado, y una interfaz de usuario.
186
Funcin
El bloqueo de dispositivo est disponible
Descripcin
Si desea deshabilitar ciertos dispositivos de hardware en equipos cliente, ahora es posible configurar polticas para bloquear el acceso de los usuarios a una lista de dispositivos de hardware. Estos dispositivos incluyen elementos como puertos USB, unidades del disquete y mdems. Estos dispositivos tambin incluyen elementos que deben tratarse con precaucin. Por ejemplo, es posible deshabilitar tarjetas de interfaz de red (NIC), que deshabilitan la comunicacin por red de los equipos cliente, incluso con la Consola de Symantec Endpoint Protection Manager. La nica manera de recuperacin en esta situacin es desinstalar Symantec Endpoint Protection y despus volver a habilitar la NIC con el Administrador de dispositivos de Windows.
Symantec Client Firewall Administrator ya no se utiliza
Symantec Client Firewall Administrator era la herramienta que se utilizaba para crear las polticas de Symantec Client Firewall. La nueva Consola de Symantec Endpoint Protection Manager ahora integra estas funciones de forma predeterminada. Si tiene una red grande y necesita conservar el consumo de ancho de banda, es posible instalar los servidores de administracin adicionales en una configuracin con carga balanceada. Si tiene una red grande y necesita contar con redundancia, es posible configurar servidores de administracin adicionales en una configuracin de conmutacin por error. Si tiene una red grande y necesita replicacin, es posible configurar sitios en una instancia de instalacin para que reproduzcan datos.
La conmutacin por error y el balanceo de carga se pueden implementar en los servidores de administracin
La replicacin se puede implementar entre sitios
Nota: Cuando se instala un sitio para replicacin, no se especifica una clave

secreta. Los sitios que se instalan con una clave secreta no se comunican entre ellos. Ya no se utiliza el servidor de administracin de alertas Los productos de versiones anteriores incluan el Servidor de administracin de alertas que admita la generacin de alertas. El nuevo Symantec Endpoint Protection Manager ahora incluye estas funciones de forma predeterminada.
La informacin del cliente ahora Los productos de versiones anterior almacenaban la informacin en el registro. se almacena en una base de datos Symantec Endpoint Protection Manager ahora almacena toda la informacin sobre los equipos cliente en una base de datos SQL (la base de datos integrada o una base de datos de Microsoft SQL). Funciones mejoradas de LiveUpdate LiveUpdate ahora admite la descarga y la instalacin de una amplia variedad de contenido, incluidos definiciones, firmas, listas blancas para evitar falsos positivos, motores y actualizaciones de producto.
Captulo
Migrar software de versin anterior de Symantec Sygate


Acerca de migrar a Symantec Endpoint Protection 11.x Acerca de migrar a Symantec Network Access Control 11.x Acerca de las actualizaciones de Enforcer Situaciones de migracin de servidores Procedimientos de migracin de servidores de administracin Acerca de los cambios de la interfaz y de las funciones del usuario de la consola despus de la migracin Migrar consolas de administracin remotas Acerca de la configuracin de polticas migradas y nuevas Acerca de la eliminacin de la proteccin de contrasea del cliente de la configuracin del grupo Migrar software de cliente de versiones anteriores de Symantec Sygate
188
Migrar software de versin anterior de Symantec Sygate Acerca de migrar a Symantec Endpoint Protection 11.x
Acerca de migrar a Symantec Endpoint Protection 11.x

Es posible migrar Symantec Sygate Enterprise Protection 5.1, y posterior, y Symantec Network Access Control 5.1, y posterior, a Symantec Endpoint Protection 11.x. Ningn otro software de versiones anteriores de Sygate se admite para esta migracin. Para migrar versiones anteriores de software Sygate, primero mgrelas a Symantec Sygate Enterprise Protection 5.1.
Acerca de la migracin del servidor de Symantec Sygate y el software de administracin

El objetivo de la migracin es instalar Symantec Endpoint Protection Manager y la Consola de administracin de Symantec Endpoint Protection para Symantec Endpoint Protection 11.x. El software de administracin y el servidor de una versin anterior que es posible migrar consta de los siguientes productos:
Servidor de administracin, consola y base de datos de Symantec Sygate Enterprise Protection 5.1 Los componentes del servidor se denominan Symantec Policy Manager y Consola Symantec Policy Management. Servidor de administracin, consola y base de datos de Symantec Network Access Control 5.1 Los componentes del servidor tambin se denominan Symantec Policy Manager y Consola Symantec Policy Management.
El producto anterior Symantec Sygate Enterprise Protection 5.1 incluye todas las funciones que el producto anterior Symantec Network Access Control 5.1 proporciona. El subconjunto de funciones que Symantec Network Access Control proporciona son las funcionalidades de polticas de integridad del host y de Enforcer. Nota: Los valores de marca de hora de las polticas de integridad del host pueden no migrarse correctamente. Despus de la migracin, examine todas las opciones de Integridad del host configuradas para los valores de tiempo y modifquelas si es necesario. Symantec Endpoint Protection 11.0 es similar a Symantec Sygate Enterprise Protection 5.1 con una excepcin. La excepcin es que Symantec Endpoint Protection no incluye las funcionalidades de Integridad del host o de Enforcer. Por lo tanto, si se migran los servidores de Symantec Sygate Enterprise Protection
189
5.1 que proporcionan funcionalidades de Integridad del host o de Enforcer, adems se debe comprar e instalar Symantec Endpoint Protection Manager para Symantec Network Access Control 11.0 en esos servidores migrados para recuperar el acceso a esas funciones. Nota: La migracin de servidores migra todas las polticas y opciones existentes configuradas para los servidores y el sitio.
Rutas compatibles con la migracin del servidor

El software siguiente se admite para la migracin a Symantec Endpoint Protection Manager y la Consola de administracin para Symantec Endpoint Protection:
Symantec Policy Manager y Consola de administracin 5.1 Para acceder a las funciones de Integridad del host y de Enforcer, adems se debe instalar Symantec Endpoint Protection Manager para Symantec Network Access Control 11.0. Symantec Network Access Control Manager y Consola 5.1 Es posible migrar este software a Symantec Endpoint Protection 11.0. Sin embargo, para acceder a las funciones de Integridad del host y de Enforcer de versiones anteriores, adems se debe instalar Symantec Endpoint Protection Manager para Symantec Network Access Control 11.0.
Rutas no compatibles con la migracin del servidor

La migracin de Symantec Endpoint Protection Manager para Symantec Endpoint Protection se bloquea cuando se detecta cualquiera de los siguientes elementos de software:

Sygate Policy Manager 5.0 Sygate Management Server 3.x y 4.x Whole Security Management Server, todas las versiones
Antes de instalar Symantec Endpoint Protection Manager para Symantec Endpoint Protection, es necesario desinstalar este software. Nota: Si intenta migrar Symantec Endpoint Protection Manager 5.1 y si se detecta software no compatible, la migracin tambin se bloquea.
190
Acerca de la migracin del software de cliente de versiones anteriores de Symantec Sygate

El objetivo de la migracin es instalar Symantec Endpoint Protection 11.x. El software de versin anterior del agente que es posible migrar consiste en los dos productos siguientes:

Symantec Protection Agent 5.1 Symantec Enforcement Agent 5.1
Symantec Protection Agent incluye todas las funciones que Symantec Enforcement Agent proporciona. El subconjunto de funciones proporcionado por Symantec Enforcement Agent incluye Integridad del host solamente. Para migrar los equipos cliente que ejecutan Symantec Protection Agent o Symantec Enforcement Agent, instale Symantec Endpoint Protection 11.0 en esos equipos y se completar la migracin. Como Sygate Protection Agent, el software de cliente de Symantec Endpoint Protection 11.0 incluye todas las funciones que proporcionan Symantec Protection Agent y Symantec Enforcement Agent, y ms. Por lo tanto, si tiene instancias de Sygate Protection Agent que proporcionan Integridad del host, usted no necesita instalar adems Symantec Endpoint Protection Manager 11.0 en esos clientes. Sin embargo, es necesario instalar Symantec Endpoint Protection Manager para Symantec Network Access Control 11.0 en los servidores de administracin para recuperar el acceso a esas funciones de los clientes. Nota: La migracin del agente migra todas las opciones existentes configuradas para los clientes, mientras se exporte el paquete de instalacin del cliente para sus grupos existentes. Es posible entonces realizar actualizaciones automticas para esos grupos.
Rutas de clientes compatibles con la migracin

El software siguiente se admite para la migracin a Symantec Endpoint Protection:

Symantec Protection Agent 5.1 Symantec Protection Agent 5.1 con Symantec AntiVirus 9.x y versiones superiores Symantec Protection Agent 5.1 con Symantec Client Security 2.x y versiones superiores Symantec Enforcement Agent 5.1
Migrar software de versin anterior de Symantec Sygate Acerca de migrar a Symantec Network Access Control 11.x
191
Symantec Enforcement Agent 5.1 con Symantec AntiVirus 9.x y versiones superiores Symantec Enforcement Agent 5.1 con Symantec Client Security 2.x y versiones superiores
Rutas de clientes no compatibles con la migracin

La migracin de clientes de Symantec Endpoint Protection 11.0 se bloquea cuando se detecta cualquiera de los siguientes elementos de software:

Sygate Protection Agent 5.0 Sygate Enforcement Agent 5.0 Sygate Security Agent 3.x y 4.x Todas las versiones de Whole Security Confidence Online Enterprise Edition Symantec Protection Agent 5.1 y Symantec AntiVirus 7.x y 8.x Symantec Protection Agent 5.1 y Symantec Client Security 1.x Symantec Enforcement Agent 5.1 y Symantec AntiVirus 7.x y 8.x Symantec Enforcement Agent 5.1 y Symantec Client Security 1.x
Acerca de migrar a Symantec Network Access Control 11.x

Es posible migrar Symantec Network Access Control 5.1 a Symantec Network Access Control 11.x. Ningn otro software de versiones anteriores de Sygate se admite para esta migracin. Para migrar otras versiones, primero mgrelas a Symantec Sygate Enterprise Protection 5.1.
Acerca de la migracin del software de servidor de versiones anteriores de Symantec Sygate

Symantec Network Access Control Manager y Consola de administracin 5.1 es el nico software que se admite para la migracin a Symantec Endpoint Protection Manager y Consola de administracin para Symantec Network Access Control 11.x. La migracin de Symantec Endpoint Protection Manager para Symantec Network Access Control se bloquea cuando se detecta cualquiera de los siguientes elementos de software:
Sygate Policy Manager 5.0
192
Migrar software de versin anterior de Symantec Sygate Acerca de las actualizaciones de Enforcer
Sygate Management Server 3.x y 4.x Whole Security Management Server, todas las versiones
Acerca de la migracin del software de cliente de versiones anteriores de Symantec Sygate

Symantec Enforcement Agent 5.1 es el nico software que se admite para la migracin a Symantec Network Access Control 11.0. Nota: La migracin del agente migra todas las opciones existentes configuradas para los clientes, mientras se exporte el paquete de instalacin del cliente para sus grupos existentes. A continuacin realice una actualizacin automtica para esos grupos. La migracin de clientes de Symantec Network Access Control 11.0 se bloquea cuando se detecta cualquiera de los siguientes elementos de software:

Sygate Enforcement Agent 5.0 Sygate Protection Agent 5.0 y superior Sygate Security Agent 3.x y 4.x Todas las versiones de Whole Security Confidence Online Enterprise Edition Todas las versiones de Symantec Enforcement Agent 5.1 y Symantec AntiVirus Todas las versiones de Symantec Enforcement Agent 5.1 y Symantec Client Security
Acerca de las actualizaciones de Enforcer

