Vse 880 Product Guide Es-Es

Software de McAfee VirusScan Enterprise 8.
8
Gua del producto
COPYRIGHT
Copyright 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproduccin, transmisin, transcripcin, almacenamiento en un sistema de recuperacin o traduccin a ningn idioma, de
este documento o parte del mismo, de ninguna forma ni por ningn medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros pases.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las dems marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QU TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARG EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRI CON EL FIN DE OBTENER SU REEMBOLSO
NTEGRO.
Gua del producto de McAfee VirusScan Enterprise 8.8 2
Contenido
Prefacio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Destinatarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Convenciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Organizacin de esta gua. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Bsqueda de documentacin del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Introduccin a VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Componentes e interaccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
La importancia de crear una estrategia de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Descripcin y acceso a la Consola de VirusScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consola de VirusScan y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Uso de las funciones del botn secundario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Funcionamiento de los iconos de la bandeja del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Primeros pasos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Parte I Prevencin: evitar las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Proteccin de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cmo se detienen las amenazas de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Control del acceso a la interfaz de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Proteccin de los puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Definicin de las reglas de proteccin de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Infracciones de punto de acceso y cmo responde ante ellas VirusScan Enterprise. . . . . . . . . . . . . 26
Tipos de reglas definidas por el usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuracin de la proteccin de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Bloqueo de vulnerabilidades de desbordamiento del bfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Vulnerabilidades de desbordamiento del bfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuracin de la proteccin de desbordamiento del bfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Restriccin de programas potencialmente no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configuracin de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Actualizacin de definiciones de deteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Archivos DAT y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Importancia de tener una estrategia de actualizacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3 Gua del producto de McAfee VirusScan Enterprise 8.8
Tareas de actualizacin y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Tareas de duplicacin y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Funcionamiento del repositorio de AutoUpdate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Funcionamiento de la reversin de archivos DAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Exclusin de elementos de anlisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Especificacin de exclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Utilizacin de comodines para especificar elementos de anlisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Uso de tareas programadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Programacin de tareas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuracin de la planificacin de tareas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Parte II Deteccin: descubrir las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Anlisis de elementos en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Anlisis en tiempo real y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comparacin de anlisis: escribir en disco frente a leer en el disco. . . . . . . . . . . . . . . . . . . . . . . . . . 57
Comparacin de anlisis: analizar todos los archivos frente a analizar tipos de
archivos predeterminados y adicionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Anlisis de secuencias de comandos y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Funcionamiento de Artemis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Determinacin del nmero de directivas de anlisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Configuracin de la configuracin general y de proceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Anlisis de elementos bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Anlisis bajo demanda y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Mtodos de anlisis bajo demanda y su definicin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Funcionamiento del anlisis de almacenamiento remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Funcionamiento del aplazamiento de anlisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Funcionamiento de la utilizacin del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuracin de tareas de anlisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuracin de cach global para sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Anlisis de correo electrnico bajo demanda y durante la recepcin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
ePolicy Orchestrator 4.5 o 4.6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
ePolicy Orchestrator 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Consola de VirusScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Definiciones de la ficha de directivas de anlisis de correo electrnico durante la recepcin. . . . . . 78
Parte III Respuesta: gestin de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Detecciones y respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Qu sucede cuando se produce una deteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Infracciones de puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Contenido
Detecciones de desbordamiento del bfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Detecciones de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Detecciones de anlisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Detecciones de anlisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Detecciones de anlisis de correo electrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Elementos en cuarentena. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuracin de alertas y notificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuracin de alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Acceso a consultas y paneles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Configuracin de archivos DAT de emergencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Acerca de los archivos DAT de emergencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Descarga de un archivo SuperDAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Instalacin de archivos SuperDAT en un repositorio de ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . 90
Instalacin del archivo EXTRA.DAT en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Parte IV Supervisin, anlisis y ajuste de la proteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Supervisin de la actividad en el entorno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Herramientas de supervisin de actividades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Anlisis de su proteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
La importancia del anlisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Ejemplos de anlisis de proteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Apndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuracin de tareas de servidor de ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuracin de tarea de servidor de ejemplo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Uso de la lnea de comandos con VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Opciones de lnea de comandos para el anlisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Opciones de lnea de comandos de la tarea de actualizacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Conexin con sistemas remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Acceso a sistemas remotos con VirusScan Enterprise instalado. . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Envo de muestras de amenazas para su anlisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Acceso a la Biblioteca de amenazas de McAfee Labs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Solucin de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Reparacin de la instalacin del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Visualizacin del archivo de registro de actividades en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . 105
Uso de MERTool durante la solucin de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Desactivacin de VirusScan Enterprise durante la solucin de problemas. . . . . . . . . . . . . . . . . . . . 107
Herramientas de soporte y solucin de problemas recomendadas. . . . . . . . . . . . . . . . . . . . . . . . . . 110
Preguntas ms frecuentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Contenido
Prefacio
Para usar este documento de forma provechosa debe conocer quines son los destinatarios del
documento, las convenciones utilizadas, los contenidos y cmo buscar otra documentacin de
referencia.
Contenido
Destinatarios
Convenciones
Organizacin de esta gua
Bsqueda de documentacin del producto
Destinatarios
La documentacin de McAfee se recopila y se redacta meticulosamente para el pblico al que
va destinada.
La informacin de esta gua va dirigida principalmente a:
Administradores: personas que implementan y aplican el programa de seguridad de la
empresa.
Usuarios: personas responsables de configurar las opciones del producto en sus sistemas,
o de actualizar sus sistemas.
Convenciones
Esta gua utiliza las siguientes convenciones tipogrficas.
Ttulo de un libro, captulo o tema; introduccin de un
nuevo trmino; nfasis.
Ttulo de libro o nfasis
Texto fuertemente enfatizado. Negrita
Comandos y otros textos que introduzca el usuario; la ruta
de una carpeta o un programa.
Introduccin de usuario o ruta
Una muestra de cdigo. Cdigo
Palabras de la interfaz, incluidos los nombres de opciones,
mens, botones y cuadros de dilogo.
Interfaz de usuario
Un vnculo activo a un tema o a un sitio Web. Azul hipertexto
Informacin adicional, como un mtodo alternativo de
acceso a una opcin.
Nota
Sugerencias y recomendaciones. Sugerencia
Consejo importante para proteger el sistema informtico,
la empresa, la instalacin del software o los datos.
Importante/Cuidado
Consejo fundamental para prevenir daos fsicos cuando
se usa un producto de hardware.
Advertencia
Este es un documento de referencia para la utilizacin de las interfaces de usuario de la Consola
de VirusScan y ePolicy Orchestrator. Tambin describe, ordenadamente, cmo abordar la
proteccin del sistema contra el malware mediante VirusScan Enterprise. Para describir ese
proceso, este documento se divide en cuatro partes principales seguidas de un apndice:
Parte I Prevencin: evitar las amenazas. El mejor modo de proteger su sistema es
impedir que el malware obtenga acceso a l. Esta parte del documento describe lo siguiente:
Proteccin de los puntos de acceso del sistema, proteccin de la memoria contra
desbordamientos y proteccin contra programas no deseados.
Definiciones de detecciones y cmo se utilizan para proteger el sistema, as como la
importancia de actualizar estas definiciones regularmente.
Exclusin del anlisis de archivos, carpetas y discos.
Uso de la tarea programada para analizar peridicamente el sistema y actualizar los
archivos empleados por VirusScan Enterprise.
Parte II Deteccin: descubrir las amenazas. Los archivos que se abren o copian de
otros sistemas de archivos o de Internet pueden facilitar el acceso a su sistema. Asimismo,
las llamadas y secuencias de comandos de la interfaz de programacin de aplicaciones (API)
pueden introducir una amenaza en su sistema. Estas amenazas se localizan durante los
siguientes procesos de anlisis de VirusScan Enterprise:
Anlisis en tiempo real: analiza un archivo en busca de malware cuando se lee el archivo
o se escribe en el disco. Adems, protege los sectores de arranque, analiza la memoria
de procesos que ya se estn ejecutando, detecta cookies y ofrece proteccin contra
programas no deseados.
Anlisis bajo demanda: analiza todo el sistema en busca de amenazas siguiendo un
horario programado. Tambin se puede iniciar en cualquier momento desde la Consola
de VirusScan.
Anlisis de correo electrnico durante la recepcin y bajo demanda: ofrece proteccin
contra malware recibido a travs de correo electrnico en Microsoft Outlook y Lotus
Notes.
Proteccin de desbordamiento del bfer: analiza las llamadas de API realizadas por
determinados procesos para confirmar que no intentan sobrescribir los datos adyacentes
del bfer de memoria.
ScriptScan: busca amenazas de navegadores u otras aplicaciones a las que se accede y
que utilizan Windows Script Host.
Parte III Respuesta: gestionar las amenazas. VirusScan Enterprise puede
configurarse para que realice cualquiera de los pasos siguientes cuando se detecta una
amenaza:
Denegar acceso a la amenaza o no realizar ninguna otra accin.
Eliminar o limpiar la amenaza. Al realizar cualquiera de estas acciones, se almacena una
copia del archivo original en la carpeta de cuarentena.
NOTA: VirusScan Enterprise se puede configurar para que enve o no una notificacin al
usuario cuando se produce una deteccin.
Prefacio
Parte IV Supervisin, anlisis y ajuste de la proteccin. Una vez que la proteccin
ya est instalada y en ejecucin, se deber supervisar el sistema mediante las consultas e
informes de ePolicy Orchestrator. Asimismo, puede decidir si desea realizar cambios en la
configuracin de seguridad a fin de incrementar o reducir el nivel de proteccin del sistema.
Tambin puede supervisar sus sistemas mediante los registros de la Consola de VirusScan
y las capturas del protocolo SNMP (Simple Network Management Protocol).
Apndice. En l se describen algunas funciones adicionales que debe conocer al utilizar
VirusScan Enterprise. Por ejemplo, las opciones de lnea de comandos de VirusScan Enterprise
o la conexin a sistemas remotos a travs de VirusScan Enterprise, entre otras.
McAfee proporciona la informacin necesaria durante cada fase de la implementacin del
producto, desde la instalacin a la utilizacin y la solucin de problemas. Despus de publicar
un producto, su informacin se introduce en la base de datos en lnea KnowledgeBase de
McAfee.
1 Visite el McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.
2 En Self Service (Autoservicio), acceda al tipo de informacin que necesite:
Haga esto... Para acceder a...
Documentacin de usuario 1 Haga clic en Product Documentation (Documentacin de productos).
2 Seleccione un producto en Product y, a continuacin, una versin en
Version.
3 Seleccione un documento del producto.
KnowledgeBase Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase)
para encontrar respuestas a sus preguntas.
Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase)
para ver los artculos clasificados por producto y versin.
Prefacio
Introduccin
La familiarizacin con los componentes del software de McAfee
VirusScan
Enterprise 8.8 y
el conocimiento del orden en que se debe configurar el software contribuye a proteger los
sistemas contra amenazas.
Contenido
Introduccin a VirusScan Enterprise
Componentes e interaccin
La importancia de crear una estrategia de seguridad
Descripcin y acceso a la Consola de VirusScan
Primeros pasos
Introduccin a VirusScan Enterprise
El software de VirusScan Enterprise comienza a proteger su sistema contra amenazas tan pronto
se instala. Si se familiariza con las funciones del software, con las novedades de esta versin
y con sus componentes principales, le resultar ms sencillo incrementar la proteccin.
Qu es y qu hace
VirusScan Enterprise ofrece una proteccin fcilmente escalable, de rpida aplicacin y diseo
mvil para proteger su entorno contra:
Virus, gusanos y troyanos
Infracciones de punto de acceso y desbordamientos de bferes vulnerables
Cdigo y programas potencialmente no deseados
El software detecta amenazas y, a continuacin, toma las medidas que usted haya configurado
para la proteccin de su entorno.
El software se puede configurar como un producto independiente o se puede utilizar
conjuntamente con McAfee
ePolicy Orchestrator
, versin 4.0 y posteriores para gestionar y

aplicar las directivas de VirusScan Enterprise y, a continuacin, utilizar las consultas y paneles
para realizar un seguimiento de la actividad y las detecciones.
NOTA: En este documento se hace referencia al uso de ePolicy Orchestrator 4.0, 4.5 y 4.6. Para
obtener informacin sobre el uso de estas versiones de ePolicy Orchestrator, consulte la
documentacin del producto de la versin correspondiente.
Novedades
Esta versin incluye las siguientes caractersticas nuevas:
Rendimiento mejorado.
Permite a ePolicy Orchestrator 4.5 y 4.6 gestionar sus sistemas de VirusScan Enterprise.
La nueva funcin de exclusin de URL de ScriptScan le permite configurar exclusiones en
vez de tener que editar manualmente el registro.
AntiSpyware Enterprise Module se ha integrado completamente en el software de VirusScan
Enterprise 8.8.
Compatibilidad de anlisis de correo electrnico de Outlook 2010.
Compatibilidad de anlisis de correo electrnico de Lotus Notes 8.0x hasta 8.5.1.
Como administrador y usuario de VirusScan Enterprise, debe familiarizarse con sus componentes
y la conexin entre ellos. La imagen siguiente muestra estos componentes en un entorno bsico.