Symantec Endpoint Protection Manager admite los mdulos Gateway, DHCP y LAN Enforcer de Symantec que se ejecutan en dispositivos de hardware de la versin 6100 solamente. Estos dispositivos admiten las versiones de software 5.1, 5.1.5 y 11.x. Symantec Endpoint Protection Manager admite solamente las versiones de software 5.1.5 y 11.x. Symantec Endpoint Protection Manager no admite la versin de software 5.1. Tampoco se admiten las versiones anteriores de Symantec Enforcer proporcionadas como software solamente. Si su dispositivo Enforcer 6100 est ejecutando la versin 5.1 del software, es necesario actualizar la imagen del software a la versin 5.1.5 o 11.x. Symantec recomienda actualizar la imagen de la versin anterior del software a la versin 11.x a fin de utilizar la ltima versin. Todas las opciones de configuracin de
Migrar software de versin anterior de Symantec Sygate Situaciones de migracin de servidores
193
Enforcer se almacenan en el servidor de Symantec Endpoint Protection, de forma que la configuracin de Enforcer se migra durante la migracin del servidor.
Situaciones de migracin de servidores

Migrar software de versiones anteriores de Symantec Sygate Enterprise Protection tiene la misma complejidad que la arquitectura de red. Si tiene un servidor de administracin de una versin anterior que administre clientes, instale los ltimos componentes de administracin en el equipo que ejecuta los componentes de administracin de Symantec Policy Manager 5.1. Eso es suficiente. Si hay servidores adicionales de versiones anteriores que ejecutan la replicacin, desactive la replicacin antes de la migracin y actvela despus de la migracin. Si hay servidores adicionales de versiones anteriores que ejecutan conmutacin por error o balanceo de carga, deshabilite el servicio de Symantec Policy Manager en esos equipos. A continuacin, migre los servidores uno por uno. Comience con el servidor que usted instal primero con el archivo de licencia y el secreto previamente compartido. Despus de que se migren los servidores, stos administran automticamente los clientes de versiones anteriores. A continuacin, utilice la funcin de actualizacin automtica para migrar los equipos cliente a la ltima versin, que es la manera ms fcil de migrar clientes. Nota: Las situaciones del servidor admiten migraciones de Symantec Endpoint Protection y Symantec Network Access Control.
Migrar una instancia de instalacin que utiliza un servidor de administracin

Migrar una instancia de instalacin que utiliza un servidor de administracin es un proceso directo, ya que solamente se migra un sitio. Se instala Symantec Endpoint Protection Manager en el equipo con Symantec Sygate Enterprise Protection. A continuacin, proceda a actualizar su software de cliente. La base de datos tambin se migra. No importa si el servidor de bases de datos integradas o una instancia local o remota de Microsoft SQL Server mantiene la base de datos. Para migrar un sitio que utiliza un servidor de administracin
Migre su servidor de administracin. Ver "Migrar un servidor de administracin" en la pgina 197.
194
Migrar una instancia de instalacin que utiliza una base de datos de Microsoft SQL y varios servidores de administracin
Migrar una instancia de instalacin que utiliza una base de datos y varios servidores de administracin tiene las implicaciones siguientes:
Los servidores de administracin estn configurados para el balanceo de carga o la conmutacin por error. La base de datos se ejecuta en Microsoft SQL Server porque la conmutacin por error y el balanceo de carga slo se admiten en Microsoft SQL Server. La replicacin no se realiza porque hay solamente una base de datos.
Todas las instancias de instalacin tienen un sitio en el cual primero se instal el servidor de administracin. Solamente uno de estos servidores de administracin fue instalado con una licencia y un secreto previamente compartido. Es necesario migrar este servidor de administracin primero. A continuacin, migre los otros servidores de administracin instalados para la conmutacin por error y el balanceo de carga. Para migrar una instancia de instalacin que utiliza una base de datos de Microsoft SQL y varios servidores de administracin
En todos los servidores de administracin que no fueron instalados con la licencia y el secreto previamente compartido, deshabilite el servicio de Symantec Policy Manager con las Herramientas administrativas de Windows. Ver "Detener los servidores antes de la migracin de balanceo de carga y conmutacin por error" en la pgina 198.
Realice la autenticacin e inicie sesin en el equipo que contiene la instancia de Symantec Policy Manager instalada con la licencia y el secreto previamente compartido. No inicie sesin en Symantec Policy Manager.
Migre el servidor de administracin. Ver "Migrar un servidor de administracin" en la pgina 197.
Migre todos los servidores de administracin adicionales uno por uno.
Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin tiene las implicaciones siguientes:
195
No se realiza conmutacin por error ni balanceo de carga porque la base de datos integrada no admite servidores de conmutacin por error o balanceo de carga. Los servidores de administracin estn configurados solamente para replicacin, porque no es posible instalar varios servidores de bases de datos integradas sin instalarlos como servidores de replicacin.
Todos los sitios tienen un equipo en el cual primero se instal el servidor de administracin. Solamente uno de estos servidores de administracin fue instalado con una licencia y un secreto previamente compartido. Es necesario migrar este servidor de administracin primero. A continuacin, migre los otros servidores de administracin instalados para la replicacin. Para migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
En todos los servidores de administracin, deshabilite la replicacin. Ver "Deshabilitar la replicacin antes de la migracin" en la pgina 198.
Realice la autenticacin e inicie sesin en el equipo que contiene la instancia de Symantec Policy Manager instalada con la licencia y el secreto previamente compartido. No inicie sesin en Symantec Policy Manager.
Migre el servidor de administracin. Ver "Migrar un servidor de administracin" en la pgina 197.
4 5
Migre todos los servidores de administracin adicionales uno por uno. Despus de migrar los servidores, habilite la replicacin en cada servidor. Ver "Habilitar la replicacin despus de la migracin" en la pgina 199.
Migrar una instancia de instalacin que utiliza varias bases de datos SQL y servidores de administracin
Migrar un sitio que utiliza varias bases de datos SQL y servidores de administracin tiene las implicaciones siguientes:
Se configura la replicacin porque utiliza varias bases de datos de Microsoft SQL 2000. Los servidores de administracin pueden estar configurados para el balanceo de carga o la conmutacin por error.
Todos los sitios tienen un equipo en el cual primero se instal el servidor de administracin. Solamente uno de estos servidores de administracin fue instalado con una licencia y un secreto previamente compartido. Es necesario migrar este
196
Migrar software de versin anterior de Symantec Sygate Procedimientos de migracin de servidores de administracin
servidor de administracin primero. A continuacin, migre los otros servidores de administracin instalados para la replicacin, la conmutacin por error y el balanceo de carga. Nota: Es posible tener una base de datos integrada que se replique con la base de datos de Microsoft SQL. La base de datos integrada, sin embargo, no admite servidores de conmutacin por error y balanceo de carga. Para migrar una instancia de instalacin que utiliza varias bases de datos SQL y servidores de administracin
En todos los servidores de administracin que realicen la replicacin en una base de datos, deshabilite la replicacin. Ver "Deshabilitar la replicacin antes de la migracin" en la pgina 198.
En todos los servidores de administracin que realicen balanceo de carga y conmutacin por error para esa base de datos y que no fueron instalados con la licencia y el secreto previamente compartido, deshabilite el servicio de Symantec Policy Manager con las Herramientas administrativas de Windows. Ver "Detener los servidores antes de la migracin de balanceo de carga y conmutacin por error" en la pgina 198.
Realice la autenticacin e inicie sesin en el equipo que contiene la instancia de Symantec Policy Manager instalada con la licencia y el secreto previamente compartido, pero no inicie sesin en Symantec Policy Manager. Migre el servidor de administracin. Ver "Migrar un servidor de administracin" en la pgina 197.
5 6 7
Migre todos los servidores de administracin adicionales que realicen conmutacin por error y balanceo de carga uno por uno. Repita los pasos anteriores hasta que haya migrado todos los sitios. Active la replicacin en un sitio por vez hasta que todos los sitios realicen replicacin nuevamente. Ver "Habilitar la replicacin despus de la migracin" en la pgina 199.
Procedimientos de migracin de servidores de administracin

Utilice estos procedimientos para migrar servidores y consolas de administracin, y bases de datos de administracin que se basan en las situaciones correspondientes
197
a sus entornos y sitios. El orden en el cual usted sigue estos pasos depende de la situacin de la migracin. Ver "Situaciones de migracin de servidores" en la pgina 193.
Migrar un servidor de administracin

Es necesario migrar todos los servidores de administracin antes de migrar clientes. Si migra los servidores de administracin en un entorno que admita balanceo de carga, conmutacin por error o replicacin, es necesario preparar y migrar los servidores de administracin en un orden muy especfico. Ver "Situaciones de migracin de servidores" en la pgina 193. Advertencia: Identifique y siga su situacin de migracin para que la migracin no presente errores. Si migra los servidores de Symantec Sygate Enterprise Protection que han implementado polticas de integridad del host o proteccin de Enforcer, primero instale Symantec Endpoint Protection Manager para Symantec Endpoint Protection. A continuacin, repita el procedimiento e instale Symantec Endpoint Protection Manager para Symantec Network Access Control para acceder a las funciones de integridad del host y de Enforcer. Para migrar un servidor de administracin
En el servidor que se desea migrar, inserte el CD de instalacin para uno de los siguientes productos:

Symantec Endpoint Protection Symantec Network Access Control
Inicie el programa de instalacin y, a continuacin, realice una de las siguientes tareas:
Para instalar Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection Manager. Para instalar Symantec Network Access Control, haga clic en Instalar Symantec Network Access Control y despus haga clic en Instalar Symantec Endpoint Protection Manager.
3 4
En el panel de bienvenida, haga clic en Siguiente. Haga clic en las indicaciones de instalacin hasta que la instalacin comience. La instalacin inicial de archivos dura varios minutos.
En el panel Asistente de instalacin finalizado, haga clic en Finalizar.
198
6 7 8 9
En el panel de bienvenida del Asistente para la actualizacin de servidores de administracin, haga clic en Siguiente. En la indicacin de informacin, haga clic en Continuar. Cuando el Estado de actualizacin del servidor es correcto, haga clic en Siguiente. En el panel La actualizacin se realiz correctamente, haga clic en Finalizar. Manager, inicie sesin en la consola con sus credenciales de inicio de sesin de la versin anterior.
10 Cuando aparece el panel de inicio de sesin de Symantec Endpoint Protection
11 (Opcional) si es necesario instalar Symantec Endpoint Protection Manager

para Symantec Network Access Control, cierre sesin en Symantec Endpoint Protection Manager. Despus repita este procedimiento e instale Symantec Endpoint Protection Manager para Symantec Network Access Control desde el CD de instalacin de Symantec Network Access Control. No es necesario reiniciar el equipo, pero puede notar mejoras del rendimiento si lo reinicia y luego inicia de sesin.
Detener los servidores antes de la migracin de balanceo de carga y conmutacin por error
Si tiene servidores de versiones anteriores de Symantec que realicen balanceo de carga y conmutacin por error, debe detener el servicio de Symantec Policy Manager en todos esos servidores. Al detener este servicio, se detienen los servidores de una versin anterior que intentan actualizar la base de datos durante la migracin. Los servidores de una versin anterior no deben intentar actualizar la base de datos hasta que la migracin se complete. Para detener los servidores que proporcionan balanceo de carga y conmutacin por error
1 2 3
Haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas. En la ventana Servicios, bajo Nombre, desplcese hasta Symantec Policy Manager y haga clic con el botn secundario sobre esta opcin. Haga clic en Detener.
Deshabilitar la replicacin antes de la migracin

Si tiene sitios de versiones anteriores de Symantec configurados para la replicacin, es necesario deshabilitar la replicacin antes de la migracin. Los sitios no deben intentar replicar datos entre la base de datos de la versin anterior y la actualizada
199
durante la migracin o despus de ella. Es necesario deshabilitar la replicacin en cada sitio en que corresponda, lo cual significa que es necesario iniciar sesin en al menos dos sitios e deshabilitar la replicacin en ellos. Para deshabilitar la replicacin
1 2 3 4 5
Inicie sesin en la Consola Symantec Policy Management si no est conectado. En la ficha Servidores, en el panel izquierdo, expanda Sitio local y despus expanda Asociados de replicacin. Para cada sitio que se mencione bajo Asociados de replicacin, haga clic con el botn secundario en el sitio y despus haga clic en Eliminar. En la indicacin Eliminar asociado, haga clic en S. Cierre sesin en la consola y repita este procedimiento en todos los sitios que repliquen datos.
Habilitar la replicacin despus de la migracin

Despus de que usted migre todos los servidores que utilizaron la replicacin, la conmutacin por error y el balanceo de carga, debe activar la replicacin. Despus de la migracin, agregue un asociado de replicacin para habilitar la replicacin. Slo debe agregar asociados de replicacin en el equipo en el que instal el servidor de administracin. Los asociados de replicacin aparecen automticamente en los otros servidores de administracin. Para habilitar la replicacin despus de la migracin
1 2 3 4 5
Inicie sesin en la Consola Symantec Policy Management si no est conectado. En la ficha Servidores, en el panel izquierdo, expanda Sitio local y despus expanda Asociados de replicacin. Para cada sitio que se mencione bajo Asociados de replicacin, haga clic con el botn secundario en el sitio y despus haga clic en Agregar asociado. En el panel Agregar asociado de replicacin, haga clic en Siguiente. En el panel Informacin del sitio remoto, escriba la informacin que identifica al asociado de replicacin, escriba la informacin de autenticacin y, luego, haga clic en Siguiente. En el panel Programar replicacin, configure la programacin para cuando ocurra la replicacin automticamente y, luego, haga clic en Siguiente. En el panel Replicacin de paquetes de cliente y archivos de registro, active los elementos para replicar y, luego, haga clic en Siguiente. Replicar los paquetes implica generalmente grandes cantidades de requisitos de trfico y de almacenamiento.
6 7
200
Migrar software de versin anterior de Symantec Sygate Acerca de los cambios de la interfaz y de las funciones del usuario de la consola despus de la migracin
8 9
En el panel Completar el Asistente para agregar asociados de replicacin, haga clic en Finalizar. Repita este paso para todos los servidores de administracin que replican datos con este servidor de administracin.
Acerca de los cambios de la interfaz y de las funciones del usuario de la consola despus de la migracin
Los siguientes cambios de las interfaces de usuario aparecen despus de la migracin:
El men Iniciar programa de Symantec Policy Manager se modifica a Consola de Symantec Endpoint Protection Manager. El directorio de instalacin y el nombre del servicio conservan el nombre de versin anterior de Symantec Policy Manager y no cambian el nombre. Las polticas de proteccin de SO de versin anterior aparecen como polticas de proteccin de dispositivos de hardware. Varios nuevos tipos de polticas estn disponibles para Configuracin de LiveUpdate, AntiVirus y Antispyware, y as sucesivamente. No es posible utilizar las nuevas polticas hasta que migre los clientes. Los paquetes de instalacin de clientes de una versin anterior se quitan de la base de datos de modo que no aparezcan en la consola migrada. Sin embargo, estos paquetes an permanecen en el directorio de paquetes de versin anterior. Es necesario exportar los nuevos paquetes de instalacin de clientes a un directorio diferente. El Programador de informes est disponible ahora desde la ficha Informes en lugar del cuadro de dilogo Propiedades del sitio del servidor. Se ha desaprobado la administracin de la licencia y no se necesita ms. La Administracin de paquetes est disponible ahora en el panel Servidores en lugar de en el panel Administrador de clientes de una versin anterior. Los componentes de la Biblioteca de polticas tales como Listas de servidores de administracin y Servicios de red estn disponibles ahora en el panel Polticas, en las listas de Polticas y se identifican como Componentes de polticas. Las funciones de la ficha de Servidores y administradores se han consolidado en el panel Administrador. La migracin del servidor depura todos los paquetes de instalacin de clientes de la base de datos. Estos paquetes ya no se admiten, y la eliminacin de
Migrar software de versin anterior de Symantec Sygate Migrar consolas de administracin remotas
201
paquetes no afecta a los clientes conectados. Esta purgacin previene solamente las nuevas implementaciones de los paquetes de clientes de una versin anterior.
Migrar consolas de administracin remotas

Para migrar consolas de administracin remotas de versiones anteriores, se instalan las ltimas consolas de administracin remotas en los equipos que ejecutan las consolas de versiones anteriores. Los iconos de versiones anteriores de Symantec Policy Manager y el men de inicio del programa no se migran. Sin embargo, cuando hace clic en el icono o elemento de men, stos muestran la nueva indicacin de inicio de sesin de Symantec Endpoint Protection Manager. Cuando las consolas de administracin remotas de una versin anterior fueron instaladas, Sun Java 1.4 runtime se pudo haber instalado en el equipo si an no lo estaba. Esta nueva versin de la consola de administracin remota descarga e instala Sun Java 1.5 al equipo remoto. Si no es necesario Sun Java 1.4 runtime para ninguna otra aplicacin, es posible quitarla con la utilidad de Windows Agregar o quitar programas. Para migrar consolas de administracin remotas
1 2
En el equipo en el cual se instalar la consola de administracin, inicie un navegador Web. En el cuadro URL, escriba uno de los identificadores siguientes para el equipo que ejecuta el administrador de polticas:

http://nombre_equipo: 9090 http://direccin_IP_equipo: 9090
El nmero de puerto predeterminado para el puerto de la consola Web es 9090. Si se especific un puerto diferente durante la instalacin, sustituya 9090 por el puerto que usted especific. Es posible modificar el nmero de puerto usando el Asistente para la configuracin del servidor de administracin.
3 4
En la ventana de la consola de Symantec Policy Management, haga clic en Aqu para descargar e instalar JRE 1.5. Responda y siga las indicaciones e inicie sesin en la consola de Symantec Endpoint Protection Manager.
202
Migrar software de versin anterior de Symantec Sygate Acerca de la configuracin de polticas migradas y nuevas
Acerca de la configuracin de polticas migradas y nuevas

La Consola de Symantec Endpoint Protection Manager le permite administrar clientes de una versin anterior. Si migr a Symantec Endpoint Protection, la consola tambin contiene las polticas migradas de firewall y de prevencin de intrusiones que contienen la configuracin anterior. Adems, tambin estn disponibles las nuevas polticas. Como resultado, es necesario familiarizarse con las nuevas polticas que afectan a sus grupos antes de migrar clientes de versiones anteriores. Por ejemplo, si se decide agregar la proteccin antivirus y contra software espa a sus clientes durante la migracin, familiarcese con la configuracin de la poltica antivirus y contra software espa. Adems, la configuracin de LiveUpdate y las polticas de contenido de LiveUpdate afectan a Symantec Endpoint Protection y Symantec Network Access Control. Como resultado, es necesario conocer profundamente estas polticas y cmo afectan a sus grupos y ubicaciones antes de la migracin de clientes.
Acerca de la eliminacin de la proteccin de contrasea del cliente de la configuracin del grupo

La configuracin de los grupos se migra e incluye las opciones de proteccin de contrasea del cliente del grupo. Si la configuracin del grupo habilita una o ms contraseas, por ejemplo para la desinstalacin, la migracin del cliente presentar errores para ciertas versiones de MR. Se recomienda deshabilitar estas contraseas en los grupos migrados con la Consola de Symantec Endpoint Protection Manager antes de migrar software del cliente de una versin anterior. La configuracin de proteccin mediante contrasea aparece en Configuracin general para cada grupo. Es posible activar estas contraseas despus de la migracin. Advertencia: Si no deshabilita la contrasea de desinstalacin e implementa nuevos paquetes de instalacin de clientes, es posible que deba escribir esta contrasea en cada equipo cliente para realizar la migracin del cliente. Si implementa 100 o ms clientes, puede tener que enviar por correo electrnico la contrasea a los usuarios finales.
Migrar software de versin anterior de Symantec Sygate Migrar software de cliente de versiones anteriores de Symantec Sygate
203
Migrar software de cliente de versiones anteriores de Symantec Sygate

La manera ms fcil de migrar el software de Symantec Protection Agent y Symantec Enforcement Agent es usando la funcin de actualizacin automtica. Se admiten el resto de los mtodos de implementacin de software de cliente, pero el enfoque de actualizacin automtica es la manera ms fcil. La migracin puede durar hasta 30 minutos. Por lo tanto, es necesario migrar cuando la mayora de los usuarios no estn conectados a sus equipos. Nota: Pruebe este enfoque de migracin antes de distribuir la migracin a una gran cantidad de equipos. Es posible crear un nuevo grupo y colocar una pequea cantidad de equipos cliente en ese grupo. Para migrar software de cliente
1 2 3 4 5
Inicie sesin en la Consola de Symantec Endpoint Protection Manager recin migrada si no est conectado. Haga clic en Administrador > Paquetes de instalacin. En el panel inferior izquierdo, bajo Tareas, haga clic en Actualizar los grupos con el paquete. En el panel Bienvenido al Asistente para actualizar grupos, haga clic en Siguiente. En el panel Seleccionar paquete de instalacin de clientes, en el men desplegable Seleccione el nuevo paquete de instalacin de clientes, realice una de las siguientes acciones:

Haga clic en Symantec Endpoint Protection <versin correspondiente>. Haga clic en Symantec Network Access Control <versin correspondiente>.
6 7
En el panel Especificar grupos, marque uno o ms grupos que contengan los equipos cliente que usted desea para migrar y haga clic en Siguiente. En el panel Configuracin de actualizacin de paquetes, marque Descargar del servidor de administracin. Es posible preparar y seleccionar opcionalmente un paquete en un servidor Web.
Haga clic en Opciones de actualizacin.
204
Migrar software de versin anterior de Symantec Sygate Migrar software de cliente de versiones anteriores de Symantec Sygate
En el cuadro de dilogo Agregar paquete de instalacin de clientes, en la ficha General, especifique una programacin sobre cundo migrar los equipos cliente. durante la actualizacin. Para obtener informacin sobre las opciones de estas fichas, haga clic en Ayuda.
10 En la ficha Notificacin, especifique un mensaje para mostrar a los usuarios
11 Haga clic en Aceptar. 12 En el cuadro de dilogo de instalacin del paquete de instalacin de clientes,
haga clic en Siguiente.
13 En el panel Completando el Asistente para actualizar clientes, haga clic en

Finalizar.
Captulo
Actualizar a los nuevos productos de Symantec


Acerca de la actualizacin a nuevos productos de Symantec Actualizar Symantec Endpoint Protection Manager Realizar una copia de respaldo de la base de datos Deshabilitar la replicacin Detener el servicio de Symantec Endpoint Protection Manager Actualizar Symantec Endpoint Protection Manager Habilitar la replicacin despus de la migracin Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control Acerca de actualizar clientes de Symantec Network Access Control con Symantec Endpoint Protection
Acerca de la actualizacin a nuevos productos de Symantec

Symantec Endpoint Protection Manager admite la administracin y la implementacin de los siguientes productos de Symantec:

206
Actualizar a los nuevos productos de Symantec Actualizar Symantec Endpoint Protection Manager
Es posible actualizar Symantec Endpoint Protection con Symantec Network Access Control y Symantec Network Access Control con Symantec Endpoint Protection.
Actualizar Symantec Endpoint Protection Manager

Para actualizar Symantec Endpoint Protection con Symantec Network Access Control, instale Symantec Endpoint Protection Manager para Symantec Network Access Control en los equipos que ejecutan Symantec Endpoint Protection Manager para Symantec Endpoint Protection. Para actualizar Symantec Network Access Control con Symantec Endpoint Protection, instale Symantec Endpoint Protection Manager para Symantec Endpoint Protection en los equipos que ejecutan Symantec Endpoint Protection Manager para Symantec Network Access Control. Advertencia: Es necesario detener el servicio de Symantec Endpoint Protection Manager antes de actualizar la instalacin existente de Symantec Endpoint Protection Manager. Si no lo hace, puede daarse la instalacin existente de Symantec Endpoint Protection Manager.
Realizar una copia de respaldo de la base de datos