Figura 1: Componentes de VirusScan Enterprise
Sistema cliente
En este sistema se instalan y configuran VirusScan Enterprise y McAfee Agent (opcional).
Archivos DAT: archivos de definicin de deteccin, tambin llamados firmas de malware.
Trabajan conjuntamente con el motor de anlisis para identificar las amenazas y emprender
acciones contra ellas.
Motor de anlisis: se utiliza para analizar los archivos, carpetas y discos del equipo cliente
y compararlos con la informacin contenida en los archivos DAT para identificar virus
conocidos.
NOTA: Los archivos DAT y el motor de anlisis se actualizan mediante una conexin de
Internet a las Oficinas centrales de McAfee, o mediante las posibles conexiones a un servidor
designado a travs de la intranet de la empresa.
Artemis (bsqueda de archivos sospechosos en la red heurstica): busca programas
sospechosos y DLL que se ejecutan en sistemas cliente protegidos por VirusScan Enterprise.
Introduccin
Cuando la defensa frente a malware en tiempo real detecta un programa sospechoso, enva
una solicitud de DNS que contiene una huella digital del archivo sospechoso a un servidor
de base de datos central alojado por McAfee Labs.
McAfee Agent (opcional): proporciona comunicacin segura entre productos administrados
por McAfee y el servidor de McAfee ePolicy Orchestrator. El agente tambin proporciona
servicios locales como actualizacin, registro, propiedades y eventos de informes,
programacin de tareas, comunicacin y almacenamiento de directivas.
Oficinas centrales de McAfee
Las Oficinas centrales de McAfee, donde se encuentran McAfee Labs y el Soporte Tcnico de
McAfee, proporcionan los siguientes servicios de VirusScan Enterprise:
Actualizaciones de DAT: se almacenan en un servidor de bases de datos central de McAfee
y utilizan AutoUpdate. Estos archivos de actualizacin de DAT se copian en los clientes de
VirusScan Enterprise o en repositorios DAT opcionales para proporcionar informacin contra
amenazas conocidas y ofrecer listas nuevas de virus conocidos en tiempo real.
Actualizaciones del motor de anlisis: se almacenan en un servidor central de bases
de datos. Estas actualizaciones se descargan segn sea necesario para mantener al da el
motor de anlisis de VirusScan Enterprise.
McAfee Labs: esta biblioteca de amenazas contiene informacin detallada sobre virus,
troyanos, amenazas falsas y amenazas de programas potencialmente no deseados (PUP,
Potentially Unwanted Program), su procedencia, cmo infectan el sistema y cmo gestionarlos.
La funcin Artemis enva la huella digital del archivo sospechoso a McAfee Labs, donde se
analiza y se determina qu accin emprender.
Servidor
El servidor opcional utiliza los componentes siguientes para gestionar y actualizar de forma
remota los sistemas clientes:
ePolicy Orchestrator: administra y aplica las directivas de VirusScan Enterprise de forma
centralizada y, a continuacin, utiliza las consultas y paneles para llevar un seguimiento de
la actividad y las detecciones.
NOTA: En este documento se hace referencia al uso de ePolicy Orchestrator 4.0, 4.5 y 4.6.
Si desea obtener informacin sobre ePolicy Orchestrator, consulte la documentacin del
producto correspondiente a su versin.
Repositorio DAT: recupera las actualizaciones de DAT del sitio de descargas de McAfee.
Desde ese punto, los archivos DAT pueden replicarse por toda la organizacin y proporcionar
acceso para todos los dems equipos. De este modo se minimiza la cantidad de datos
transferidos por la red mediante la automatizacin del proceso de copia de los archivos
actualizados a los sitios compartidos.
La proteccin de los sistemas cliente contra virus, gusanos y troyanos mediante VirusScan
Enterprise requiere de una estrategia bien planificada: definicin de la prevencin y la deteccin
de amenazas, respuesta a las amenazas, y ajuste y anlisis continuos.
Introduccin
Prevencin: evitar las amenazas
Defina sus necesidades de seguridad para garantizar que todas las fuentes de datos estn
protegidas y, a continuacin, desarrolle una estrategia para detener las intrusiones antes de
que obtengan acceso a su entorno. Configure estas funciones para impedir las intrusiones:
Seguridad de la interfaz de usuario: configure la proteccin de contrasea y visualizacin
para controlar el acceso a la interfaz de usuario de VirusScan Enterprise.
Proteccin de acceso: utilice las reglas de proteccin de acceso para proteger el equipo de
un comportamiento no deseado con respecto a archivos, registro y puertos.
Proteccin de desbordamiento del bfer: impida que amenazas o programas anmalos
desborden el lmite del bfer y sobrescriban memoria adyacente mientras se escriben datos
en un bfer. Estos desbordamientos de bferes vulnerables pueden provocar la ejecucin
de cdigo arbitrario en el equipo.
Proteccin frente a programas no deseados: elimine programas potencialmente no deseados,
como spyware y adware, del equipo.
Deteccin: descubrir las amenazas
Desarrolle una estrategia efectiva para detectar las intrusiones a medida que se producen.
Configure estas funciones para detectar amenazas:
Tarea de actualizacin: obtenga actualizaciones automticas de DAT y del motor de anlisis
desde el sitio Web de descargas de McAfee.
Analizador en tiempo real: detecte las posibles amenazas procedentes de cualquier fuente,
como los archivos ledos o escritos en un disco. Tambin pueden analizarse cookies
potencialmente no deseadas en la carpeta de cookies.
Tareas del anlisis bajo demanda: detecte amenazas potenciales mediante las tareas de
anlisis inmediatas y programadas. Pueden analizarse tambin cookies potencialmente no
deseadas y entradas del registro relacionadas con software espa no deseado que no se
hayan limpiado con anterioridad.
Anlisis de correo electrnico durante la recepcin y bajo demanda: detecte posibles
amenazas en los clientes de correo electrnico de Microsoft Outlook mediante el anlisis de
mensajes, datos adjuntos y carpetas pblicas durante la recepcin. Detecte posibles amenazas
en los clientes de correo electrnico Lotus Notes al acceder a los mensajes.
Directiva de Quarantine Manager: especifique la ubicacin de la cuarentena y el tiempo
durante el que se mantendrn los elementos en cuarentena. Restaure los elementos en
cuarentena cuando as se requiera.
Respuesta: gestin de amenazas
Utilice archivos de registro de productos, acciones automticas y otras funciones de notificacin
para decidir la mejor forma de administrar las detecciones.
Acciones: configure las funciones para tomar medidas respecto a las detecciones.
Archivos de registro: supervise los archivos de registro de productos para ver un historial
de elementos detectados.
Consultas y paneles: utilice las consultas y los paneles de ePolicy Orchestrator para supervisar
la actividad de anlisis y las detecciones.
Configuracin: supervisin, anlisis y ajuste de la proteccin
Despus de configurar inicialmente VirusScan Enterprise, siempre es recomendable supervisar
y analizar la configuracin. De este modo se mejora el rendimiento del sistema y de la red, y
Introduccin
se aumenta el nivel de proteccin ante los virus. Por ejemplo, las siguientes funciones y
herramientas de VirusScan Enterprise se pueden modificar como parte de los procesos de
supervisin, anlisis y ajuste:
Archivos de registro (Consola de VirusScan): consulte un historial de elementos detectados.
El anlisis de esta informacin advierte sobre la necesidad de aumentar la proteccin o
cambiar la configuracin a fin de mejorar el rendimiento del sistema.
Consultas y paneles (consola de ePolicy Orchestrator): supervise la actividad de anlisis y
las detecciones. El anlisis de esta informacin advierte sobre la necesidad de aumentar la
proteccin o cambiar la configuracin a fin de mejorar el rendimiento del sistema.
Tareas programadas: modifique las tareas (como AutoUpdate) y los tiempos de anlisis para
as mejorar el rendimiento ejecutndolas en horario de poca actividad.
Repositorios DAT: reduzca el trfico que soportan las redes intranet o Internet de la empresa
trasladando estos archivos de origen a una ubicacin ms prxima a los clientes que necesiten
las actualizaciones.
Modificacin de las directivas de anlisis: incremente el rendimiento o la proteccin antivirus
en funcin del resultado del anlisis de los archivos de registro o de las consultas. El
rendimiento se puede mejorar, por ejemplo, mediante la configuracin de exclusiones,
estableciendo cundo utilizar anlisis de perfil de riesgo alto o bajo, o estableciendo cundo
desactivar el anlisis al escribir.
ATENCIN: Si la opcin de anlisis Cuando se lee del disco no est activada, el sistema
queda desprotegido ante los numerosos ataques de malware.
La Consola de VirusScan es la interfaz de la versin independiente de las actividades del
programa. Se puede utilizar para configurar, supervisar y actualizar el producto.
NOTA: Esta informacin es aplicable nicamente a la versin independiente del producto, no
a la versin administrada de ePolicy Orchestrator.
Consola de VirusScan y su funcionamiento
Tras familiarizarse con el funcionamiento y los componentes de VirusScan Enterprise, es necesario
conocer cmo se accede a sus funciones. Puede abrir la Consola de VirusScan Enterprise 8.8
mediante uno de estos mtodos:
En el men Inicio, seleccione Programas | McAfee | Consola de VirusScan.
Seleccione con el botn secundario el icono del escudo de VirusScan Enterprise en la bandeja
del sistema y, a continuacin, seleccione Consola de VirusScan.
Barra de mens
Utilice los elementos de los mens para crear tareas, configurar propiedades y obtener
informacin adicional.
Tarea: cree y configure tareas como anlisis en busca de amenazas o actualizaciones de
los archivos DAT.
Editar: copie, pegue y elimine la tarea seleccionada, o bien cmbiele el nombre.
Ver: visualice la barra de estado o la barra de herramientas y actualice la pantalla.
Introduccin
Herramientas: configure las opciones de la interfaz de usuario, bloquee o desbloquee la
seguridad de la interfaz de usuario, configure alertas, tenga acceso al visor de eventos, abra
una consola remota si tiene derechos de administrador, importe o edite la lista de repositorios
y recupere una versin anterior de los archivos DAT.
Ayuda: obtenga acceso a los temas de la ayuda en lnea, a la biblioteca de amenazas del
sitio Web de McAfee Labs, al sitio Web de envo de muestras y al sitio Web del servicio de
soporte tcnico. Asimismo, puede reparar la instalacin del producto y abrir el cuadro de
dilogo Acerca de para leer la informacin de propiedad intelectual y qu versiones del
producto, licencia, archivos de definicin, motor de anlisis, controlador adicional y revisin
estn instalados.
NOTA: Cada opcin de men tiene una tecla de mtodo abreviado asociada. Puede que en
algunos sistemas operativos estos accesos directos no estn disponibles a menos que utilice
F10 o ALT para obtener acceso a los mens.
Barra de herramientas
Utilice los iconos para obtener acceso a comandos de uso habitual:
Mostrar las propiedades de la tarea seleccionada.
Iniciar la tarea seleccionada.
Detener la tarea seleccionada.
Copiar la tarea seleccionada.
Pegar la tarea seleccionada.
Eliminar la tarea seleccionada.
Configurar las propiedades de alerta.
Ejecutar el visor de eventos.
Tener acceso a la Biblioteca de informacin en el sitio Web de McAfee Labs.
Conectar a un equipo remoto si se poseen derechos de administrador.
Crear un nuevo anlisis bajo demanda.
Lista de tareas
Muestra las tareas predeterminadas y las nuevas tareas que cree, as como el estado y el ltimo
resultado de cada tarea.
Barra de estado
Muestra el estado de la actividad en curso.
Uso de las funciones del botn secundario
Utilice las funciones del botn secundario para tener un acceso rpido a las acciones que ms
se utilizan, como crear tareas, ver estadsticas y registros de tareas, abrir pginas de propiedades
de las tareas, analizar un archivo o carpeta especfico o realizar una tarea de actualizacin
inmediata.
Introduccin
Descripcin de las funciones
Ejemplos Descripcin Ubicacin
Haga clic con el botn secundario en Consola de
VirusScan para visualizar las funciones del botn
La consola En la consola, haga clic con el botn
secundario en una tarea para tener
secundario. Las funciones varan dependiendo de si acceso a sus propiedades. En funcin de
se ha seleccionado una tarea en la lista de tareas y
qu tarea se ha seleccionado.
la tarea que seleccione, es posible que
tambin pueda iniciarla, detenerla,
activarla o desactivarla y ver estadsticas
y el registro de actividades. En algunos
casos tambin puede cambiar el nombre
de una tarea o eliminarla.
Haga clic con el botn secundario en una
zona en blanco de la consola para crear
un nuevo anlisis o para actualizar una
tarea.
Puede realizar un anlisis completo del
archivo o de la carpeta que piensa que est
amenazada.
Haga clic con el botn secundario en un archivo o en
una carpeta para Analizar en busca de amenazas
inmediatamente. Puede seleccionar una accin para
el anlisis:
Explorador de
Windows
Al iniciar el anlisis, se llama directamente
al analizador bajo demanda con todas las Limpiar: informa del elemento detectado y lo
limpia. opciones de anlisis activadas. Seleccione
la opcin de accin. No se puede
Continuar: informa de la deteccin y contina
con el anlisis.
personalizar ninguna otra opcin de
anlisis.