Antes de la actualizacin, debe realizar una copia de respaldo de la base de datos. Para realizar una copia de respaldo de la base de datos
1 2 3 4
Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Database Backup and Restore. En el cuadro de dilogo Database Backup and Restore, haga clic en Copia de respaldo. Cuando aparezca la indicacin Mensaje, haga clic en S. Cuando la copia de respaldo termine, haga clic en Aceptar. Este proceso tardar unos minutos. Los archivos de copia de respaldo son archivos .zip que se guardan en \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\.
En el cuadro de dilogo Database Backup and Restore, haga clic en Salir.
Actualizar a los nuevos productos de Symantec Deshabilitar la replicacin
207
Deshabilitar la replicacin
Si su sitio utiliza replicacin, es necesario deshabilitarla antes de actualizar Symantec Endpoint Protection Manager. Debe deshabilitar la replicacin en cada sitio en que se produzca. Para deshabilitar la replicacin
1 2 3 4 5
Inicie sesin en la Consola de Symantec Endpoint Protection Manager. En la ficha Servidores, en el panel izquierdo, expanda Sitio local y despus expanda Asociados de replicacin. Para cada sitio que se mencione bajo Asociados de replicacin, haga clic con el botn secundario en el sitio y despus haga clic en Eliminar. En la indicacin Eliminar asociado, haga clic en S. Cierre sesin en la consola y repita este procedimiento en todos los sitios que repliquen datos.
Detener el servicio de Symantec Endpoint Protection Manager

Antes de la actualizacin, se debe detener manualmente el servicio de Symantec Endpoint Protection Manager en cada servidor de administracin del sitio. Despus de que realice la actualizacin, el servicio se inicia automticamente. Advertencia: Es necesario detener el servicio de Symantec Endpoint Protection Manager antes de realizar este procedimiento o se daar la instalacin existente de Symantec Endpoint Protection Manager. Para detener el servicio de Symantec Endpoint Protection Manager
1 2 3
Haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas > Servicios. En la ventana Servicios, bajo Nombre, desplcese hasta Symantec Endpoint Protection Manager y haga clic con el botn secundario sobre esta opcin. Haga clic en Detener.
208
Actualizar a los nuevos productos de Symantec Actualizar Symantec Endpoint Protection Manager
Cierre la ventana Servicios. Advertencia: Cierre la ventana Servicios o la actualizacin puede fallar.
Repita este procedimiento para todas las instalaciones de Symantec Endpoint Protection Manager.
Actualizar Symantec Endpoint Protection Manager

Es necesario actualizar todas las instancias de Symantec Endpoint Protection Manager en las cuales usted detuvo el servicio de Symantec Endpoint Protection. Para actualizar Symantec Endpoint Protection Manager
En el servidor que se debe actualizar, inserte uno de los siguientes CD de instalacin e inicie la instalacin:

Realice uno de los pasos siguientes:
En el panel de Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection Manager. En el panel de Symantec Network Access Control, haga clic en Instalar Symantec Network Access Control y despus haga clic en Instalar Symantec Endpoint Protection Manager.
3 4 5
En el panel de bienvenida, haga clic en Siguiente. En el panel Contrato de licencia, seleccione Acepto los trminos del contrato de licencia y, a continuacin, haga clic en Siguiente. En el panel Preparado para instalar el programa, haga clic en Instalar. En el panel Asistente de instalacin finalizado, haga clic en Finalizar. Se inicia el Asistente para la actualizacin de servidores de administracin.
6 7 8
En el panel de bienvenida del Asistente para la actualizacin de servidores de administracin, haga clic en Siguiente. En el panel Informacin, haga clic en Continuar. Cuando la actualizacin termine, haga clic en Siguiente.
Actualizar a los nuevos productos de Symantec Habilitar la replicacin despus de la migracin
209
En el panel La actualizacin se realiz correctamente, haga clic en Finalizar. para asegurarse de que se usen los archivos actualizados cuando se inicia sesin en la consola.
10 Elimine los archivos de la carpeta de archivos temporales de Internet Explorer
Habilitar la replicacin despus de la migracin

Despus de que migre todos los servidores que utilizaban la replicacin, incluidos los servidores que fueron configurados para la conmutacin por error y el balanceo de carga, debe activar la replicacin. Despus de la migracin, agregue un asociado de replicacin para habilitar la replicacin. Slo debe agregar asociados de replicacin en el equipo en el que instal el servidor de administracin. Los asociados de replicacin aparecen automticamente en los otros servidores de administracin. Para habilitar la replicacin despus de la migracin
1 2 3 4 5
Inicie sesin en la Consola Symantec Policy Management si no est conectado. En la ficha Servidores, en el panel izquierdo, expanda Sitio local y despus expanda Asociados de replicacin. Para cada sitio que se mencione bajo Asociados de replicacin, haga clic con el botn secundario en el sitio y despus haga clic en Agregar asociado. En el panel Agregar asociado de replicacin, haga clic en Siguiente. En el panel Informacin del sitio remoto, escriba la informacin que identifica sobre el asociado de replicacin, escriba la informacin de autenticacin y, luego, haga clic en Siguiente. En el panel Programar replicacin, configure la programacin para cuando ocurra la replicacin automticamente y, luego, haga clic en Siguiente. En el panel Replicacin de paquetes de cliente y archivos de registro, active los elementos para replicar y, luego, haga clic en Siguiente. Replicar los paquetes implica generalmente grandes cantidades de requisitos de trfico y de almacenamiento.
6 7
8 9
En el panel Completar el Asistente para agregar asociados de replicacin, haga clic en Finalizar. Repita este paso para todos los equipos que replican datos con este equipo.
210
Actualizar a los nuevos productos de Symantec Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control
Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control
Los clientes de Symantec Endpoint Protection incluyen Symantec Network Access Control y no necesitan ser actualizados. Despus de actualizar Symantec Endpoint Protection Manager para Symantec Network Access Control, puede aplicar polticas de integridad del host en sus clientes existentes.
Acerca de actualizar clientes de Symantec Network Access Control con Symantec Endpoint Protection
Se actualizan los clientes de Symantec Network Access Control con la instalacin de Symantec Endpoint Protection en esos clientes. La instalacin detecta automticamente el cliente de Symantec Network Access Control, lo quita y despus instala el software de cliente de Symantec Endpoint Protection. Es posible implementar el software de cliente usando mtodos de implementacin de clientes compatibles.
Seccin
Apndices
Funciones y propiedades de instalacin de Symantec Endpoint Protection Actualizar el software de cliente de Symantec Recuperacin despus de un desastre
212
Apndice
Funciones y propiedades de instalacin de Symantec Endpoint Protection

En este Apndice se incluyen los temas siguientes:

Acerca de las funciones y propiedades de instalacin Funciones y propiedades de la instalacin de clientes Parmetros de Windows Installer Propiedades del Centro de seguridad de Windows Acerca de la utilizacin del archivo de registro para comprobar errores Identificacin del punto de falla de una instalacin Ejemplos de lnea de comandos
Acerca de las funciones y propiedades de instalacin

Las funciones y propiedades de instalacin son las cadenas que aparecen en archivos de texto y lneas de comando. Los archivos de texto y las lneas de comando se procesan durante todas las instalaciones de software de cliente para Symantec Endpoint Protection. Las funciones de instalacin controlan qu componentes se instalarn. Las propiedades de instalacin controlan qu subcomponentes se habilitan o se deshabilitan despus de la instalacin. Las funciones y las propiedades de instalacin estn disponibles para el software del cliente de Symantec Endpoint Protection solamente, y tambin estn disponibles para el sistema operativo Windows. Las funciones y las propiedades de instalacin
214
Funciones y propiedades de instalacin de Symantec Endpoint Protection Acerca de las funciones y propiedades de instalacin
no estn disponibles para el software de cliente de Symantec Network Access Control, o para las instalaciones de Symantec Endpoint Protection Manager. Las funciones y las propiedades de instalacin se especifican en dos maneras: como lneas en el archivo Setaid.ini y como valores en comandos de Windows Installer (MSI). Los comandos de MSI se pueden especificar en cadenas de Windows Installer y en vpremote.dat, para la implementacin personalizada del Asistente de implementacin mediante transferencia. Los comandos de Windows Installer y Setaid.ini se procesan siempre para todas las instalaciones de software de clientes administrados. Si se especifican distintos valores para las mismas funciones y valores, las funciones y los valores de Setaid.ini toman siempre precedencia, porque este archivo se procesa ltimo. Por ejemplo, si una funcin MSI especifica para instalar el Firewall y Prevencin de intrusiones y si setaid.ini especifica no instalar el Firewall y Prevencin de intrusiones, Firewall y Prevencin de intrusiones no se instalan.
Acerca de la configuracin de Setaid.ini

Setaid.ini aparece en todos los paquetes de instalacin. Setaid.ini toma siempre precedencia sobre cualquier configuracin que pueda aparecer en una cadena de comando de MSI que se utilice para iniciar la instalacin. Setaid.ini aparece en el mismo directorio que setup.exe. Si exporta a un solo archivo .exe, no es posible configurar Setaid.ini. Sin embargo, el archivo se configura automticamente cuando se exportan los archivos de instalacin del cliente de Symantec Endpoint Protection desde la consola. Las lneas siguientes muestran algunas de las opciones que es posible configurar en Setaid.ini. El valor 1 habilita una funcin y el valor 0 deshabilita una funcin.
[CUSTOM_SMC_CONFIG] InstallationLogDir= DestinationDirectory= [FEATURE_SELECTION] Core=1 SAVMain=1 EmailTools=1 OutlookSnapin=1 Pop3Smtp=0 NotesSnapin=0 PTPMain=1 DCMain=1
Funciones y propiedades de instalacin de Symantec Endpoint Protection Acerca de las funciones y propiedades de instalacin
215
COHMain=1 ITPMain=1 Firewall=1
Nota: Las funciones se muestran con sangra para mostrar jerarqua. Las funciones no incluyen esta sangra dentro del archivo Setaid.ini. Los nombres de funciones en Setaid.ini diferencian entre maysculas y minsculas. Ver "Funciones y propiedades de la instalacin de clientes" en la pgina 216. Los valores de funciones que se configuran en 1 instalan las funciones. Los valores de funciones que se configuran en 0 no instalan las funciones. Es necesario especificar e instalar las funciones principales correctamente para instalar las funciones del cliente segn las indicaciones del rbol de funciones. Ver Figura A-1 en la pgina 216. La nica vez que Setaid.ini no se procesa es cuando se instala el software de cliente con los archivos del directorio SAV del CD de instalacin. Es posible instalar estos archivos con herramientas de distribucin de otros fabricantes, como SMS. Tenga en cuenta la configuracin adicional de setaid.ini siguiente que se asigna a las propiedades MSI para la instalacin del cliente de Symantec Endpoint Protection:

DestinationDirectory se asigna a INSTALLDIR KeepPreviousSetting se asigna a MIGRATESETTINGS AddProgramIntoStartMenu se asigna a ADDSTARTMENUICON
Acerca de la configuracin de cadenas de comando de MSI

El software de instalacin de Symantec Endpoint Protection utiliza paquetes de Windows Installer (MSI) 3.1 para la instalacin y la implementacin. Si utiliza la lnea de comandos para instalar o para implementar un paquete de instalacin, puede personalizar la instalacin con los parmetros estndar de Windows Installer y las funciones y propiedades especficas de Symantec. Para utilizar este programa de instalacin de Windows, se necesitan privilegios elevados. Si se intenta realizar la instalacin sin los privilegios elevados, el proceso fallar sin que se muestre ninguna notificacin. Para obtener la informacin ms actualizada acerca de los parmetros y los comandos de instalacin de Symantec, consulte la base de conocimientos del sitio Web de Symantec.
216
Funciones y propiedades de instalacin de Symantec Endpoint Protection Funciones y propiedades de la instalacin de clientes
Nota: No se admite la funcin de anuncios de Microsoft Installer. Las funciones y propiedades especificadas en Setaid.ini tienen precedencia sobre las funciones y propiedades especificadas por MSI. Los nombres de las funciones y propiedades en los comandos de MSI diferencian entre maysculas y minsculas.
Funciones y propiedades de la instalacin de clientes