Consulte Funcionamiento de los iconos de la bandeja del sistema para ver una descripcin de los
iconos del botn secundario de VirusScan Enterprise.
La bandeja del
sistema
Funcionamiento de los iconos de la bandeja del sistema
Cuando VirusScan Enterprise est instalado, uno de los siguientes iconos aparece en la bandeja
del sistema de Windows, siempre que haya configurado esta funcin durante el proceso de
instalacin.
"M" en un icono con forma de escudo
Aparece en sistemas administrados por ePolicy Orchestrator con la versin 4.5 o posterior de
McAfee Agent. Este icono indica lo siguiente:
Estado Este icono no cambia para indicar alertas del activador de proteccin de acceso
ni si el anlisis en tiempo real est desactivado en clientes administrados por ePolicy
Orchestrator con McTray versin 2.x o posterior (con McAfee Agent 4.5 o posterior). Los
cambios de estado se muestran en forma de descripciones.
Descripciones Las descripciones del icono incluyen:
Estado de McAfee: OK Normal. Las opciones indican:
Ver estado de seguridad: muestra una marca de verificacin.
Configuracin rpida | Anlisis de virus en tiempo real - Activado: muestra
una marca de verificacin.
Estado de McAfee: Problema detectado Anlisis en tiempo real desactivado. Las
opciones indican:
Introduccin
Ver estado de seguridad: muestra un signo de exclamacin.
NOTA: Haga clic en Ver estado de seguridad para mostrar el cuadro de dilogo
del estado de seguridad de McAfee con el problema "Anlisis en tiempo real
desactivado" en la columna Estado.
Configuracin rpida | Anlisis de virus en tiempo real - Desactivado: no

aparece ninguna marca de verificacin.
Estado de McAfee: Problema detectado Evento de proteccin de acceso activado. Las
opciones indican:
Ver estado de seguridad: muestra un signo de exclamacin.
NOTA: Haga clic en Ver estado de seguridad para mostrar el cuadro de dilogo
del estado de seguridad de McAfee con el problema "Consulte el archivo de registro
de la proteccin de acceso" en la columna Estado.
Configuracin rpida | Anlisis de virus en tiempo real - Activado: muestra
una marca de verificacin.
Opciones de men Las opciones del men del botn secundario incluyen:
Actualizar seguridad: actualiza los archivos DAT y otros cambios.
Configuracin rpida: muestra:
Propiedades del anlisis en tiempo real: abre las propiedades del analizador en
tiempo real.
Anlisis en tiempo real activado o desactivado: activa o desactiva el analizador
en tiempo real.
tiempo real.
Mensajes de anlisis en tiempo real: abre los mensajes o las estadsticas del
anlisis en tiempo real.
Abrir el archivo de registro de proteccin de acceso: abre el archivo de registro.
Gestionar funciones | VirusScan Enterprise: abre la Consola de VirusScan.
Analizar equipo en busca de | Amenazas: inicia un anlisis inmediato.
Ver estado de seguridad: muestra el cuadro de dilogo del estado de seguridad de
McAfee.
Monitor de estado de McAfee Agent: muestra el cuadro de dilogo del Monitor de
estado de McAfee Security.
Acerca de: abre el cuadro de dilogo Acerca de.
"M" en un cuadrado
Aparece en sistemas independientes que usan McTray 1.0 y en sistemas gestionados por ePolicy
Orchestrator con la versin 4.0 de McAfee Agent que usan McTray 1.0. Este icono indica lo
siguiente:
Estado Se pueden visualizar los siguientes estados:
"M" en un cuadrado: estado normal.

Introduccin
"M" en un cuadrado con un signo de exclamacin: indica que se ha activado un

evento de infraccin de proteccin de acceso o que el anlisis en tiempo real est
desactivado. Las opciones de men con el botn secundario indican:
"V" en un escudo con un crculo y una lnea: indica que el anlisis en tiempo real
est desactivado.
"V" en un escudo con contorno rojo: indica que el anlisis en tiempo real est
activado, pero que se debe consultar el archivo de registro de Proteccin de acceso.
Descripcin Muestra "McAfee".
Consola de VirusScan: abre Consola de VirusScan.
Desactivar o activar el anlisis en tiempo real: activa o desactiva el analizador en
tiempo real.
tiempo real.
Estadsticas del anlisis en tiempo real: abre las estadsticas del anlisis en tiempo
real.
Mensajes de anlisis en tiempo real: abre los mensajes o las estadsticas del anlisis
en tiempo real.
Anlisis bajo demanda: crea un anlisis bajo demanda que se puede configurar una
vez.
Actualizar ahora: lleva a cabo una tarea de actualizacin inmediata.
Acerca de VirusScan Enterprise: abre el cuadro de dilogo Acerca de.
"V" en un icono con forma de escudo
Aparece en sistemas independientes que no disponen de McTray 1.0. Este icono indica lo
siguiente:
Estado Se pueden visualizar los siguientes estados:
"V" en un icono con forma de escudo: normal.
"V" en un escudo con un crculo y una lnea: indica que el anlisis en tiempo real
est desactivado.
"V" en un escudo con contorno rojo: indica que el anlisis en tiempo real est activado,
pero que se debe consultar el archivo de registro de Proteccin de acceso.
Descripciones Las descripciones incluyen:
"V" en un icono con forma de escudo: McAfee OAS (Analizador en tiempo real):
activado, normal.
"V" en un escudo con un crculo y una lnea: McAfee OAS: desactivado.
"V" en un escudo con contorno rojo: McAfee OAS: activado, consulte el registro de
la proteccin de acceso.
Introduccin
Actualizar seguridad: actualiza los archivos DAT y otros cambios.
Configuracin rpida: muestra:
tiempo real.
Anlisis en tiempo real activado o desactivado: activa o desactiva el analizador
en tiempo real.
Mensajes de anlisis en tiempo real: abre los mensajes o las estadsticas del
anlisis en tiempo real.
Abrir el archivo de registro de proteccin de acceso: abre el archivo de registro.
Gestionar funciones | VirusScan Enterprise: abre la Consola de VirusScan.
Analizar equipo en busca de | Amenazas: inicia un anlisis inmediato.
Ver estado de seguridad: muestra el cuadro de dilogo del estado de seguridad de
McAfee.
Monitor de estado de McAfee Agent: muestra el cuadro de dilogo del Monitor de
estado de McAfee Security.
Acerca de: abre el cuadro de dilogo Acerca de.
Primeros pasos
Al instalar el software, ste utiliza los archivos DAT incluidos en el producto, los cuales
proporcionan seguridad general a su entorno. McAfee le recomienda obtener los archivos DAT
ms recientes y personalizar la configuracin para cumplir sus requisitos antes de desplegar el
producto en sistemas cliente.
Realice estas acciones inmediatamente despus de instalar el producto.
1 Establecer la seguridad de la interfaz de usuario. Configure las opciones de contrasea
y de visualizacin para impedir que los usuarios puedan tener acceso a componentes
especficos o a toda la interfaz de usuario de VirusScan Enterprise. Para obtener ms
informacin, consulte Control del acceso a la interfaz de usuario.
2 Actualizar los archivos DAT. Realice una tarea Actualizar ahora para asegurarse de
que dispone de los archivos DAT ms recientes. Si desea ms informacin, consulte
Actualizacin de definiciones de deteccin.
3 Evitar intrusiones. Configure estas funciones para impedir posibles amenazas a sus
sistemas:
Proteccin de acceso. Configure reglas de proteccin de acceso para impedir que se
efecten cambios no deseados en el equipo y habilite la opcin que impide que los
procesos de McAfee finalicen. Consulte Proteccin de los puntos de acceso del sistema
para obtener ms informacin.
Proteccin contra desbordamiento del bfer. Habilite la deteccin de
desbordamiento del bfer y especifique exclusiones. Consulte Bloqueo de las
vulnerabilidades de desbordamiento del bfer para obtener ms informacin.
Directiva de programas no deseados. Configure la directiva que usarn los
analizadores en tiempo real, bajo demanda y de correo electrnico para detectar posibles
programas no deseados. Seleccione categoras de programas no deseados para su
deteccin en una lista predefinida y luego defina programas adicionales que se deben
Introduccin
Primeros pasos
detectar o excluir. Consulte Restriccin de programas potencialmente no deseados para
obtener ms informacin.
4 Detectar intrusiones. Configure estas funciones para que se detecten las posibles
amenazas en los sistemas, se enve una notificacin al usuario y, despus, se lleven a cabo
ciertas acciones cuando se produzcan detecciones:
AutoUpdate. Configure tareas de actualizacin para obtener los archivos DAT, el motor
de anlisis y las actualizaciones del producto ms recientes. Si desea ms informacin,
consulte Actualizacin de definiciones de deteccin.
Analizador en tiempo real. Configure el analizador para que detecte las posibles
amenazas y acte contra ellas cuando se tenga acceso a ellas en el entorno. Active el
anlisis de programas no deseados y analice las cookies de la carpeta de cookies.
Consulte Anlisis de elementos en tiempo real para obtener ms informacin.
Analizador bajo demanda. Configure tareas de anlisis para que detecten y acten
contra las posibles amenazas de su entorno. Active el anlisis de programas no deseados
y analice las cookies de la carpeta de cookies y las entradas del registro relacionadas
con spyware que no se hayan eliminado con anterioridad. Consulte Anlisis de elementos
bajo demanda para obtener ms informacin.
Analizadores de correo electrnico. Configure el anlisis durante la recepcin y
bajo demanda de los clientes de correo electrnico Microsoft Outlook y Lotus Notes.
Habilite el anlisis de programas no deseados. Consulte Anlisis de correo electrnico
durante la recepcin y bajo demanda para obtener ms informacin.
5 Enviar alertas y poner las amenazas en cuarentena. Configure estas funciones para
recibir avisos cuando se produzcan detecciones y administrar los elementos en cuarentena:
Alertas y notificaciones. Configure cmo y cundo debe recibir notificaciones y alertas
de deteccin. Consulte Configuracin de alertas y notificaciones para obtener ms
informacin.
Directiva de Quarantine Manager. Configure la ubicacin de la carpeta de cuarentena
y el nmero de das que se guardan los elementos en cuarentena antes de eliminarlos
automticamente. Consulte Elementos en cuarentena para obtener ms informacin.
Introduccin
Primeros pasos
Parte I Prevencin: evitar las amenazas
La prevencin es la primera medida en una estrategia de proteccin a fin de impedir que las
amenazas logren acceder al sistema.
Contenido
Proteccin de acceso
Proteccin de los puntos de acceso del sistema
Bloqueo de vulnerabilidades de desbordamiento del bfer
Restriccin de programas potencialmente no deseados
Actualizacin de definiciones de deteccin
Exclusin de elementos de anlisis
Uso de tareas programadas
Proteccin de acceso
Evitar el acceso de amenazas a su sistema cliente es la primera lnea de defensa contra el
malware. La funcin de proteccin de acceso de VirusScan Enterprise compara las acciones
solicitadas con una lista de reglas configuradas. Cada regla se puede configurar para bloquear
y/o informar de infracciones de acceso cuando se producen.
La proteccin de acceso evita cambios no deseados en el equipo mediante la restriccin del
acceso a determinados puertos, archivos, recursos compartidos y valores y claves de registro.
Tambin protege los procesos de McAfee al impedir que los usuarios los detengan. Esta
proteccin resulta esencial antes y durante los brotes.
Esta funcin usa reglas predefinidas y reglas definidas por el usuario para especificar los
elementos a los que se puede acceder y a los que no se puede acceder. Cada regla se puede
configurar para bloquear y/o informar de infracciones de acceso cuando se producen. Las
categoras y las reglas predefinidas se pueden actualizar desde los sitios de actualizacin de
McAfee.
NOTA: El analizador en tiempo real, que detecta infracciones de acceso, debe estar activado
para detectar los intentos de acceso a puertos, archivos, recursos compartidos, valores de
registro y claves de registro.
Cmo obtienen acceso las amenazas
Los mtodos ms comunes utilizados por las amenazas para obtener acceso a un sistema son:
Macros: incluidas en documentos de procesamiento de textos y aplicaciones de hojas de
clculo.
Archivos ejecutables: estos programas, que aparentemente son benignos, pueden incluir
virus junto con el programa esperado. Algunos ejemplos comunes de extensiones de archivo
son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
Correo electrnico: bromas, juegos e imgenes incluidos en mensajes de correo electrnico
que contienen archivos adjuntos.
Secuencias de comandos: si se permite su ejecucin, las secuencias de comandos como
ActiveX y JavaScript pueden introducir virus. Estn asociadas con pginas Web y correos
electrnicos.
Mensajes de Internet Relay Chat (IRC): los archivos enviados junto con estos mensajes
pueden contener malware como parte del mensaje. Por ejemplo, los procesos de inicio
automtico pueden incluir gusanos y troyanos.
Archivos de ayuda de aplicaciones y navegadores: la descarga de estos archivos de
ayuda expone el sistema a virus incrustados y ejecutables.
Combinacin de todos: los creadores del malware ms sofisticado combinan todos los
mtodos de entrega anteriores e incluso incluyen un elemento de malware dentro de otro
a fin de intentar acceder al equipo.
Contenido
Cmo se detienen las amenazas de acceso
Control del acceso a la interfaz de usuario
Cmo se detienen las amenazas de acceso
Si activa o cambia la configuracin de proteccin de acceso, podr configurar la proteccin
antispyware, la proteccin antivirus, la proteccin comn y la proteccin de mquina virtual,
as como definir sus propias reglas de proteccin. A continuacin se indica el proceso bsico
que VirusScan Enterprise utiliza para proteger el acceso.
Pasos realizados cuando se produce una amenaza
1 Un usuario o proceso intenta realizar una accin.
2 La funcin de proteccin de acceso analiza dicha accin conforme a las reglas definidas.
3 Cuando se rompe una regla, la accin solicitada por el usuario o proceso se administra
mediante la informacin configurada en las reglas. Por ejemplo, la accin puede bloquearse,
bloquearse enviando un informe, o puede no provocar ninguna reaccin.
4 El archivo de registro de proteccin de acceso se actualiza y se genera un evento destinado
al administrador global de ePolicy Orchestrator.
Ejemplo de amenaza de acceso
1 Un usuario descarga el programa MiPrograma.exe desde Internet.
NOTA: En este ejemplo, MiPrograma.exe no es malware.
2 El usuario inicia el programa, que aparentemente se abre segn lo esperado.
3 A continuacin, MiPrograma.exe inicia un proceso secundario llamado Molestame.exe, el cual
intenta modificar el sistema operativo de modo que siempre se cargue al iniciar.
4 La proteccin de acceso procesa la solicitud y la compara con una regla existente configurada
para bloquear e informar.
Proteccin de acceso
5 Cuando Molestame.exe intenta modificar el sistema operativo, se le deniega el acceso. Al
mismo tiempo, la proteccin de acceso registra los detalles del intento y genera una alerta
para el administrador global de ePolicy Orchestrator.
Informe de registro y alertas generadas
El siguiente es un ejemplo de entada de registro creada por la funcin de proteccin de acceso.
2/10/2010 11:00 a. m. Bloqueado por regla de proteccin de acceso TestDomain\TestUser
C:\Users\TestUser\Desktop\Molestame.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\
Impedir que los programas se registren para ejecutarse automticamente
En esta tabla se describen los datos incluidos en la entrada anterior de proteccin de acceso:
Descripcin Entrada de registro
Fecha 2/10/2010
Hora 11:00 a. m.
Accin tomada Bloqueado por regla de proteccin de acceso
Credenciales TestDomain\TestUser
Nombre del proceso que incumpli la regla C:\Users\TestUser\Desktop\Molestame.exe
Ubicacin a la que intent acceder el proceso \REGISTRY\MACHINE\SOFTWARE\Microsoft...
Regla de proteccin de acceso que se activ Impedir que los programas se registren para ejecutarse
automticamente
Las consultas de ePolicy Orchestrator proporcionan una informacin similar. Para obtener ms
informacin, consulte Acceso a consultas y paneles.
Control del acceso a la interfaz de usuario
La configuracin de la seguridad de la interfaz en los equipos clientes es una parte importante
de la proteccin de su entorno.
Como administrador, puede:
Controlar el acceso de los usuarios a la interfaz de VirusScan Enterprise.
Establecer una contrasea para evitar que los usuarios accedan o cambien las funciones
seleccionadas.
Bloquear y desbloquear la interfaz de usuario segn sea necesario.
Contenido
Cmo afecta a los usuarios la configuracin de una contrasea
Configuracin de la seguridad de la interfaz de usuario
Cmo afecta a los usuarios la configuracin de una contrasea
Establezca una contrasea para la interfaz de usuario para disuadir a los usuarios con intenciones
maliciosas.
Cuando se protege la interfaz de usuario mediante contrasea en los equipos cliente, se ven
afectados los usuarios siguientes:
No administradores: usuarios que no tienen derechos de administrador. Los no
administradores ejecutan todas las aplicaciones de VirusScan Enterprise en modo de slo
Proteccin de acceso
lectura. Pueden ver algunos parmetros de configuracin, ejecutar anlisis guardados y
ejecutar actualizaciones y anlisis inmediatos. No pueden cambiar ninguno de los parmetros
de configuracin, ni crear, eliminar o modificar tareas de actualizacin o anlisis guardadas.
Administradores: usuarios que tienen derechos de administracin. Los administradores
deben escribir la contrasea para acceder a las fichas y controles protegidos en modo de
lectura y escritura. Si no se proporciona una contrasea para un elemento protegido, los
ven en modo de slo lectura.
Configuracin de la seguridad de la interfaz de usuario
Utilice las propiedades de la interfaz de usuario de Directivas de opciones generales para
configurar las opciones de contrasea y visualizacin disponibles para los usuarios.
ATENCIN: Considere cuidadosamente las implicaciones en la seguridad antes de modificar
estas propiedades. Estas opciones le permiten restringir o permitir que los usuarios modifiquen
su configuracin de seguridad y podran dejar desprotegidos los sistemas ante numerosos
ataques de malware.
Configure las propiedades de la interfaz de usuario de Directivas de opciones generales mediante
las consolas de interfaz de usuario indicadas a continuacin.
ePolicy Orchestrator 4.5 o 4.6
Configure las propiedades de la interfaz de usuario de Directivas de opciones generales.
Tarea
Para obtener la descripcin de cada opcin, haga clic en ? en cada ficha.
1 Haga clic en Men | Directiva | Catlogo de directivas y, a continuacin, en la lista
de productos seleccione VirusScan Enterprise 8.8.0. La lista de categoras muestra las
categoras de directivas en VirusScan Enterprise 8.8.0.
2 Edite una directiva existente o cree una nueva:
Editar una directiva existente
a Desde la lista Categora, seleccione la categora de la directiva.
b En la columna Acciones, haga clic en Editar configuracin para abrir la pgina de
configuracin de directivas.
Crear una nueva directiva
a Haga clic en Acciones | Nueva directiva para abrir el cuadro de dilogo Nueva
directiva.
b Desde la lista Categora, seleccione una directiva que ya exista.
c En la lista Crear una nueva directiva basada en esta otra existente, seleccione
una de las configuraciones.
d Escriba el nombre de la nueva directiva.
e Escriba las notas que sean necesarias.
f Haga clic en Aceptar. La nueva directiva aparece en la lista de directivas existentes.
g En la columna Acciones de la directiva nueva, haga clic en Editar configuracin para
abrir la pgina de configuracin de directivas.
3 En la lista Configuracin para, seleccione Estacin de trabajo o Servidor.
Proteccin de acceso
4 En la ficha Opciones de visualizacin, configure los iconos de la bandeja del sistema
de VirusScan Enterprise que pueden ver los usuarios, si se pueden conectar a sistemas
remotos y la opcin de idioma.
5 En la ficha Opciones de contrasea, configure las tareas de VirusScan Enterprise y las
opciones de interfaz de usuario que pueden modificar los usuarios junto con la contrasea
correcta.
ePolicy Orchestrator 4.0
Configure las propiedades de la interfaz de usuario de Directivas de opciones generales.
Tarea
Para obtener la descripcin de cada opcin, haga clic en ? en cada ficha.
1 Haga clic en Sistemas | Catlogo de directivas y, a continuacin, en la lista de productos
seleccione VirusScan Enterprise 8.8.0. La lista de categoras muestra las categoras de
directivas en VirusScan Enterprise 8.8.0.
b En la columna Acciones, haga clic en Editar para abrir la pgina de configuracin de
directivas.
a Haga clic en Nueva directiva para abrir el cuadro de dilogo Nueva directiva.
b En la lista Crear una nueva directiva basada en esta otra existente, seleccione
c Escriba el nombre de la nueva directiva.
d Haga clic en Aceptar. La nueva directiva aparece en la lista de directivas existentes.
correcta.
Consola de VirusScan
Configure las propiedades de la interfaz de usuario de Opciones generales.
Tarea
Para obtener la descripcin de cada opcin, haga clic en Ayuda en cada ficha.
1 Haga clic en Herramientas | Opciones generales para abrir el cuadro de dilogo de
configuracin de Opciones generales.
Proteccin de acceso
correcta.
La proteccin de acceso evita cambios no deseados en el equipo mediante la restriccin del
acceso a determinados puertos, archivos, recursos compartidos y valores y claves de registro.
Tambin protege los procesos de McAfee al impedir que los usuarios los detengan. Esta
proteccin resulta esencial antes y durante los ataques.
Esta funcin usa reglas y categoras predefinidas y reglas definidas por el usuario para especificar
los elementos a los que se puede y no se puede tener acceso. Cada regla se puede configurar
para bloquear y notificar las infracciones de puntos de acceso cuando se producen. Las reglas
y categoras predefinidas estn sujetas a actualizaciones de contenido a travs de los sitios de
actualizacin de McAfee.
Contenido
Definicin de las reglas de proteccin de acceso
Infracciones de punto de acceso y cmo responde ante ellas VirusScan Enterprise
Tipos de reglas definidas por el usuario
Configuracin de la proteccin de acceso
Definicin de las reglas de proteccin de acceso
Las reglas se organizan en estos tipos y proporcionan estos niveles de proteccin.
Descripciones de tipo de regla
Descripcin Tipo de regla
Estas reglas preconfiguradas protegen el equipo ante los comportamientos comunes
de las amenazas de malware. Puede habilitar, deshabilitar y cambiar la configuracin,
pero no puede eliminar las reglas.
Antivirus
Dos ejemplos de reglas de este tipo son:
Evitar la desactivacin o el cambio de procesos crticos, la creacin o modificacin
remota de archivos ejecutables, el pirateo de archivos ejecutables, la falsificacin
de procesos de Windows y que los gusanos de envo masivo de correo enven correo.
Proteger los archivos de la libreta de direcciones frente a los ladrones de contraseas
y direcciones de correo electrnico.
Los siguientes niveles de proteccin se aplican a las reglas antivirus:
Proteccin estndar
Proteccin mxima
Control de ataques
Estas reglas preconfiguradas impiden la modificacin de archivos y opciones usados
comnmente. Puede habilitar, deshabilitar y cambiar la configuracin, pero no puede
eliminar las reglas.
Comunes
Tres ejemplos de reglas de este tipo son:
Impedir la modificacin de los archivos y la configuracin de McAfee.
Descripcin Tipo de regla
Proteger los archivos y la configuracin de Mozilla y Firefox, la configuracin de
Internet Explorer y la configuracin de la red.
Evitar la instalacin de objetos auxiliares del explorador y la ejecucin automtica
de programas desde la carpeta Temp.
Los siguientes niveles de proteccin se aplican a las reglas comunes:
Proteccin estndar
Proteccin mxima
Estas reglas preconfiguradas impiden la interrupcin de procesos de VMWare y la
modificacin de archivos VMWare. Puede habilitar, deshabilitar y cambiar la
configuracin, pero no puede eliminar las reglas.
Proteccin de mquina
virtual
Algunos ejemplos de reglas son:
Impedir la interrupcin de procesos de VMWare.
Impedir la modificacin de los archivos de la estacin de trabajo, del servidor o
de la mquina virtual de VMWare.
Estas reglas personalizadas complementan la proteccin proporcionada por las reglas
Antivirus y Comunes.
Definidas por el usuario
Algunos ejemplos de reglas son: Anti spyware
Proteger los favoritos y las opciones de Internet Explorer.
Impedir que los programas ejecuten secuencias de comandos desde la carpeta
Temp.
Descripciones de los niveles de proteccin
Descripcin Nivel de proteccin
Reglas comunes y antivirus que protegen algunos archivos y opciones prioritarios
contra modificaciones pero que en general permiten la instalacin y la ejecucin de
software inofensivo.
Estndar
Reglas comunes y antivirus que protegen las opciones y archivos prioritarios contra
modificaciones. Este nivel ofrece ms proteccin que el estndar pero tambin puede
Mximo
impedir la instalacin de software inofensivo. Si no puede instalar software, le
recomendamos que desactive la funcin Proteccin de acceso primero, y que vuelva
a activarla tras la instalacin.
Reglas antivirus que bloquean el acceso al equipo por parte de cdigo destructivo
hasta que se consiga un archivo DAT. Estas reglas estn preconfiguradas para bloquear
el acceso a los recursos compartidos durante un brote.
Control de brotes
Infracciones de punto de acceso y cmo responde ante ellas
VirusScan Enterprise
Se produce una infraccin de acceso cuando un proceso o usuario restringido intenta iniciar,
detener u obtener acceso a componentes de su equipo.
Cuando se produce una infraccin de punto de acceso:
La informacin se incluye en el archivo de registro si ha seleccionado la opcin Informar
para la regla que detect la infraccin.
El evento se registra en el registro de eventos local y en SNMP si ha configurado esta opcin
en Propiedades de alerta.
Se enva informacin del evento a Alert Manager y ePolicy Orchestrator si as ha configurado
esos productos.
Una accin de Bloquear e Informar para una regla determina qu sucede cuando una
regla detecta una infraccin.