Las funciones y las propiedades de la instalacin de clientes afectan las instalaciones de clientes de Symantec Endpoint Protection.
Funciones del cliente de Symantec Endpoint Protection

Las funciones de Symantec Endpoint Protection pueden instalarse especificndolas en archivos Setaid.ini y en comandos de MSI. La mayora de las funciones tienen una relacin de elemento principal y secundario. Si desea instalar una funcin secundaria que tenga una funcin principal, es necesario tambin instalar la funcin principal. La Figura A-1 ilustra el rbol de funciones para el software de cliente de Symantec Endpoint Protection. Figura A-1 rbol de funciones
El rbol de funciones muestra cuatro funciones primarias a la izquierda. Siempre se debe especificar la funcin Core para la instalacin. Contiene las funciones base de comunicaciones de los clientes. Las otras tres funciones se pueden instalar como funciones independientes. SAVMain instala la proteccin antivirus y contra software espa, PTPMain instala la tecnologa de anlisis de amenazas proactivo TruScan e ITPMain instala la proteccin contra amenazas de red.
217
Nota: COHMain y DCMain necesitan dos servidores principales. COHMain es Anlisis de amenazas proactivo y necesita PTPMain y SAVMain. DCMain, que es el Control de aplicaciones y dispositivos, necesita PTPMain e ITPMain. Para setaid.ini y MSI, si usted especifica una funcin secundaria, pero no especifica su funcin principal, la funcin secundaria se instala. Sin embargo, la funcin no podr utilizarse porque la funcin principal no est instalada. Por ejemplo, si especifica la instalacin de la funcin de firewall, pero no especifica la instalacin de ITPMain, su funcin principal, el firewall no se instala. La Tabla A-1 describe las funciones que se pueden instalar para la instalacin del cliente de Symantec Endpoint Protection, junto con cualquier propiedad disponible. Tabla A-1 Funcin
Core
Funciones del cliente de Symantec Endpoint Protection Descripcin Funciones principales obligatorias
Instala los archivos que se utilizan Ninguno para las comunicaciones entre los clientes y Symantec Endpoint Protection Manager. Esta funcin es obligatoria. Instala los archivos de las funciones Ninguno antivirus y contra software espa bsicas.
SAVMain
SymProtectManifest Instala la funcin Proteccin contra Ninguno intervenciones. EmailTools Instala los archivos bsicos de la SAVMain funcin Auto-Protect para el correo electrnico. Instala la funcin de correo electrnico de Auto-Protect para Lotus Notes. Instala la funcin de correo electrnico de Auto-Protect para Microsoft Exchange. SAVMain, EmailTools
NotesSnapin
OutlookSnapin
SAVMain, EmailTools
Pop3Smtp
Instala la funcin Auto-Protect para SAVMain, EmailTools correo electrnico de Internet.
218
Funcin
PTPMain
Descripcin
Instala los archivos bsicos de la funcin de anlisis de amenazas proactivo TruScan. Instala la funcin de anlisis de amenazas proactivo. Instala la funcin Control de aplicaciones y dispositivos. Instala los archivos bsicos de la funcin de Proteccin contra amenazas de red. Instala la funcin del firewall.
Funciones principales obligatorias

Ninguno
COHMain
PTPMain, SAVMain
DCMain
PTPMain, ITPMain
ITPMain
Ninguno
Firewall
IPTMain
Propiedades de la instalacin de clientes de Symantec Endpoint Protection

La Tabla A-2 describe las propiedades de instalacin que pueden configurarse para SAVMain y SymProtect. Tabla A-2 Propiedades de la instalacin de clientes de Symantec Endpoint Protection Descripcin
Determina si se debe ejecutar LiveUpdate como parte de la instalacin, donde valor corresponde a uno de los valores siguientes: 1: ejecuta LiveUpdate durante la instalacin (configuracin predeterminada). 0: no ejecuta LiveUpdate durante la instalacin.
Propiedad
RUNLIVEUPDATE=valor
De forma predeterminada, todos los clientes de Symantec Endpoint Protection en un grupo reciben las ltimas versiones de todo el contenido y de todas las actualizaciones del producto. Si se configura un grupo de clientes para que obtenga actualizaciones de un servidor de administracin, los clientes reciben slo las actualizaciones que el servidor est configurado para descargar. Si la poltica de contenido de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor de administracin no se configura para descargar todas las actualizaciones, los clientes reciben slo lo que el servidor descarga.
Funciones y propiedades de instalacin de Symantec Endpoint Protection Parmetros de Windows Installer
219
Propiedad
ENABLEAUTOPROTECT=valor
Descripcin
Determina si Auto-Protect para el sistema de archivos est activado una vez finalizada la instalacin, donde valor corresponde a uno de los valores siguientes: 1: habilita Auto-Protect despus de la instalacin (valor predeterminado). 0: deshabilita Auto-Protect despus de la instalacin.
SYMPROTECTDISABLED=valor
Determina si se debe habilitar Proteccin contra intervenciones como parte de la instalacin, donde valor corresponde a uno de los valores siguientes: 1: deshabilita Proteccin contra intervenciones despus de la instalacin. 0: habilita Proteccin contra intervenciones despus de la instalacin (valor predeterminado)
Parmetros de Windows Installer

Los paquetes de instalacin de Symantec Endpoint Protection emplean los parmetros estndar de Windows Installer junto con un conjunto de extensiones para la instalacin y la implementacin desde la lnea de comandos. Consulte la documentacin de Windows Installer para obtener informacin adicional acerca del uso de los parmetros estndar de Windows Installer. Es posible tambin ejecutar msiexec.exe desde una lnea de comandos para ver la lista completa de parmetros. La Tabla A-3 describe el grupo de parmetros bsicos que se utilizan para las instalaciones de clientes de Symantec Endpoint Protection. Tabla A-3 Parmetro
Symantec AntiVirus.msi
Comandos Descripcin
Archivo de instalacin Symantec AntiVirus.msi para el cliente de Symantec Endpoint Protection. Si algn archivo .msi contiene espacios, escriba el nombre del archivo entre comillas cuando se utilice con /I y /x. Obligatorio.
Msiexec
Archivo ejecutable de Windows Installer. Obligatorio.
220
Funciones y propiedades de instalacin de Symantec Endpoint Protection Parmetros de Windows Installer
Parmetro
/I "nombre de archivo msi"
Descripcin
Instala el archivo .msi especificado. Si el nombre del archivo contiene espacios, escriba el nombre entre comillas. Si el archivo .msi no est en el mismo directorio desde el que se ejecuta Msiexec, especifique el nombre de la ruta de acceso. Si el nombre de la ruta de acceso contiene espacios, escrbalo entre comillas. Por ejemplo, msiexec.exe /I C: ruta a Symantec AntiVirus .msi Obligatorio.
/qn /x "nombre de archivo msi"
Permite realizar la instalacin de forma silenciosa. Permite desinstalar los componentes especificados. Opcional.
/qb
Permite instalar con una interfaz de usuario bsica que muestra el progreso de la instalacin. Opcional.
/l*v archivo de registro
Crea un archivo de registro detallado, donde archivo de registro corresponde al nombre del archivo que se quiere crear. Opcional.
INSTALLDIR=ruta
Permite designar una ruta personalizada en el equipo de destino, donde ruta corresponde al directorio de destino especificado. Si la ruta incluye espacios, deber escribirla entre comillas.
Nota: El directorio predeterminado es C:\Program Files\Symantec Endpoint

Protection. Opcional. REBOOT=valor Controla el reinicio del equipo tras la instalacin, donde valor corresponde a un argumento vlido. Los argumentos vlidos son:

Force: exige que se reinicie el equipo. Necesario para la desinstalacin. Suppress: impide que se reinicie el equipo en la mayora de las ocasiones. ReallySuppress: impide todos los reinicios como parte del proceso de instalacin, incluso las instalaciones silenciosas.
Opcional.
Nota: Utilice ReallySuppress para suprimir un reinicio cuando se realiza

una desinstalacin silenciosa del cliente de Symantec Endpoint Protection.
Funciones y propiedades de instalacin de Symantec Endpoint Protection Propiedades del Centro de seguridad de Windows
221
Parmetro
ADDLOCAL= funcin
Descripcin
Permite seleccionar las funciones que se quieren instalar, donde funcin corresponde a un componente especfico o a una lista de componentes. Si esta propiedad no se utiliza, todas las funciones aplicables se instalan de forma predeterminada, y los clientes de correo electrnico de Auto-Protect se instalan slo para los programas de correo detectados. Para agregar todas las funciones apropiadas para las instalaciones de clientes, utilice el comando ALL como en ADDLOCAL=ALL. Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 216.
Nota: Cuando especifique una nueva funcin para instalarla, deber incluir
los nombres de las funciones que ya estn instaladas en el equipo de destino y que quiera conservar. Si no se especifican las funciones que se quieren conservar, Windows Installer las desinstala. Al especificar las funciones existentes, usted no sobrescribe las funciones instaladas. Para desinstalar una funcin existente, utilice el comando REMOVE. Opcional. REMOVE=funcin Desinstala un programa instalado previamente o una funcin especfica del programa instalado, donde funcin puede corresponder a uno de los siguientes elementos: funcin: desinstala la funcin o la lista de funciones del equipo de destino. ALL: desinstala el programa y todas las funciones instaladas. Si no se especifica otra funcin, All es el valor predeterminado.
Opcional.
Propiedades del Centro de seguridad de Windows

Es posible personalizar las propiedades del Centro de seguridad de Windows (WSC, Windows Security Center) durante la instalacin del cliente de Symantec Endpoint Protection. Estas propiedades se aplican slo a clientes no administrados. Symantec Policy Manager controla estas propiedades para los equipos cliente administrados. La Tabla A-4 describe las propiedades que se pueden configurar para controlar la interaccin entre los usuarios y el Centro de seguridad de Windows (WSC) que se ejecuta en Windows XP con Service Pack 2.
222
Funciones y propiedades de instalacin de Symantec Endpoint Protection Acerca de la utilizacin del archivo de registro para comprobar errores
Tabla A-4 Propiedad
Propiedades del Centro de seguridad de Windows Descripcin

Controla WSC, donde valor corresponde a uno de los valores siguientes:

WSCCONTROL=valor
0: no controlar (valor predeterminado).
1: deshabilitar una vez, la primera vez que se detecta. 2: deshabilitar siempre.
3: restaurar si est deshabilitado.
WSCAVALERT=valor
Configura alertas de antivirus para WSC, donde valor corresponde a uno de los valores siguientes:

0: habilitar. 1: deshabilitar (valor predeterminado). 2: no controlar.
WSCFWALERT=valor
Configura alertas de firewall para WSC, donde valor corresponde a uno de los valores siguientes:

0: habilitar. 1: deshabilitar (valor predeterminado). 2: no controlar.
WSCAVUPTODATE=valor
Configura el tiempo de desactualizacin de WSC para definiciones antivirus, donde valor corresponde a uno de los valores siguientes: 1 - 90: nmero de das (el valor predeterminado es 30).
DISABLEDEFENDER=valor
Determina si se deshabilita Windows Defender durante la instalacin, donde valor corresponde a uno de los valores siguientes: 1: deshabilita Windows Defender (configuracin predeterminada). 0: no deshabilita Windows Defender.
Acerca de la utilizacin del archivo de registro para comprobar errores