En el sistema cliente independiente, un marco rojo rodea el icono de la bandeja del sistema
y permanece visible durante 30 minutos a menos que lo restablezca.
NOTA: Para restablecer el icono, abra el Archivo de registro de proteccin de acceso
desde el icono de la bandeja del sistema. Si lo abre utilizando cualquier otro mtodo, el
icono no se restablece a su estado normal.
Tipos de reglas definidas por el usuario
Cuando se configura una nueva regla de proteccin de acceso definida por el usuario, se pueden
crear tambin reglas de bloqueo de puertos, bloqueo de archivos y carpetas, y bloqueo de
registro.
Estas reglas se describen en la tabla que sigue a continuacin.
Descripciones de la regla
Descripcin Regla
Bloquee el trfico entrante o saliente de la red en determinados puertos o intervalos de
puertos.
NOTA: Cuando se bloquea un puerto, los accesos al protocolo TCP (Transmission Control
Protocol) y al protocolo UDP (User Datagram Protocol) quedan bloqueados.
NOTA: Cuando se bloquea un puerto, todos los protocolos que usan dicho puerto o
rango de puertos quedan bloqueados. Por ejemplo, los accesos al protocolo TCP
Regla de bloqueo de
puertos
(Transmission Control Protocol) y al protocolo UDP (User Datagram Protocol) quedan
bloqueados.
Bloquee el acceso de escritura a archivos y carpetas, la ejecucin de archivos, as como
la creacin y eliminacin de archivos.
NOTA: Una vez que se restringe el acceso a un archivo o a una carpeta, la restriccin
se mantiene hasta que el administrador decida eliminarla. Esto ayuda a impedir las
intrusiones y detiene su difusin durante un ataque.
Regla de bloqueo de
archivos/carpetas
Proteja las claves o los valores del Registro mediante el bloqueo de las siguientes
acciones: escribir, crear o eliminar.
Regla de bloqueo del
Registro
Configuracin de la proteccin de acceso
Utilice las Directivas de proteccin de acceso para proteger los puntos de acceso a su
sistema y evitar la interrupcin de procesos de McAfee.
ATENCIN: Si no se activa la proteccin de acceso ni se impide la interrupcin de los servicios
de McAfee, el sistema quedar desprotegido ante los diversos ataques de malware.
Hay dos tipos de reglas de proteccin de acceso que puede configurar.
Reglas predefinidas. Le permiten:
Abrir la categora de la regla de proteccin de acceso en una de las consolas de interfaz
de usuario.
Seleccionar el bloqueo y la accin a realizar en caso de que la regla se incumpla.
Reglas definidas por el usuario. Le permiten:
Crear la categora de regla definida por el usuario con una de las consolas de interfaz de
usuario.
Seleccionar qu tipo de bloqueo impone la regla: bloqueo de puertos, bloqueo de archivos
y carpetas o bloqueo de registro.
Configurar los detalles de la regla.
Guardar la regla y, si fuera necesario, modificarla en el futuro.
Tareas
Configuracin de reglas predefinidas
Configuracin de reglas definidas por el usuario
Opciones de regla de bloqueo de puertos
Opciones de regla de bloqueo de archivos y carpetas
Opciones de regla de bloqueo de registro
Opciones de inclusin o exclusin de procesos especficos
Eliminacin de reglas definidas por el usuario
Configuracin de reglas predefinidas
Utilice las reglas predefinidas para proteger el equipo de cambios no deseados. Estas reglas se
pueden activar y editar, pero no se pueden eliminar.
Las reglas predefinidas de proteccin de acceso incluyen:
Proteccin estndar antispyware
Proteccin mxima antispyware
Proteccin estndar de antivirus
Proteccin mxima de antivirus
Control de brotes de antivirus
Proteccin comn estndar
Proteccin comn mxima
Proteccin de mquina virtual
Si desea obtener ms informacin acerca de estas reglas predefinidas de proteccin de acceso,
consulte Definicin de las reglas de proteccin de acceso.
Configure las reglas predefinidas de proteccin de acceso mediante una de estas consolas de
interfaz de usuario.
Configure las reglas predefinidas de proteccin de acceso en las Directivas de proteccin de
acceso.
Tarea
Si desea consultar las definiciones de las opciones, haga clic en ? en la interfaz.
directiva.
4 En la pgina Directiva de proteccin de acceso, haga clic en la ficha Proteccin de acceso
para visualizar las reglas de proteccin de acceso.
5 Seleccione una de las categoras predefinidas de reglas en el panel izquierdo y, a
continuacin, seleccione la regla especfica en el panel derecho.
6 Configure las opciones Bloquear y/o Informar.
7 Haga clic en Editar para configurar los Detalles de la regla.
Configure las reglas predefinidas de proteccin de acceso en las Directivas de proteccin de
acceso.
Tarea
directivas.
4 En la pgina Directiva de proteccin de acceso, haga clic en la ficha Proteccin de acceso
para visualizar las reglas de proteccin de acceso.
Configure las reglas predefinidas de proteccin de acceso en las propiedades de Proteccin de
acceso.
Tarea
Si desea consultar las definiciones de las opciones, haga clic en Ayuda en la interfaz.
1 En la lista Tarea, haga clic con el botn secundario en Proteccin de acceso y, a
continuacin, haga clic en Propiedades para abrir el cuadro de dilogo.
2 En el cuadro de dilogo Directiva de proteccin de acceso, haga clic en la ficha Proteccin
de acceso para visualizar las reglas de proteccin de acceso.
Configuracin de reglas definidas por el usuario
Cree y edite reglas definidas por el usuario para complementar la proteccin que proporcionan
las reglas predefinidas.
Si desea obtener ms informacin acerca de las reglas predefinidas de proteccin de acceso,
consulte Definicin de las reglas de proteccin de acceso.
Utilice una de estas consolas de interfaz de usuario para crear y editar las reglas de proteccin
de acceso definidas por el usuario.
Configure las reglas de proteccin de acceso definidas por el usuario en las Directivas de
proteccin de acceso.
Tarea
directiva.
4 Seleccione la categora Reglas definidas por el usuario en el panel izquierdo. A
continuacin, haga clic en Nueva para abrir el cuadro de dilogo Seleccionar el nuevo
tipo de regla.
5 Seleccione el tipo de regla y haga clic en Aceptar. Si desea obtener ms informacin,
consulte Tipos de reglas definidas por el usuario.
En funcin del tipo de regla seleccionado, aparecer un tipo distinto de cuadro de dilogo
de regla de acceso.
6 Configure los siguientes detalles de la regla de acceso.
Regla de proteccin de acceso de puertos de red: consulte la tabla de opciones
en Opciones de regla de bloqueo de puertos.
Regla de proteccin de acceso a archivos/carpetas: consulte la tabla de opciones
en Opciones de regla de bloqueo de archivos y carpetas.
Regla de proteccin de acceso al registro: consulte la tabla de opciones en Opciones
de regla de bloqueo de registro.
NOTA: Para configurar los procesos que desea incluir y excluir, consulte Opciones de
inclusin o exclusin de procesos especficos.
7 Haga clic en Aceptar.
La nueva regla definida por el usuario aparece en el panel derecho bajo
Bloqueo/Informe/Reglas. Para modificar la regla nueva, seleccinela y haga clic en Editar.
Configure las reglas de proteccin de acceso definidas por el usuario en las Directivas de
proteccin de acceso.
Tarea
directivas.
tipo de regla.
de regla de acceso.
La nueva regla definida por el usuario aparece en el panel derecho bajo
Bloqueo/Informe/Reglas. Para modificar la regla nueva, seleccinela y haga clic en Editar.
Configure las reglas de proteccin de acceso definidas por el usuario en las propiedades de
Proteccin de acceso.
Tarea
tipo de regla.
de regla de acceso.
La nueva regla definida por el usuario aparece en el panel derecho, en la columna Reglas.
Para modificar la regla nueva, seleccinela y haga clic en Editar.
Opciones de regla de bloqueo de puertos
Las reglas de bloqueo de puertos evitan que los usuarios puedan obtener acceso a los puertos
de entrada y de salida que se especifiquen. Adems, impiden que otros equipos puedan obtener
acceso al equipo.
Definiciones de las opciones
Definicin Opcin
Escriba el nombre de esta regla. Nombre de regla
Restrinja el acceso a los procesos especificados. Procesos que se incluyen
Permita el acceso a los procesos especificados. Procesos que se excluyen
Especifique el primer nmero de puerto. Puede ser un nico puerto o el nmero inicial
de un intervalo de puertos.
NOTA: Si bloquea el acceso a un puerto utilizado por McAfee Agent o por Host Intrusion
Prevention Agent, los procesos de los agentes pasan a ser de confianza y se les permite
Puerto inicial
comunicar con el puerto bloqueado. El trfico que no est relacionado con estos procesos
de agente se bloquea.
Especifique el ltimo nmero de puerto en un intervalo de puertos. Puerto final
Impida que los sistemas de la red accedan a los puertos especificados. Entrante
Impida que los procesos locales accedan a los puertos especificados en la red. Saliente
Opciones de regla de bloqueo de archivos y carpetas
Las reglas de bloqueo de archivos y carpetas evitan que usuarios no autorizados alteren, abran
o eliminen los archivos o carpetas que se especifiquen.
Definicin Opcin
Escriba el nombre de esta regla. Nombre de la regla
Impida el acceso al archivo o carpeta que se ha especificado. Nombre del archivo o la
carpeta que se va a
bloquear
Desplcese hasta el archivo. Examinar archivo
Desplcese hasta la carpeta. Examinar carpeta
Impida el acceso de lectura a los archivos especificados. Acceso de lectura a
archivos
Impida el acceso de escritura a los archivos especificados. Acceso de escritura a
archivos
Impida la ejecucin de archivos en la carpeta indicada. Archivos que estn
ejecutndose
Impida la creacin de nuevos archivos en la carpeta indicada. Nuevos archivos que
estn crendose
Impida la eliminacin de los archivos de la carpeta indicada. Archivos que estn
siendo eliminados
Opciones de regla de bloqueo de registro
Las reglas de bloqueo de registro evitan que los usuarios y los programas no autorizados puedan
alterar, abrir o eliminar los valores y las claves de registro que se especifiquen.
NOTA: Cuando cree una regla de bloqueo de registro, utilice la abreviatura del subrbol de
registro que mejor coincida. Por ejemplo, para bloquear
HKLM\System\CurrentControlSet\Services\MyService, seleccione el subrbol HKCCS y no HKLM.
Definicin Opcin
Especifique el nombre de esta regla. Nombre de regla
Proteja este valor o clave de registro: Clave o valor del
Registro que se debe
proteger
Seleccione una clave raz o un valor de la lista desplegable.
Escriba una clave o un valor en el cuadro de texto.
La seleccin de una clave raz o un valor de la lista desplegable es opcional. Utilice
cualquiera de estos mtodos para indicar la clave o el valor:
Definicin Opcin
Seleccione la clave raz o el valor de la lista desplegable y, a continuacin, escriba
el resto de la ruta hasta la clave o el valor en el cuadro de texto.
Escriba la ruta completa hacia la clave o el valor en el cuadro de texto.
Seleccione el tipo de regla: Tipo de regla
Clave: esta regla protege la clave especificada.
Valor: esta regla protege el valor especificado.
Impida la escritura en el valor o clave especificados. Escribir clave o valor
Impida la creacin del valor o la clave especificados. Crear clave o valor
Impida la eliminacin del valor o la clave especificados. Eliminar clave o valor
Opciones de inclusin o exclusin de procesos especficos
Para cambiar los detalles de la regla (p. ej., el nombre) y los procesos que se deben incluir o
excluir, utilice Proteccin de acceso y haga clic en Editar.
Descripcin Opcin
El nombre de esta regla. Por ejemplo, Impedir la desactivacin del editor del
Registro y del Administrador de tareas.
Nombre de regla
Restrinja el acceso a estos procesos. Use el nombre exacto del proceso o un comodn
para especificar una amplia gama de procesos, como *.EXE, y, a continuacin, agregue
Procesos que se
incluyen
exclusiones para procesos especficos que resultan inofensivos, como SETUP.EXE. Por
ejemplo, especifique * para incluir todos los procesos.
Permita el acceso a estos procesos. Utilice el nombre exacto del proceso. Por ejemplo,
indique estas exclusiones: avtask.exe, cfgwiz,exe, fssm32.exe, giantantispywar*,
kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe.
Procesos que se
excluyen
Eliminacin de reglas definidas por el usuario
Elimine las reglas que ha creado pero que ya no utiliza.
Utilice una de las siguientes consolas de interfaz de usuario para eliminar las reglas definidas
por el usuario.
En las Directivas de proteccin de acceso, elimine las reglas que haya creado y que ya no utilice.
Tarea
Si desea consultar las definiciones de las opciones, haga clic en ? o Ayuda en la interfaz.
directiva.
4 Seleccione la categora Reglas definidas por el usuario del panel izquierdo y, a
continuacin, seleccione la regla que desea eliminar del panel derecho.
5 Haga clic en Eliminar.
NOTA: Para desactivar una regla sin eliminarla, cancele la seleccin de las acciones
Bloquear e Informar. Puede volver a activar la regla si resulta necesario.
En las Directivas de proteccin de acceso, elimine las reglas que haya creado y que ya no utilice.
Tarea
directivas.
En las propiedades de Proteccin de acceso, elimine las reglas que haya creado y que ya no
utilice.
Utilice una de las siguientes consolas de interfaz de usuario para eliminar las reglas definidas
por el usuario.
Tarea
Bloqueo de vulnerabilidades de desbordamiento del
bfer
La proteccin contra el desbordamiento del bfer impide que las vulnerabilidades de
desbordamiento del bfer ejecuten de forma arbitraria un cdigo en el equipo. Supervisa las
llamadas de modo usuario de API y reconoce cundo son el resultado de un desbordamiento
del bfer.
Cuando se produce una deteccin, la informacin se registra en el registro de actividades y se
visualiza en el cuadro de dilogo Mensajes de anlisis en tiempo real, si ha configurado
as esas opciones.
VirusScan Enterprise usa un archivo DAT de desbordamiento del bfer y proteccin de acceso
para proteger aproximadamente 30 aplicaciones como, por ejemplo, Internet Explorer, Microsoft
Outlook, Outlook Express, Microsoft Word y MSN Messenger.
Contenido
Vulnerabilidades de desbordamiento del bfer
Configuracin de la proteccin de desbordamiento del bfer
Vulnerabilidades de desbordamiento del bfer
Los atacantes utilizan las vulnerabilidades de desbordamiento del bfer para ejecutar un cdigo
que desborda los bferes de tamao fijo reservados para procesos de entrada. Este cdigo
permite al atacante tomar el control del equipo de destino o poner en peligro sus datos.
Existen dos tipos de vulnerabilidades de desbordamiento del bfer:
Ataques basados en montn (heap): saturan el espacio de memoria reservado a un
programa. Son difciles de realizar y poco frecuentes.
Ataques basados en pila: utilizan los objetos de la memoria de la pila para almacenar
entradas de usuario. Son los ms comunes.
A continuacin se describen los ataques por desbordamiento del bfer basados en pila:
1 Proceso normal de memoria en pila: la memoria en pila, de tamao fijo, se encuentra
normalmente vaca a la espera de que el usuario realice una entrada. Cuando un programa
recibe una entrada por parte del usuario (p. ej., su nombre), los datos se almacenan en
la parte superior de la pila y se les asigna una direccin de memoria de retorno. Cuando
se procesa la pila, la entrada del usuario se enva a la direccin de retorno especificada
por el programa.
2 Desbordamiento de la pila: cuando se escribe el programa, se reserva una cantidad
especfica de espacio de memoria para los datos. La pila se desborda si los datos escritos
tienen un tamao superior al espacio reservado para ellos en la pila. Esto slo supone un
problema si se combina con una entrada maliciosa.
3 Vulneracin del desbordamiento: si el programa est esperando a que un usuario
introduzca su nombre y el atacante introduce un comando ejecutable que excede el tamao
de la pila, dicho comando se almacenar fuera del espacio reservado.
4 Ejecucin de cdigo malicioso: el comando no se ejecuta automticamente ya que
excede el espacio de bfer de la pila. S se ejecuta si el atacante proporciona una direccin
de retorno que apunte al comando malicioso. En un principio, el programa se bloquea
debido al desbordamiento del bfer. Sin embargo, intenta recuperarse utilizando la direccin
de retorno proporcionada por el atacante. Si la direccin de retorno es vlida, el comando
malicioso se ejecuta.
5 Vulneracin de permisos: debido a que los programas se ejecutan normalmente en
modo kernel o con permisos heredados de una cuenta de servicio, el cdigo malicioso
puede ejecutarse con los mismos permisos de la aplicacin que ha sido puesta en peligro.
Esto significa que el atacante puede tomar el control total del sistema operativo.
Configuracin de la proteccin de desbordamiento del bfer
Para evitar que las aplicaciones ejecuten cdigo arbitrario en el equipo, se deben configurar
las Directivas de proteccin de desbordamiento del bfer.
Configure las Directivas de proteccin de desbordamiento del bfer con las siguientes consolas
de interfaz de usuario.
Configure las Directivas de proteccin de desbordamiento del bfer con estas consolas de
Tarea
directiva.
4 En la pgina Directivas de proteccin de desbordamiento del bfer, haga clic en la ficha
Proteccin de desbordamiento del bfer y realice la siguiente configuracin:
a Active Configuracin de desbordamiento del bfer y el modo de proteccin utilizado.
Configure el modo de proteccin para que bloquee el aprovechamiento de la
vulnerabilidad o para que simplemente enve un mensaje y registre el evento.
b Active las Advertencias del sistema cliente que se enviarn cuando se produzca un
ataque por desbordamiento del bfer.
c Configure las Exclusiones de desbordamiento del bfer para los valores especficos
de API (Interfaz de Programacin de Aplicaciones), as como los procesos opcionales y
los nombres de mdulos que se excluirn.
5 Haga clic en la ficha Informes, active los archivos de registro de actividades de anlisis,
su ubicacin, tamao y formato.
NOTA: Estos archivos de registro resultan muy tiles a la hora de diagnosticar amenazas
de seguridad y determinar qu medidas tomar frente a esas amenazas.
Configure las Directivas de proteccin de desbordamiento del bfer con esta consola de interfaz
de usuario.
Tarea
directivas.
4 En la pgina Directivas de proteccin de desbordamiento del bfer, haga clic en la ficha
1 Active Configuracin de desbordamiento del bfer y el modo de proteccin
utilizado. Configure el modo de proteccin para que bloquee el aprovechamiento de
la vulnerabilidad o para que simplemente enve un mensaje y registre el evento.
2 Active las Advertencias del sistema cliente que se enviarn cuando se produzca
un ataque por desbordamiento del bfer.
3 Configure las Exclusiones de desbordamiento del bfer para los valores especficos
de API (Interfaz de Programacin de Aplicaciones), as como los procesos opcionales
y los nombres de mdulos que se excluirn.
Configure las Directivas de proteccin de desbordamiento del bfer con esta consola de interfaz
de usuario.
Tarea
1 En la lista Tarea, haga clic con el botn secundario en Proteccin de desbordamiento
del bfer y, a continuacin, haga clic en Propiedades para abrir el cuadro de dilogo.
2 En la pgina Propiedades de proteccin de desbordamiento del bfer, haga clic en la ficha
a Active Configuracin de desbordamiento del bfer y el modo de proteccin utilizado.
Configure el modo de proteccin para que bloquee el aprovechamiento de la
vulnerabilidad o para que simplemente enve un mensaje y registre el evento.
b Active las Advertencias del sistema cliente que se enviarn cuando se produzca un
ataque por desbordamiento del bfer.
c Configure las Exclusiones de desbordamiento del bfer para los valores especficos
de API (Interfaz de Programacin de Aplicaciones), as como los procesos opcionales y
los nombres de mdulos que se excluirn.
Restriccin de programas potencialmente no
deseados
VirusScan Enterprise protege a su equipo de los programas potencialmente no deseados que
suponen una molestia o un riesgo para la seguridad. Hay configurada una directiva sobre
programas no deseados habituales, pero puede activar o desactivar de forma individual la
directiva y especificar acciones para cada uno de los analizadores de VirusScan Enterprise.
Los programas potencialmente no deseados (PUP) se definen como aquellos programas de
software que han desarrollado compaas legtimas y que pueden alterar el estado de seguridad
o la directiva de privacidad del equipo en el que se encuentran instalados. Este software puede
incluir, aunque no necesariamente, spyware, adware y marcadores. Estos programas PUP
incrustados se pueden descargar con un programa que el usuario desea obtener. Los usuarios
preocupados por la seguridad reconocen este tipo de programas y, en algunos casos, los
eliminan.
Configuracin de programas no deseados
Para proteger su equipo contra programas potencialmente no deseados, debe configurar las
categoras de programas no deseados que se detectarn en su entorno.
La configuracin es un proceso en dos pasos:
1 Configure la Directiva de programas no deseados para definir qu programas
potencialmente no deseados desea detectar y excluir:
Seleccione categoras de programas completas o programas especficos de dichas
categoras en la lista predefinida procedente del archivo DAT actual.
Especifique las exclusiones.
Cree una lista de programas que deben detectarse definida por el usuario.
2 Active la deteccin de programas no deseados en los analizadores en tiempo real, bajo
demanda y de correo electrnico y, a continuacin, configure las acciones que se van a
emprender cuando se detecte un programa no deseado.
NOTA: La deteccin de programas no deseados se activa de modo diferente en el analizador
bajo demanda ya que el anlisis bajo demanda es una tarea, no una directiva. Para obtener
ms informacin, consulte Configuracin de tareas de anlisis bajo demanda.
Tareas
Acceso a directivas de programas no deseados
Activacin de la deteccin de programas no deseados en los analizadores en tiempo real y
de correo electrnico
Acceso a directivas de programas no deseados
Configure las directivas de programas no deseados seleccionando las categoras de programas
no deseados que se deben detectar. Por ejemplo, spyware y adware. Asimismo, puede especificar
exclusiones para que no se detecten determinados programas.
Acceda a las directivas de programas no deseados mediante una de las siguientes consolas de
Configure las Directivas de programas no deseados con esta consola de interfaz de usuario.
Tarea
directiva.
4 En la pgina Directiva de programas no deseados, haga clic en la ficha Elementos
de anlisis para configurar lo siguiente:
a Categoras de programas no deseados que se detectarn: por ejemplo, spyware
y adware. El archivo DAT actual define estas categoras.
b Exclusiones: debe especificar el nombre exacto de la deteccin que desea excluir, no
el nombre del archivo.
5 Haga clic en la ficha Detecciones definidas por el usuario y especifique los archivos o
programas que se considerarn programas no deseados. Especifique cada elemento por
nombre de archivo y proporcione una descripcin para cada uno.
Configure las Directivas de programas no deseados con esta consola de interfaz de usuario.
Tarea
directivas.
Configure las propiedades de Programas no deseados mediante esta consola de interfaz de
usuario.
Tarea
1 En la lista Tarea, haga clic con el botn secundario en Directiva de programas no
deseados y, a continuacin, haga clic en Propiedades para abrir el cuadro de dilogo
Directiva de programas no deseados.
Activacin de la deteccin de programas no deseados en los analizadores
en tiempo real y de correo electrnico
Para que los analizadores en tiempo real y de correo electrnico puedan detectar programas
no deseados, se debe activar esta funcin en la ficha Elementos de anlisis.
Utilice las siguientes consolas de interfaz de usuario para activar los analizadores en tiempo
real y de correo electrnico para que detecten programas no deseados.
NOTA: Para activar la deteccin de programas no deseados en el analizador bajo demanda,
consulte Configuracin de tareas de anlisis bajo demanda.
Utilice la consola de ePolicy Orchestrator 4.5 o 4.6 para activar los analizadores en tiempo real
y de correo electrnico para que detecten programas no deseados.
El proceso usado para activar la deteccin de programas no deseados en el analizador en tiempo
real y en el analizador bajo demanda es bsicamente el mismo. La nica diferencia es la directiva
que se selecciona en el catlogo de directivas durante el paso 2. Para activar la deteccin de
programas no deseados para:
Anlisis en tiempo real, seleccione Directivas de anlisis en tiempo real.
Anlisis de correo electrnico, seleccione Directivas de correo electrnico durante
la recepcin.
Tarea
directiva.
4 En la pgina Directivas de anlisis en tiempo real o Directivas de correo electrnico
durante la recepcin, haga clic en la ficha Elementos de anlisis y seleccione Detectar
Utilice la consola de ePolicy Orchestrator 4.0 para activar los analizadores en tiempo real y de
correo electrnico para que detecten programas no deseados.
real y en el analizador bajo demanda es bsicamente el mismo. La nica diferencia es la directiva
que se selecciona en el catlogo de directivas durante el paso 2. Para activar la deteccin de
Anlisis de correo electrnico, seleccione Directivas de correo electrnico durante
la recepcin.
Tarea
directivas.
Utilice Consola de VirusScan para activar los analizadores en tiempo real y de correo electrnico
para que detecten programas no deseados.
real y en el analizador bajo demanda es bsicamente el mismo. La nica diferencia es la tarea
que se selecciona en Consola de VirusScan durante el paso 2. Para activar la deteccin de
Anlisis de correo electrnico, seleccione Analizador de correo electrnico durante
la recepcin.
Tarea
1 En la lista Tarea, haga clic con el botn secundario en una de las siguientes opciones. A
continuacin, haga clic en Propiedades para abrir su cuadro de dilogo:
Directivas de anlisis en tiempo real: para anlisis en tiempo real.
Analizador de correo electrnico durante la recepcin: para anlisis de correo
electrnico.
El software VirusScan Enterprise depende del motor de anlisis y de la informacin de los
archivos de definicin de deteccin (DAT) para identificar las amenazas y realizar acciones con
respecto a ellas. Peridicamente aparecen nuevas amenazas. Para enfrentarse a este reto,
McAfee publica nuevos archivos DAT cada da que incorporan los resultados de su continua
investigacin. La tarea de actualizacin recupera los archivos DAT ms actuales desde el sitio
de actualizacin externo de McAfee y los instala.