Windows Installer y el Asistente de implementacin mediante transferencia crean archivos de registro que se pueden utilizar para verificar si una instalacin se
Funciones y propiedades de instalacin de Symantec Endpoint Protection Identificacin del punto de falla de una instalacin
223
realiz correctamente. En los archivos de registro se enumeran los componentes que se instalaron correctamente y se brindan detalles relacionados con el paquete de instalacin. Estos archivos tambin pueden emplearse como una herramienta eficaz para solucionar las instalaciones que fallen. Si la instalacin se realiza correctamente, se indicar con una entrada en el archivo de registro cerca del final. Si la instalacin no es correcta, una entrada indica que la instalacin fall. Por lo general, busque Value 3 para encontrar incidentes. Se especifica el archivo de registro y la ubicacin con el parmetro /l*v <nombre de archivo de registro>. El archivo de registro (vpremote.log) que se crea cuando se utiliza el Asistente de implementacin mediante transferencia se encuentra en el directorio \\Windows\temp. Nota: Cada vez que se ejecuta el paquete de instalacin, se sobrescribe el archivo de registro. No se permite aadir registros al final de un archivo de registro existente.
Identificacin del punto de falla de una instalacin

Puede utilizar el archivo de registro como ayuda para identificar el componente o la accin que hace que falle una instalacin. Si no es posible determinar el motivo del error, es necesario conservar el archivo de registro. Proporcione el archivo al soporte tcnico de Symantec, si se le solicita. Para identificar el punto de falla de una instalacin
1 2
En un programa de edicin de texto, abra el archivo de registro que gener la instalacin. Busque lo siguiente:
Value 3
Lo ms probable es que la accin que haya tenido lugar antes de la lnea que contenga esta entrada sea la que haya causado la falla. Las lneas que aparecen despus de esta entrada corresponden a los componentes cuya instalacin se ha revertido debido a que ha fallado el proceso.
Ejemplos de lnea de comandos

La Tabla A-5 incluye ejemplos comunes de lnea de comandos.
224
Funciones y propiedades de instalacin de Symantec Endpoint Protection Ejemplos de lnea de comandos
Tabla A-5 Tarea
Ejemplos de lnea de comandos Lnea de comando
Instalar silenciosamente todos los componentes de cliente msiexec /I "Symantec AntiVirus.msi" de Symantec Endpoint Protection con las opciones INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn /l*v predeterminadas en el directorio C:\SFN. c:\temp\msi.log Suprimir un reinicio del equipo y crear un archivo de registro detallado. Instalar silenciosamente el cliente de Symantec Endpoint msiexec /I "Symantec AntiVirus.msi" Protection con proteccin antivirus y contra software ADDLOCAL=Core,SAVMain,EmailTools,OutlookSnapin, espa y con la proteccin contra amenazas de red. Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log Crear un archivo de registro detallado. El equipo se debe reiniciar para implementar la proteccin contra amenazas de red.
Apndice
Actualizar el software de cliente de Symantec


Acerca de las actualizaciones y los parches Actualizar el software de cliente de Symantec
Acerca de las actualizaciones y los parches

Para comprender que son las actualizaciones y los parches, es necesario comprender dos trminos de Windows Installer: MSI y MSP. Estos trminos no son siglas. MSI es un tipo de archivo y una extensin. MSI es tambin un trmino comn que se utiliza para describir un paquete de instalacin completo que se instala con Windows Installer. MSP es un tipo de archivo y una extensin. MSP es un trmino comn utilizado para describir un parche para un paquete de instalacin MSI. El MSP no puede ser aplicado a menos que el MSI en el que se basa el parche est disponible o instalado en un equipo cliente. Peridicamente, Symantec crea versiones de mantenimiento para el software de cliente de Symantec. Cada versin de mantenimiento est disponible en dos formas: MSI y MSP. La forma MSI incluye el paquete completo de instalacin de archivos. La forma MSP incluye solamente los archivos de instalacin que deben actualizarse en la nueva versin de mantenimiento. En la forma MSP, se asume que la versin de mantenimiento actual est instalada en el equipo cliente y que se puede aplicar un parche a la ltima versin. Cuando los clientes reciben actualizaciones del producto de Symantec o de los servidores internos de LiveUpdate, reciben y procesan archivos MSP bajo la forma de archivos TRZ. Cuando los clientes reciben actualizaciones del producto de Symantec Endpoint Protection Manager, reciben y procesan una tercera forma
226
Actualizar el software de cliente de Symantec Actualizar el software de cliente de Symantec
de actualizacin, que se llama microdef. Symantec Endpoint Protection Manager recibe y procesa los archivos MSP (TRZ) de un servidor de LiveUpdate y entonces reconstruye y almacena los archivos MSI. A continuacin, genera la diferencia entre los archivos MSI originales y los archivos MSI modificados. La diferencia se llama microdef. Symantec Endpoint Protection Manager actualiza los clientes con los microdefs. Nota: En algunos casos, un equipo cliente se debe haber reiniciado por lo menos una vez desde la instalacin de la versin previa del software de cliente de Symantec Endpoint Protection para que la actualizacin se realice correctamente. Si el software de cliente no puede actualizarse, reinicie el equipo cliente e intente la actualizacin de nuevo.

Es posible actualizar el software de cliente del producto de Symantec automticamente, permitiendo las actualizaciones del producto con una poltica de configuracin de LiveUpdate. Cuando se permiten las actualizaciones del producto, los microdefs o los parches del producto se instalan en los clientes cuando los usuarios hacen clic en LiveUpdate o cuando se ejecuta una sesin programada de LiveUpdate. Cuando se niegan las actualizaciones del producto, el software de cliente no se actualiza, incluso si otro producto de Symantec ejecuta LiveUpate en el equipo cliente. Cuando se niegan las actualizaciones del producto, el software de cliente se puede actualizar slo manualmente con la Consola de Symantec Endpoint Protection Manager. Cuando Symantec Endpoint Protection Manager descarga y procesa los parches, crea un microdef. El microdef aparece automticamente como un nuevo paquete. El nuevo paquete aparece en el panel Paquetes de instalacin de clientes. Es posible entonces seleccionar el paquete, y actualizar los grupos y las ubicaciones manualmente con la funcin Actualizar los grupos con el paquete. Nota: Si la poltica de configuracin de LiveUpdate especifica que los clientes descargan actualizaciones de Symantec Endpoint Protection Manager o de un Proveedor de actualizaciones de grupo, las actualizaciones tienen la forma de microdefs. Si la poltica de configuracin de LiveUpdate especifica que los clientes descargan actualizaciones de un servidor de LiveUpdate, las actualizaciones tienen la forma de archivos MSP (parche).
227
1 2 3 4 5 6
En la Consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, haga clic en LiveUpdate para resaltarlo. En el panel derecho, en la ficha Configuracin de LiveUpdate, haga clic en una poltica de LiveUpdate. En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la poltica. Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada. En el panel Configuracin avanzada, bajo Configuracin de actualizacin de productos, realice una de las siguientes acciones:
Para actualizar automticamente el software de cliente, active Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate. Para actualizar manualmente el software de cliente con la funcin Actualizar grupos con la funcin de paquete con la Consola de Symantec Endpoint Protection Manager, desmarque Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate.
Haga clic en Aceptar y, luego, aplique la poltica a un grupo o una ubicacin en un grupo.
228
Apndice
Recuperacin despus de un desastre


Cmo prepararse para la recuperacin despus de un desastre Acerca del proceso de recuperacin despus de un desastre Restaurar Symantec Endpoint Protection Manager Restaurar el certificado del servidor Restaurar comunicaciones de clientes
Cmo prepararse para la recuperacin despus de un desastre

Para realizar la recuperacin despus de un desastre, es necesario prepararse para ello. Para prepararse, debe recolectar archivos e informacin durante la instalacin de Symantec Endpoint Protection Manager y despus de ella. Por ejemplo, es necesario documentar su contrasea de cifrado durante la instalacin. Es necesario localizar y mover su archivo de almacn de claves a una ubicacin segura. La Tabla C-1 enumera y describe las tareas de alto nivel necesarias para prepararse para la recuperacin despus de un desastre.
230
Recuperacin despus de un desastre Cmo prepararse para la recuperacin despus de un desastre
Tabla C-1
Tareas de alto nivel necesarias para prepararse para la recuperacin despus de un desastre Informacin adicional
El directorio de la copia de respaldo de la base de datos es \\Program Files\Symantec\ Symantec Endpoint Protection Manager\data\backup. El archivo de copia de respaldo se denomina fecha_marca de hora.zip. Durante la instalacin, se realiza una copia de respaldo de estos archivos en el directorio denominado \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup.
Tarea
Haga una copia de respaldo de la base de datos regularmente, preferiblemente de forma semanal, y almacene las copias de respaldo en un lugar apartado.
Localice su archivo de almacn de claves y su archivo server.xml.
El nombre del archivo del almacn de claves es keystore_marca de hora.jks. El almacn de claves contiene los pares de claves privadas/pblicas y el certificado Es posible tambin hacer una copia de respaldo de estos autofirmado. El nombre de archivo server.xml es archivos desde el panel Administrador de la Consola de server_marca de hora.xml. Symantec Endpoint Protection Manager. Cree y abra un archivo de texto con un programa de edicin de texto. Asigne al archivo el nombre Backup.txt, o un nombre similar. Abra server.xml, busque la contrasea keystorepass, cpiela y pguela en el archivo de texto. Deje el archivo de texto abierto.
La contrasea se utiliza para storepass y keypass. Storepass protege el archivo JKS. Keypass protege la clave privada. Estas contraseas se escriben para restaurar el certificado. La cadena de la contrasea tiene el siguiente formato: keystorePass="WjCUZx7kmX$qA1u1". Copie y pegue la cadena que est entre comillas. No incluya las comillas.
Si tiene solamente un dominio, busque y copie el archivo Los ID de dominio son obligatorios si no tiene una copia sylink.xml desde un directorio en \\Program de respaldo de la base de datos. Este ID est en el archivo Files\Symantec\ Symantec Endpoint Protection sylink.xml de los equipos cliente en cada dominio. Manager\data\outbox\agent\. A continuacin, pguelo en \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup\. Si tiene varios dominios, para cada dominio, localice y copie un archivo sylink.xml en un equipo cliente. A continuacin pguelo en la ubicacin siguiente: \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup. Abra cada archivo sylink.xml, busque el ID de dominio, cpielo y pguelo en el archivo de texto Backup.txt. Se agrega este ID a un nuevo dominio que usted cree para que contenga los clientes existentes. La cadena en el archivo sylink.xml tiene el siguiente formato: DomainId="B44AC676C08A16 5009ED819B746F1". Copie y pegue la cadena que est entre comillas. No incluya las comillas.
Recuperacin despus de un desastre Cmo prepararse para la recuperacin despus de un desastre
231
Tarea
Informacin adicional
En el archivo Backup.txt, escriba la contrasea de cifrado Se vuelve a escribir esta clave cuando se reinstala que utiliz cuando usted instal el primer sitio en la Symantec Endpoint Protection Manager. Es necesario instancia de instalacin. volver a escribir la clave idntica si no tiene una copia de respaldo de la base de datos para restaurar. No es obligatorio si tiene una copia de respaldo de la base de datos para restaurar, pero igual es recomendable. En el archivo de texto Backup.txt, escriba la direccin IP Si ocurre un problema de hardware irreversible, es y el nombre de host del equipo que ejecuta Symantec necesario reinstalar Symantec Endpoint Protection Endpoint Protection Manager. Manager en un equipo que tenga la misma direccin IP y nombre de host. En el archivo Backup.txt, escriba el nombre del sitio que Mientras que el nombre del sitio no se necesita identifica a Symantec Endpoint Protection Manager. terminantemente para la reinstalacin, ayuda a crear una restauracin coherente. Guarde y cierre el archivo Backup.txt, que ahora contiene la informacin esencial necesaria para la recuperacin despus de un desastre. Copie estos archivos en soportes extrables y almacene Despus de proteger los archivos, es necesario quitarlos los soportes en una ubicacin segura, preferiblemente en del equipo que ejecuta Symantec Endpoint Protection una caja fuerte. Manager.
La Figura C-1 ilustra un archivo de texto que contiene la informacin necesaria para realizar una correcta recuperacin despus de un desastre. Figura C-1 Archivo de texto bien formado para recuperacin despus de un desastre
Si crea este archivo, es posible copiar y pegar esta informacin cuando sea necesario durante la recuperacin despus de un desastre.
232
Recuperacin despus de un desastre Acerca del proceso de recuperacin despus de un desastre
Acerca del proceso de recuperacin despus de un desastre