NOTA: Un entorno administrado por ePolicy Orchestrator tambin puede recuperar los archivos
DAT, el archivo EXTRA.DAT, los motores de anlisis, los Service Packs y los parches ms
recientes.
Contenido
Archivos DAT y su funcionamiento
Importancia de tener una estrategia de actualizacin
Tareas de actualizacin y su funcionamiento
Tareas de duplicacin y su funcionamiento
Funcionamiento del repositorio de AutoUpdate
Funcionamiento de la reversin de archivos DAT
Archivos DAT y su funcionamiento
Cuando el motor de anlisis explora los archivos en busca de amenazas, compara el contenido
de esos archivos con informacin de amenazas conocidas que se encuentra almacenada en
archivos de definicin de detecciones (DAT). La informacin de amenazas conocidas, denominada
firmas, es informacin que McAfee Labs ha encontrado y agregado a los archivos DAT.
Aparte de las firmas, los archivos DAT tambin incluyen informacin sobre cmo limpiar y
contrarrestar el dao provocado por el virus que se ha detectado. Por ese motivo es tan
importante disponer de la versin ms reciente del archivo DAT utilizado por VirusScan Enterprise.
ATENCIN: Si la firma de un determinado virus no est incluida en ninguno de los archivos
DAT que tiene instalados, el motor de anlisis no detectar ese virus. Asimismo, se debe disponer
de la ltima versin del motor de anlisis para que ste pueda sacar todo el provecho de los
archivos DAT ms recientes.
VirusScan Enterprise tambin utiliza heurstica, denominada Artemis, para buscar archivos
sospechosos conjuntamente con los archivos DAT. Consulte Funcionamiento de Artemis para
obtener ms informacin.
Los archivos DAT se almacenan en la ruta siguiente:
\Archivos de programa\Archivos comunes\McAfee\Engine
Importancia de tener una estrategia de actualizacin
No se puede subestimar la importancia de tener una estrategia de actualizacin. Si su sistema
no dispone de los archivos DAT ni el motor de anlisis ms recientes, no estar totalmente
protegido contra los ltimos virus. Ha habido un incremento sin precedentes en el nmero, la
velocidad de propagacin y el predominio de nuevo malware. Asimismo, la creciente cantidad
de adware y spyware exige disponer de una deteccin y eliminacin ms consistentes.
Casi a diario, McAfee Labs publica actualizaciones de los archivos DAT sobre las 6:00 p. m.
(GMT). No cabe duda de que se seguirn produciendo brotes a cualquier hora y que stos
requerirn la publicacin de archivos DAT de emergencia. En caso de que un archivo DAT se
publique ms temprano para prevenir una posible brote, ese da no se publicar un segundo
DAT a la hora habitualmente programada, a menos que as lo requiera otra situacin de
emergencia.
Determinacin de una estrategia de actualizacin
Los archivos DAT y el motor de anlisis utilizados por VirusScan Enterprise se pueden actualizar
mediante varios mtodos. Se pueden utilizar tareas de actualizacin (AutoUpdate), actualizaciones
manuales, secuencias de comandos de inicio de sesin, o bien planificar actualizaciones con
herramientas de administracin.
El uso de una tarea de actualizacin permite:
Planificar despliegues de archivos DAT en toda la red: puede escalonar las tareas de
actualizacin o establecer una planificacin para actualizar los archivos DAT por etapas o
de forma rotatoria en distintas partes de la red, en el momento ms conveniente y con una
intervencin mnima por parte de los administradores o usuarios de la red.
Dividir tareas de administracin de despliegue: para aumentar la eficiencia del ancho
de banda de la red, utilice diferentes servidores o controladores de dominio entre diferentes
regiones de redes de rea amplia o a travs de otras divisiones de la red. De este modo,
tambin se puede reducir el potencial de infracciones de seguridad de la red.
Reducir el tiempo de espera necesario para descargar nuevos archivos DAT o
archivos actualizados del motor: el trfico en los equipos con McAfee aumenta
significativamente en las fechas habituales de publicacin de archivos DAT y siempre que
aparecen nuevas versiones de productos. Evitar la competicin por el ancho de banda de la
red le permitir desplegar el nuevo software con interrupciones mnimas.
Requisitos para una estrategia de actualizacin eficaz
Una estrategia de actualizacin eficaz requiere generalmente que al menos un cliente o servidor
de la organizacin recupere actualizaciones del sitio de descargas de McAfee. Desde ese punto,
los archivos pueden replicarse por toda la organizacin y proporcionar acceso para todos los
dems equipos. Idealmente, debera minimizarse la cantidad de datos transferidos por la red
mediante la automatizacin del proceso de copia de los archivos actualizados a los sitios
compartidos.
Los factores principales que deben tenerse en cuenta para una actualizacin eficaz son el nmero
de clientes y el nmero de sitios. Otras consideraciones pueden ser el nmero de sistemas en
cada sitio remoto y la forma en que los sitios remotos acceden a Internet. Los conceptos bsicos
de usar un repositorio central para recuperar las actualizaciones y planificar tareas de
actualizacin para mantener el entorno al da se aplican a organizaciones de cualquier tamao.
Para obtener informacin sobre despliegue de software y actualizaciones, consulte la gua del
producto correspondiente de ePolicy Orchestrator.
Tareas de actualizacin y su funcionamiento
Utilice la tarea de actualizacin para obtener los archivos DAT, el motor de bsqueda, los service
packs y los parches ms recientes.
VirusScan Enterprise incluye una tarea de actualizacin predeterminada que est programada
todos los das a las 5:00 p. m., con una ejecucin aleatoria de una hora. Se pueden crear tareas
de actualizacin adicionales segn sea necesario.
Actividades de las tareas de actualizacin
Estas actividades tienen lugar cuando se ejecuta una tarea de actualizacin:
Se crea una conexin con el primer repositorio (sitio de actualizacin) activado de la lista
de repositorios. Si este repositorio no est disponible, se entra en contacto con el siguiente
sitio y as sucesivamente hasta que se establece una conexin o hasta que se llega al final
de la lista.
Se descarga un archivo CATALOG.Z codificado desde el repositorio. El archivo contiene los
datos fundamentales necesarios para actualizar. Estos datos se utilizan para determinar qu
archivos y actualizaciones estn disponibles.
Las versiones de software contenidas en el archivo se cotejan con las versiones existentes
en el equipo. Si hay disponibles nuevas actualizaciones de software, se proceder a su
descarga.
Interrupcin de tareas de actualizacin
Si la tarea de actualizacin se interrumpe por algn motivo:
La tarea de actualizacin desde un sitio HTTP, UNC o local se reanuda desde donde se
interrumpi la prxima vez que se inicie la tarea de actualizacin.
Una tarea de actualizacin desde un sitio FTP no vuelve a empezar si se interrumpi durante
la descarga de un nico archivo. No obstante, si la tarea implica la descarga de varios archivos
y se interrumpe, se reanudar antes del archivo que se estaba descargando en el momento
de la interrupcin.
Actualizacin mediante EXTRA.DAT
Se puede usar un archivo EXTRA.DAT como medida temporal durante una emergencia. El
archivo EXTRA.DAT se descarga del repositorio en cada actualizacin. De este modo, se garantiza
que, si se modifica y se vuelve a instalar el archivo EXTRA.DAT como paquete, todos los clientes
de VirusScan Enterprise descargan y utilizan el mismo paquete EXTRA.DAT actualizado. Por
ejemplo, podra utilizar el archivo EXTRA.DAT como un detector mejorado para el mismo
programa potencialmente no deseado o como deteccin adicional para otros nuevos programas
potencialmente no deseados. VirusScan Enterprise slo admite el uso de un archivo EXTRA.DAT.
SUGERENCIA: Cuando haya terminado de utilizar el archivo EXTRA.DAT, deber eliminarlo del
repositorio maestro y ejecutar una tarea de rplica para garantizar que se elimina de todos los
sitios de repositorios distribuidos. De este modo, los clientes de VirusScan Enterprise no pueden
descargar el archivo EXTRA.DAT durante una actualizacin. De forma predeterminada, la
deteccin del nuevo programa potencialmente no deseado en el archivo EXTRA.DAT se omite
una vez que el nuevo archivo de definicin de detecciones se agrega a los archivos DAT diarios.
Configuracin de la tarea de AutoUpdate
Para actualizar automticamente los archivos DAT y los motores de anlisis de todos los
productos McAfee, se debe configurar las propiedades y la planificacin de AutoUpdate.
Tarea
Para obtener la definicin de cada opcin, haga clic en ? o Ayuda en la ficha.
1 Para tener acceso a las propiedades de AutoUpdate:
ePolicy Orchestrator 4.5 o 4.6: haga clic en Men | Sistemas | rbol de sistemas
y seleccione Tareas cliente.
NOTA: Si desea obtener informacin detallada sobre cmo crear una nueva tarea cliente
planificada, consulte la Gua del producto de McAfee ePolicy Orchestrator 4.5.
ePolicy Orchestrator 4.0: haga clic en Sistemas | rbol de sistemas | Tarea
cliente y seleccione una tarea de actualizacin existente o cree una nueva haciendo
clic en Nueva tarea.
Consola de VirusScan: seleccione una tarea de actualizacin existente (haga clic con
el botn secundario y seleccione Propiedades), o cree una tarea nueva (seleccione
Tarea | Nueva tarea de actualizacin y seleccione la nueva tarea en la lista).
SUGERENCIA: Se recomienda que, al crear una nueva tarea cliente, se le cambie el
nombre por uno ms descriptivo.
2 Especifique la ubicacin del archivo de registro y el formato.
3 Defina si se desea obtener actualizaciones de motores y archivos DAT y otras actualizaciones
disponibles, como Service Packs y actualizaciones de productos.
4 Especifique el archivo ejecutable que desea ejecutar despus de finalizar la tarea de
actualizacin y si quiere ejecutarlo slo despus de una actualizacin correcta.
5 Haga clic en Planificacin para configurar la hora y la frecuencia de ejecucin de la tarea.
Si desea ms informacin, consulte Uso de tareas programadas.
6 Haga clic en Actualizar ahora. La tarea se ejecuta de inmediato.
Tareas de duplicacin y su funcionamiento
Las tareas de duplicacin replican los archivos de actualizacin desde el primer repositorio
accesible de los definidos en la lista de repositorios hasta un sitio de duplicacin ubicado en su
red. El uso ms habitual de esta tarea es el de duplicar el contenido del sitio de descarga de
McAfee en un servidor local.
Una vez replicado el sitio de McAfee que contiene los archivos de actualizacin, los equipos de
la red ya pueden descargar los archivos del sitio de duplicacin. Este mtodo resulta prctico,
ya que permite actualizar cualquier equipo de la red, tenga o no acceso a Internet, y tambin
es eficaz, porque los sistemas se comunican con un servidor que probablemente se encuentra
ms cerca que un sitio de Internet de McAfee, con lo que los tiempos de acceso y descarga se
reducen.
El software VirusScan Enterprise depende de una estructura de directorios para actualizarse.
Al duplicar un sitio, es importante replicar toda la estructura de directorios.
NOTA: Esta estructura de directorios tambin admite versiones anteriores de VirusScan Enterprise
y NetShield, siempre y cuando se replique toda la estructura de directorios en la misma ubicacin
que utiliza VirusScan Enterprise 8.8 para la actualizacin.
Configuracin de la tarea de duplicacin
Para almacenar los archivos DAT y los motores de anlisis en una ubicacin designada donde
puedan ser utilizados por otros equipos, configure la ubicacin y la programacin mediante las
propiedades de la tarea de duplicacin.
Tarea
Para obtener la definicin de cada opcin, haga clic en ? o Ayuda en la ficha.
1 Para obtener acceso a las propiedades de la tarea Duplicacin utilice:
ePolicy Orchestrator 4.5 o 4.6: haga clic en Men | Sistemas | rbol de sistemas
y seleccione Tareas cliente.
NOTA: Si desea obtener informacin detallada sobre cmo crear una nueva tarea cliente,
consulte la Gua del producto de McAfee ePolicy Orchestrator 4.5.
ePolicy Orchestrator 4.0: haga clic en Sistemas | rbol de sistemas | Tarea
cliente y seleccione una tarea de actualizacin existente o cree una nueva haciendo
clic en Nueva tarea.
Con Consola de VirusScan, realice una de las siguientes acciones:
Seleccione una tarea de duplicacin existente, haga clic con el botn secundario y
seleccione Propiedades. Aparece el cuadro de dilogo Tarea de duplicacin.
Para crear una nueva tarea de duplicacin, seleccione Tarea | Nueva tarea de
duplicacin. En la lista de tareas aparece Nueva tarea de actualizacin. Haga clic
en la tarea nueva para abrir el cuadro de dilogo Tarea de duplicacin.
NOTA: Cambie el nombre de la tarea por uno ms descriptivo: haga clic con el botn
secundario en la tarea y seleccione Cambiar nombre.
2 Consola de VirusScan: seleccione una tarea de actualizacin existente (haga clic con el
botn secundario y seleccione Propiedades), o cree una tarea nueva (seleccione Tarea
| Nueva tarea de duplicacin y seleccione la nueva tarea en la lista).
SUGERENCIA: Se recomienda que, al crear una nueva tarea cliente, se le cambie el nombre
por uno ms descriptivo.