El proceso de recuperacin despus de un desastre implica realizar secuencialmente los pasos siguientes:

Restaure Symantec Endpoint Protection Manager. Restaure el certificado del servidor. Restaure las comunicaciones de los clientes.
Cmo restaurar las comunicaciones de los clientes depende de si tiene acceso a una copia de respaldo de la base de datos.
Restaurar Symantec Endpoint Protection Manager

En caso de que se produzca un desastre, recupere los archivos que fueron asegurados despus de la instalacin inicial. A continuacin, abra el archivo Backup.txt que contiene las contraseas, los ID del dominio y as sucesivamente.
Acerca de identificar el equipo nuevo o reconstruido

Si se produjo una falla de hardware catastrfica, es posible que deba reconstruir el equipo. Si reconstruye el equipo, debe asignarle la direccin IP y el nombre del host originales. Esta informacin se debe encontrar en el archivo Backup.txt.
Volver a instalar Symantec Endpoint Protection Manager

La tarea principal que debe realizar cuando vuelve a instalar Symantec Endpoint Protection Manager es escribir la misma contrasea de cifrado que usted especific durante la instalacin de Symantec Endpoint Protection Manager en el servidor que fall. Adems debe usar la misma configuracin que utiliz para otras opciones durante la instalacin anterior, tal como creacin del sitio Web, tipo de base de datos y contrasea utilizada para la cuenta de usuario del administrador.
Restaurar el certificado del servidor

El certificado del servidor es un almacn de claves Java que contiene el certificado pblico y los pares de claves pblica y privada. Es necesario escribir la contrasea que contiene el archivo de Backup.txt. La contrasea est tambin en el archivo server_marca de hora.xml.
Recuperacin despus de un desastre Restaurar el certificado del servidor
233
Para restaurar el certificado del servidor
1 2 3 4 5 6 7
Inicie sesin en la Consola y despus haga clic en Administrador. En el panel Administrador, bajo Tareas, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local y despus haga clic en el nombre del equipo que identifica el sitio local. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida, haga clic en Siguiente. En el panel Administrar certificado del servidor, marque Actualizar el certificado del servidor y despus haga clic en Siguiente. Bajo Seleccione el tipo de certificado para importar, marque Almacn de claves JKS y despus haga clic en Siguiente. Si ha implementado otro tipo de certificado, seleccione ese tipo.
En el panel Almacn de claves JKS, haga clic en Examinar, busque y seleccione el archivo de almacn de claves keystore_marca de hora.jks incluido en la copia de respaldo y despus haga clic en Aceptar. Abra su archivo de texto de recuperacin despus de un desastre y seleccione y copie la contrasea del almacn de claves. almacn de claves en los cuadros Almacn de claves y Clave. El nico mecanismo de pegado compatible es Ctrl + V.
10 Active el cuadro de dilogo Almacn de claves JKS y pegue la contrasea del
11 Haga clic en Siguiente.

Si recibe un mensaje de error que diga que hay un archivo no vlido de almacn de claves, probablemente haya escrito contraseas no vlidas. Reintente copiar y pegar la contrasea. Este mensaje de error es engaoso.
12 En el panel Completado, haga clic en Finalizar. 13 Cierre la sesin en la Consola. 14 Haga clic en Inicio > Configuracin > Panel de control > Herramientas
administrativas > Servicios.
234
Recuperacin despus de un desastre Restaurar comunicaciones de clientes
15 En el cuadro de dilogo Servicios, haga clic con el botn secundario en

Symantec Endpoint Protection Manager y despus haga clic en Detener. No cierre la ventana Servicios hasta que haya terminado con la recuperacin despus de un desastre y vuelva a establecer comunicaciones de clientes.
16 Haga clic con el botn secundario en Symantec Endpoint Protection Manager

y despus haga clic en Inicio. Al detener e iniciar Symantec Endpoint Protection Manager, se restaura completamente el certificado.
Restaurar comunicaciones de clientes

Si tiene acceso a una copia de respaldo de la base de datos, puede restaurar dicha base de datos y despus reanudar las comunicaciones de los clientes. La ventaja sobre la restauracin con una copia de respaldo de la base de datos es que los clientes reaparecen en sus grupos y estn sujetos a las polticas originales. Si no tiene acceso a una copia de respaldo de la base de datos, es posible an recuperar las comunicaciones con sus clientes, pero stos aparecen en el grupo temporal. Es posible entonces reconstruir la estructura del grupo y de las polticas.
Restaurar comunicaciones de clientes con una copia de respaldo de la base de datos

No es posible restaurar una base de datos en un equipo que ejecute un servicio activo de Symantec Endpoint Protection Manager. Se debe detenerlo e iniciarlo algunas veces. Para restaurar las comunicaciones de clientes con una copia de respaldo de la base de datos
1 2
Si cerr la ventana Servicios, haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas > Servicios. En el cuadro de dilogo Servicios, haga clic con el botn secundario en Symantec Endpoint Protection Manager y despus haga clic en Detener. No cierre la ventana Servicios hasta que haya terminado con este paso.
Cree el directorio siguiente: \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup
Copie el archivo de la copia de respaldo de la base de datos en el directorio. De forma predeterminada, el archivo de la copia de respaldo de la base de datos recibe el nombre de fecha_marca de hora.zip.
235
5 6 7
Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Database Backup and Restore. En el cuadro de dilogo Database Backup and Restore, haga clic en Restaurar. En el cuadro de dilogo Restaurar sitio, seleccione el archivo de respaldo que usted copi al directorio de copia de respaldo y despus haga clic en Aceptar. El tiempo de restauracin de la base de datos vara y depende del tamao de la base de datos.
8 9
Cuando aparezca la indicacin de Mensaje, haga clic en Aceptar. Haga clic en Salir. > Asistente para la configuracin del servidor de administracin.
10 Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager 11 En el panel de bienvenida, haga clic en Volver a configurar el servidor de
administracin y, a continuacin, en Siguiente.
12 En el panel Informacin de servidor, modifique los valores de la entrada de

informacin, si fuera necesario, para que coincida con las entradas de informacin anteriores y, luego, haga clic en Siguiente.
13 En el panel Eleccin del servidor de bases de datos, active el tipo de base de

datos para que coincida con el tipo anterior y, luego, haga clic en Siguiente.
14 En el panel Informacin de la base de datos, modifique e inserte los valores

de la entrada de informacin para que coincida con las entradas de informacin anteriores, y luego haga clic en Siguiente. La configuracin puede tardar varios minutos.
15 En el cuadro de dilogo Configuracin finalizada, haga clic en Finalizar. 16 Inicie sesin en la Consola de Symantec Endpoint Protection Manager. 17 Haga clic con el botn secundario en sus grupos y despus haga clic en
Ejecutar comando en el grupo > Actualizar contenido. Si los clientes no responden despus una media hora, reinicie los clientes.
Restaurar comunicaciones de clientes sin una copia de respaldo de la base de datos

Para cada dominio que utilice, es necesario crear un nuevo dominio y reinsertar el mismo ID del dominio en la base de datos. Estos ID del dominio estn en el archivo de texto de recuperacin despus de un desastre si alguien los escribi en este archivo. El dominio Predeterminado es el dominio predeterminado.
236
Se recomienda crear un nombre de dominio que sea idntico al nombre de dominio anterior. Para volver a crear el dominio (predeterminado) Predeterminado, aada un valor como _2 (Predeterminado_2). Una vez que restaure los dominios, es posible entonces eliminar el dominio predeterminado anterior. A continuacin cambie el nombre del nuevo dominio de nuevo a Predeterminado. Para restaurar las comunicaciones de clientes sin una copia de respaldo de la base de datos
1 2 3 4 5 6
Inicie sesin en la Consola de Symantec Endpoint Protection Manager. En la consola, haga clic en Administrador. En el panel Administrador del sistema, haga clic en Dominios. En Tareas, haga clic en Agregar dominio. Haga clic en Avanzadas. Abra el archivo de texto de recuperacin despus de un desastre, seleccione y copie el ID del dominio y despus pegue el ID del dominio en el cuadro ID del dominio. Haga clic en Aceptar. (Opcional). Repita este procedimiento para cada dominio que desee recuperar. En Tareas, haga clic en Administrar dominio.
7 8 9
10 Haga clic en S en el cuadro de dilogo Administrar dominio. 11 Haga clic en Aceptar. 12 Reinicie todos los equipos cliente.
Los equipos aparecen en el grupo Temporal.
13 (Opcional) Si usted utiliza slo un dominio, elimine el dominio Predeterminado

sin usar y cambie el nombre del dominio creado recientemente a Predeterminado.
ndice
Smbolos
29, 97 .MSI instalacin mediante parmetros de lnea de comandos 215
A
acerca de anlisis de amenazas proactivos TruScan 27 archivos MSI y MSP 226 Auto-Protect 28 balanceo de carga 29 configuracin de setaid.ini 214 conmutacin por error 29 grupos 31 grupos y clientes 125 inspeccin de estado 26 instalacin de software de cliente de Symantec 124 microdefs 226 migracin de software de cliente de versiones anteriores de Symantec Sygate 190 paquetes de instalacin de clientes generados durante la migracin 174 prevencin de intrusiones 27 Proteccin contra amenazas de virus y software espa 27 replicacin 29 Symantec Endpoint Protection 26, 124 Symantec Endpoint Protection Manager 29 Symantec Network Access Control 28, 125 Windows Installer 3.1 125 Active Directory y derechos de usuario 38 actualizacin a Microsoft SQL Server 116 actualizaciones actualizar de Symantec Endpoint Protection a Symantec Network Access Control 205 actualizar de Symantec Network Access Control a Symantec Endpoint Protection 205 actualizaciones de Enforcer 192
ajustes de pila para Symantec Endpoint Protection Manager 115 almacn de claves 230 arquitectura de red conmutacin por error y balanceo de carga 54 ejemplo de implementacin grande 52 planificacin para la implementacin 52 replicacin 55 Asistente de implementacin mediante transferencia implementacin de software de clientes 131 Importacin de listas de equipos 134 puertos utilizados 177 uso para la migracin de productos de Symantec 175 Auto-Protect acerca de 28 anlisis del correo electrnico 28 prueba 82
B
balanceo de carga 29 base de datos instalacin de Microsoft SQL 94 instalar base de datos integrada 92 base de datos integrada admite hasta 1000 clientes 52 configuracin de instalacin 90 instalacin 92
C
Cliente de Linux 48 Cliente de Symantec AntiVirus para Linux 48 clientes de Symantec Endpoint Protection funciones de MSI 216 propiedades de MSI 218 clientes no administrados instalacin 126 migracin de Symantec con paquetes exportados 182 migrar de Symantec 181
238
ndice
Configuracin de polticas antivirus y contra software espa 80 configuracin del icono de estado de la seguridad 85 conmutacin por error 29 conmutacin por error y balanceo de carga arquitectura de red 54 configuracin 109 instalacin 107 Consola de Symantec Endpoint Protection Manager bsqueda de grupos 76 inicio de sesin por primera vez 76 Control de cuentas de usuario y preparacin de equipos con Windows Vista 63 Cuarentena central configuracin de servidores y clientes para utilizar 152 instalacin 149
G
grupos 31 grupos y clientes 125
H
herramienta de distribucin de clientes Buscar equipos no administrados 132 herramientas de implementacin de otros fabricantes 136
I
ID del dominio reconocimiento 230 reemplazo 235 implementacin con Buscar equipos no administrados 132 paquetes de clientes con el Asistente de implementacin mediante transferencia 131 paquetes de clientes desde una unidad asignada 130 inspeccin de estado 26 instalacin acerca de la configuracin de la base de datos integrada 90 acerca de las opciones de configuracin de la base de datos de Microsoft SQL Server 100 acerca de los firewalls de escritorio 56 clientes mediante Active Directory 138 con una base de datos de Microsoft SQL 94, 103 conmutacin por error y balanceo de carga 107 Consola de Symantec Endpoint Protection solamente 106 creacin de un archivo de texto con direcciones IP para su importacin 134 Cuarentena central 149 derechos administrativos 38 ejemplos de lnea de comandos de MSI 223 eliminacin de virus y riesgos de seguridad previa 67 etapas 68 mediante comandos de MSI 215 mediante un objeto de directiva de grupo de Active Directory 138 opciones de software de cliente no administrado 126 preparacin 67 preparacin de equipos con Windows XP 62
D
derechos administrativos para instalar 38 desinstalacin cmo desinstalar la base de datos 121 componentes de administracin 156 software de cliente 146 software de cliente con un Objeto de directiva de grupo de Active Directory 145 software de cliente en Windows Server 2008 Server Core 146 Symantec Endpoint Protection Manager 121 direcciones IP y creacin de un archivo de texto para la instalacin 134 dispositivos de hardware y bloqueo 27
E
entornos administrados e interaccin de clientes y servidores 32 entornos no administrados 31
F
Firewall de Windows deshabilitacin 60 Firewall de Windows Vista 61 firewalls de Windows utilizacin 58 y firewalls de Symantec 59
ndice
239
preparar equipos con Windows Vista y Windows Server 2008 63 primera vez 69 propiedades del Centro de seguridad de Windows de MSI 221 prueba 70 red de prueba 70 replicacin 113 requisitos 38 requisitos de sistema y de red 37 servidor con una base de datos integrada 90 sobre los puertos de comunicacin 56 software de cliente en Windows Server 2008 Server Core 129 usando productos de otros fabricantes 136 usar una conexin de Escritorio remoto 65 instalacin de clientes configuracin e implementacin por primera vez 74 preparacin de equipos con Windows XP 62 preparar equipos con Windows Vista y Windows Server 2008 63 instalacin por primera vez 69 instalacin remota y puerto TCP 139 56 internacionalizacin requisitos 48
L
LiveUpdate acerca del uso de un servidor 154 arquitecturas de red compatibles 154 configuracin de los dos tipos de polticas 78 configuracin de una poltica de contenido de LiveUpdate 79 configuracin para actualizaciones de clientes 78 configuracin para actualizaciones de sitio 77
M
microdefs acerca de 226 procesamiento 226 Microsoft Active Directory acerca de su uso para la implementacin de clientes 136 configuracin de plantillas 142 creacin de la imagen de instalacin administrativa 139
instalacin del software de cliente con un Objeto de directiva de grupo 138 Microsoft SMS acerca de su uso para la implementacin de clientes 136 distribucin de archivos de definicin de paquetes 136 Microsoft SQL Server actualizacin a 116 opciones de instalacin de la base de datos 100 Microsoft SQL Server 2000 instalacin y configuracin de componentes de cliente 97 requisitos de configuracin de clientes y servidores 96 requisitos de configuracin del cliente 97 requisitos de instalacin y configuracin 96 Microsoft SQL Server 2005 instalacin y configuracin de componentes de cliente 99 requisitos de configuracin de clientes y servidores 97 requisitos de instalacin y configuracin 97 migracin acerca de la migracin de grupos y opciones de Symantec 169 acerca de los grupos y las opciones 160 acerca de Symantec AntiVirus y Symantec Client Security 160 antes y despus de la configuracin heredada 170 clientes no administrados con paquetes exportados 182 consolas de administracin remotas de Symantec Sygate 201 Cuarentena central 163 de clientes no administrados 181 exportacin de una lista de nombres de equipos cliente de versiones anteriores para migrar 175 mediante archivos CD 182 migracin de grupos de clientes y servidores de Symantec 179 mdulos de Enforcer 192 preparacin de equipos cliente de Symantec 178 preparacin de instalaciones de productos de Symantec de versiones anteriores 163 preparacin de instalaciones de versiones anteriores de Symantec 10.x/3.x 167
240
ndice
procedimientos para servidores de administracin de Symantec Sygate 196 puertos que deben abrirse en los equipos cliente 177 rutas admitidas y no admitidas 161 rutas compatibles con Symantec Sygate 189 rutas no compatibles con Symantec Sygate 189 secuencia de implementacin de paquetes 161 situaciones de Symantec Sygate 193 sobre no conservar el servidor de Symantec y los grupos de clientes y la configuracin 168 software de cliente de versiones anteriores de Symantec Sygate 190, 203 software Symantec Sygate de versiones anteriores 188 Symantec Network Access Control 5.1 191 migracin de Symantec Enforcement Agent 5.1 192 migracin de Symantec Network Access Control 5.1 191 migraciones que se bloquean 162 MSI actualizar software de cliente con 225 ejemplos de lnea de comandos 223 funciones y propiedades 214 precedencia de procesamiento con setaid.ini 214 MSP actualizar software de cliente con 225 cuando est utilizado para actualizar el software de cliente 226
Proteccin contra amenazas de virus y software espa 27 Proteccin proactiva contra amenazas 27 prueba de la deteccin antivirus 81 puertos requisitos para la comunicacin 56 requisitos para la instalacin 56 puertos de comunicacin y obligatorios 56
R
Recuperacin despus de un desastre Restaurar el certificado del servidor 232 recuperacin despus de un desastre acerca del proceso 232 preparacin 229 restauracin de comunicaciones de clientes 234 restaurar Symantec Endpoint Protection Manager 232 reinicios del equipo 68 replicacin 29 configuracin 114 instalacin 113 requisitos soporte para idiomas distintos del ingls 48 requisitos de instalacin y configuracin Microsoft SQL Server 2000 96 Microsoft SQL Server 2005 97 Requisitos de L18N 48 requisitos de Windows Installer 3.1 125 requisitos del sistema 37 acerca de 38 para el servidor de Cuarentena central 44 para la consola de cuarentena 43 para la Consola de Symantec Endpoint Protection 41 para Symantec Endpoint Protection 44 para Symantec Endpoint Protection Manager y la Consola 40 para Symantec Endpoint Protection Manager, Consola y base de datos 39 para Symantec Network Access Control 46 para VMware 50 restauracin de certificado del servidor 232
N
Novell ZENworks 136
P
paquetes de instalacin de clientes creacin 129 generados durante la migracin 174 implementacin con el Asistente de implementacin mediante transferencia 131 implementacin desde una unidad asignada 130 Poltica de integridad del host creacin 86 prueba 88 Polticas de integridad del host 28 preparacin de Windows Vista 63 prevencin de intrusiones 27 Proteccin contra amenazas de red 26
S
serdef.dat 181182 Servidor de seguridad de conexin a Internet 59
ndice
241
servidores Web utilizados por Symantec Endpoint Protection Manager 29 setaid.ini configuracin 214 precedencia de procesamiento con funciones y propiedades de MSI 214 software de cliente actualizaciones con MSI y MSP 225 instalacin 38 solucin de problemas con Buscar equipos no administrados 132 Consola de Symantec Endpoint Protection Manager funciona lenta o no responde 115 Control de cuentas de usuario en Vista y GPO 141 implementacin remota en Windows XP, Vista y Server 2008 62 implementaciones de Windows Vista y Server 2008 63 puertos que deben abrirse para las migraciones de versiones anteriores de Symantec 177 uso de archivos de registro de la instalacin 223 Windows XP en implementaciones de grupos de trabajo 62 soporte para caracteres que no pertenecen al ingls 48 Sylink.xml 230 integracin con las instalaciones de clientes de Objeto de directiva de grupo 140 Symantec Endpoint Protection Manager ajuste del tamao de pila 115 componentes con los cuales funciona 29 configuracin por primera vez 73 funcionamiento 31 funciones 32 servidores Web utilizados 29 Symantec Enforcer 29 Symantec Network Access Control 28 configuracin y prueba 86 Polticas de integridad del host 28 Symantec System Center preparacin de la configuracin para migraciones de productos 10.x/3.x 167 preparacin de la configuracin para todas las migraciones de productos de versiones anteriores 163
U
utilidad de administracin de LiveUpdate 156
V
VMware 50
W
Windows Installer comandos 215 creacin de un script de inicio 143 funciones y propiedades 214 parmetros 219
T
Tivoli 136

Installation Guide PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Installation Guide PDF

Transféré par

Droits d'auteur :

Formats disponibles

Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control

Soluciones de Servicio y Soporte

Renovacin de la suscripcin de actualizaciones antivirus

Los sitios Web de Symantec:

Symantec Security Response:

Pgina de Servicio y Soporte Empresarial de Symantec:

Boletines de noticias de productos:

Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html

Servicio de Atencin al Cliente de Symantec

Para contactar el Servicio y Soporte mundial

Boletines de noticias de productos:

Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html

Servicio de Atencin al Cliente de Symantec Direccin postal

Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 001880-232-4615 Resto de Amrica Latina

Sitio Web: http://www.symantec.co.kr MALASIA

Planificacin de la instalacin .......................................... 37

Instalacin por primera vez .............................................. 69

Instalacin de Symantec Endpoint Protection Manager ..........................................................................

Instalar el software de cliente de Symantec ................ 123

Instalar los servidores de Cuarentena y de LiveUpdate .................................................................... 149

Migracin y actualizacin ..................................... 157

179 181 181 182 182 184

Migrar software de versin anterior de Symantec Sygate ............................................................................

Actualizar a los nuevos productos de Symantec ........ 205

Funciones y propiedades de instalacin de Symantec Endpoint Protection ................................. 213

Actualizar el software de cliente de Symantec ........... 225

Recuperacin despus de un desastre ......................... 229

ndice .................................................................................................................. 237

Presentacin de los productos de Symantec

Acerca de sus productos de Symantec

Acerca de Symantec Endpoint Protection

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

Proteccin contra amenazas de red Proteccin proactiva contra amenazas

Proteccin antivirus y contra software espa

Acerca de la proteccin contra amenazas de red

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

Acerca de la proteccin proactiva contra amenazas

Acerca de la proteccin contra amenazas de virus y software espa

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

Acerca de Symantec Network Access Control

Acerca de Symantec Endpoint Protection Manager

Componentes que funcionan con Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager

Symantec Endpoint Protection

Symantec Network Access Control Servidor de LiveUpdate

Cmo funciona Symantec Endpoint Protection Manager

Entornos administrados y no administrados Acerca de los grupos Interaccin de clientes y servidores

Entornos administrados y no administrados

Acerca de los grupos

Interaccin de clientes y servidores

Presentacin de los productos de Symantec Sitios donde se puede obtener ms informacin

Sitios donde se puede obtener ms informacin

Notas de la versin e informacin http://service1.symantec.com/SUPPORT/ adicionales posterior al ent-security.nsf/docid/2008011012543848 lanzamiento

Presentacin de los productos de Symantec Sitios donde se puede obtener ms informacin

Requisitos del sistema

Planificacin de la instalacin Requisitos del sistema

Requisitos de internacionalizacin Acerca de la compatibilidad con VMware

Acerca de la definicin de derechos administrativos en equipos de destino

Acerca de la configuracin de derechos de usuarios con Active Directory

Requisitos de instalacin del sistema

Planificacin de la instalacin Requisitos del sistema

Symantec Endpoint Protection Manager, Consola y base de datos

Symantec Endpoint Protection Manager, Consola y base de datos 64 bits