3 Permite especificar la ubicacin del archivo de registro y el formato.
4 Permite definir si se desea obtener nuevas definiciones de detecciones, actualizaciones de
motores y archivos DAT y otras actualizaciones disponibles, como Service Packs y
actualizaciones de productos.
5 Especifique el archivo ejecutable que desea ejecutar despus de finalizar la tarea de
actualizacin y si quiere ejecutarlo slo despus de una actualizacin correcta.
6 Haga clic en Ubicacin de duplicacin para configurar el destino del servidor de
duplicacin.
7 Haga clic en Planificacin para configurar la hora y la frecuencia de ejecucin de la tarea.
Si desea ms informacin, consulte Uso de tareas programadas.
8 Haga clic en Duplicar ahora para ejecutar la tarea de inmediato.
9 Configure las opciones de la ficha. Para obtener la definicin de cada opcin, haga clic en
? o Ayuda en la ficha.
Definiciones de ficha
Definiciones Ficha
Duplicacin Especifique la ubicacin del archivo de registro y el formato.
Especifique el archivo ejecutable que desea ejecutar despus de finalizar la tarea de
rplica y si quiere ejecutarlo slo despus de una rplica correcta.
Funcionamiento del repositorio de AutoUpdate
La lista de repositorios de AutoUpdate (SITELIST.XML) especifica la informacin de configuracin
necesaria para realizar una tarea AutoUpdate.
La lista de repositorios de AutoUpdate incluye:
Informacin y ubicacin del repositorio
Orden de preferencia de repositorios
Configuracin de proxy, cuando se precise
Credenciales cifradas necesarias para tener acceso a cada repositorio
Cuando se lleva a cabo una tarea de AutoUpdate se crea una conexin con el primer repositorio
(sitio de actualizacin) activado de la lista de repositorios. Si este repositorio no est disponible,
se entra en contacto con el siguiente y as sucesivamente hasta que se establece una conexin
o hasta que se llega al final de la lista.
Si la red utiliza un servidor proxy, se puede especificar qu configuracin de proxy se va a
utilizar, la direccin del servidor proxy y si se utilizar autenticacin. La informacin sobre el
proxy se almacena en la lista de repositorios de AutoUpdate. La configuracin del proxy
especificada es de aplicacin para todos los repositorios de la lista.
La ubicacin de la lista de repositorios de AutoUpdate depende del sistema operativo.
Para Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server
y Microsoft 2008 Server: C:\Documents and Settings\All Users\Application Data\McAfee\Common
Framework
Para Microsoft Windows 7: C:\ProgramData\McAfee\Common Framework
Configuracin de la lista de repositorios
La lista de repositorios incluye los repositorios desde los que se recuperan las actualizaciones.
Se pueden crear y configurar tantos repositorios como se necesiten. Algunos sitios se pueden
utilizar siempre y otros slo en ocasiones.
Tarea
1 En Consola de VirusScan, seleccione Herramientas | Editar lista de repositorios de
AutoUpdate para obtener acceso a las propiedades de Lista de repositorios de
AutoUpdate.
NOTA: Para configurar la funcin de repositorios mediante la consola de ePolicy Orchestrator,
desplcese a la pantalla Catlogo de directivas | McAfee Agent y haga clic en la ficha
Repositorios.
2 Configure las opciones de las fichas.
Definiciones Ficha
Repositorios Especifique los repositorios desde donde obtiene las actualizaciones.
Configure el orden de acceso a los repositorios.
Especifique la configuracin de proxy que se usar al actualizar. Configuracin de proxy
Funcionamiento de la reversin de archivos DAT
Si los archivos DAT actuales estn daados o son incompatibles, puede revertirlos a la ltima
versin de la que se haya hecho una copia de seguridad.
Al actualizar los archivos DAT, la versin anterior se almacena en la siguiente ubicacin:
<unidad>:\Archivos de programa\Archivos comunes\McAfee\Engine\OldDats.
Cuando se revierten los archivos DAT, los archivos DAT actuales se sustituyen por la versin
de la carpeta OldDats y se configura un indicador en el Registro en esta ubicacin:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\szRolledbackDATS.
Una vez realizada la reversin, no es posible recuperar la versin anterior. La prxima vez que
se realice una actualizacin, la versin de DAT en el Registro se comparar con los archivos
DAT en el repositorio de actualizacin. En el caso de que los archivos DAT nuevos sean iguales
que los del Registro, la actualizacin no se producir.
Reversin de archivos DAT
Para recuperar la versin anterior de sus archivos DAT utilice la herramienta Restaurar archivos
DAT.
Tarea
1 En Consola de VirusScan, seleccione Herramientas | Restaurar archivos DAT.
2 Haga clic en S para proceder a la reversin de los archivos DAT.
NOTA: Esta funcin no est disponible desde la consola de ePolicy Orchestrator.
3 Configure las opciones de la ficha.
Cada uno de los analizadores de VirusScan Enterprise le permite perfeccionar la lista de tipos
de archivos analizados. Por ejemplo, puede excluir de los anlisis archivos, carpetas y discos
de forma individual. Estas exclusiones pueden resultar necesarias ya que los analizadores podran
analizar y bloquear un archivo cuando est siendo utilizado por una base de datos o un servidor.
En tal caso, la base de datos o el servidor podran fallar o generar errores.
Contenido
Especificacin de exclusiones
Utilizacin de comodines para especificar elementos de anlisis
Especificacin de exclusiones
Especifique archivos, carpetas y unidades que desee excluir de las operaciones de anlisis.
Tambin puede eliminar las exclusiones que haya especificado con anterioridad.
Definicin Opcin
Seleccione el tipo de exclusin. Elementos para excluir
Excluir por nombre/ubicacin de archivo: especifique el nombre y la ubicacin
del archivo, y si desea excluir las subcarpetas.
NOTA: Debe agregar una barra invertida (\) al final de la cadena para que se
considere una carpeta. De lo contrario, ser tomado como una exclusin de archivo
y la casilla de verificacin Excluir tambin subcarpetas quedar desactivada de
forma predeterminada.
Excluir segn el tipo de archivo: especifique uno o varios tipos de archivos.
Excluir segn la antigedad del archivo: especifique el tipo de acceso y la
antigedad mnima en das.
Seleccione cundo desea excluir el elemento seleccionado: Momento de la exclusin
Al leer
Al escribir
Sobrescribir las exclusiones del cliente: excluya slo los elementos especificados
en esta directiva. Si esta opcin no est seleccionada, el equipo cliente utilizar las
exclusiones que se definieron localmente y las exclusiones definidas en esta directiva.
NOTA: Esta opcin se encuentra disponible nicamente a travs de ePolicy Orchestrator.
Gestin de las
exclusiones del cliente
Utilizacin de comodines para especificar elementos de anlisis
Los comodines se pueden utilizar para excluir tipos de archivos por extensin.
El uso de los comodines est sujeto a las siguientes limitaciones.
Los comodines vlidos son el signo de interrogacin (?) para excluir un solo carcter y el
asterisco (*) para excluir varios caracteres.
Los comodines pueden aparecer delante de una barra invertida (\) en una ruta. Por ejemplo:
C:\ABC\*\XYZ coincide con C:\ABC\DEF\XYZ.
Una exclusin que contiene signos de interrogacin (?) se aplica si el nmero de caracteres
coincide con la longitud del archivo o el nombre de carpeta. Por ejemplo: La exclusin W??
excluye WWW, pero no excluye WW o WWWW.
La sintaxis se ampla para incluir un doble asterisco (**), lo que significa cero o ms
caracteres, incluso la barra invertida. Esto permite exclusiones a varios niveles. Por ejemplo:
C:\ABC\**\XYZ coincide con C:\ABC\DEF\XYZ y C:\ABC\DEF\DEF\XYZ, etc.
Cuando se configuran tareas de anlisis bajo demanda, de AutoUpdate o de duplicacin, es
necesario especificar la hora, la frecuencia y la duracin de esas tareas. Asimismo, durante el
proceso de configuracin se deben establecer los permisos de usuario.
Contenido
Programacin de tareas
Configuracin de la planificacin de tareas
Programacin de tareas
Tiene la opcin de planificar tareas bajo demanda, de AutoUpdate y de duplicacin para
ejecutarlas en determinadas fechas y horas, o a determinados intervalos. El mtodo de
planificacin de tareas depende de la consola de interfaz de usuario utilizada.
Para planificar estas tareas:
Consola de ePolicy Orchestrator: utilice la ficha Planificacin para mostrar la pgina
Planificacin.
Consola de VirusScan: utilice el botn Planificar para mostrar el cuadro de dilogo
Planificacin.
Configuracin de la planificacin de tareas
Para configurar que una tarea se ejecute a una determinada hora o intervalo, utilice el cuadro
de dilogo Configuracin de la planificacin.
Antes de comenzar
Para programar la tarea, debe disponer de derechos de administrador. Los derechos de
administrador proporcionan al usuario acceso de escritura sobre la clave del Registro de la tarea
programada.
Para programar una tarea, haga clic en Planificar en el cuadro de dilogo de propiedades de
la tarea.
ATENCIN: McAfee recomienda que los anlisis bajo demanda se planifiquen siguiendo unos
intervalos mnimos.
Intervalos mnimos recomendados por McAfee:
Cada da: slo si ha sufrido un brote de malware importante.
Semanal: recomendado.
Mensual: aceptable.
Trimestral: mnimo indispensable.
Definiciones Ficha
Tarea Active la tarea planificada para que se ejecute a horas determinadas.
Detenga la tarea si se ejecuta durante las horas y los minutos especificados.
Indique la configuracin de la cuenta de usuario: nombre de usuario, dominio y
contrasea.
Indique la frecuencia de planificacin y la configuracin asociada. Planificar
Parte II Deteccin: descubrir las amenazas
Descubrir las amenazas es el segundo paso en una estrategia de proteccin y su finalidad es
la de detectar el malware que intenta acceder al sistema.
Contenido
Anlisis de elementos en tiempo real
Anlisis de elementos bajo demanda
Anlisis de correo electrnico bajo demanda y durante la recepcin
El analizador en tiempo real examina los archivos del equipo a medida que se obtiene acceso
a ellos a fin de proporcionar una deteccin continua y en tiempo real de las amenazas. Las
funciones Proteccin de acceso y Proteccin contra desbordamientos de bfer tambin utilizan
el analizador en tiempo real para detectar infracciones de acceso y desbordamientos de bfer
respectivamente.
Contenido
Anlisis en tiempo real y su funcionamiento
Comparacin de anlisis: escribir en disco frente a leer en el disco
Comparacin de anlisis: analizar todos los archivos frente a analizar tipos de archivos
predeterminados y adicionales
Anlisis de secuencias de comandos y su funcionamiento
Determinacin del nmero de directivas de anlisis
Funcionamiento de Artemis
Configuracin de la configuracin general y de proceso
Anlisis en tiempo real y su funcionamiento
El analizador en tiempo real se conecta al sistema en los niveles inferiores (Archivo-Controlador
de filtro del sistema) y analiza los archivos en la ubicacin por donde entran al sistema por
primera vez. El analizador en tiempo real acta como parte del sistema (Servicio del sistema)
y enva notificaciones a travs de la interfaz cuando se producen detecciones.
Cuando se produce un intento de abrir, cerrar o cambiar el nombre de un archivo, el analizador
intercepta la operacin y lleva a cabo las siguientes acciones.
1 El analizador determina si el archivo debe analizarse segn estos criterios:
La extensin del archivo coincide con la configuracin.
El archivo no se ha guardado en cach.
El archivo no se ha excluido.
El archivo no se ha analizado previamente.
2 Si cumple los criterios de anlisis, el archivo se analiza comparando su informacin con las
firmas de malware conocido que se encuentran en ese momento en los archivos DAT.
Si el archivo est limpio, el resultado se guarda en cach y se garantizan las operaciones
de lectura, escritura o cambio de nombre.
Si el archivo contiene una amenaza, se deniega la operacin y se lleva a cabo la accin
configurada. Por ejemplo:
Los archivos DAT cargados actualmente determinan si es necesario limpiar el archivo.
Si el analizador se ha configurado para ello, los resultados se anotan en el registro
de actividades.
Si el analizador se ha configurado para ello, aparece la alerta Mensajes del anlisis
en tiempo real con el nombre del archivo y la accin llevada a cabo.
3 Si el archivo no cumple los requisitos de anlisis, no se analiza. Se guarda en cach y se
garantiza la operacin.
NOTA: La cach de archivos de anlisis se renueva y se vuelven a analizar todos los archivos
siempre que, por ejemplo, se modifique la configuracin del anlisis en tiempo real, se
agregue un archivo EXTRA.DAT o cuando la cach est llena.
Comparacin de anlisis: escribir en disco frente a leer en el
disco
El analizador en tiempo real funciona de manera distinta dependiendo de si el usuario escribe
o lee en el disco.
Cuando se escriben archivos en el disco, el analizador en tiempo real analiza estos elementos:
Archivos entrantes que se escriben en la unidad de disco duro local.
Archivos que se estn creando en la unidad de disco duro local o en una unidad de red
asignada (incluye archivos nuevos, modificados o que estn siendo copiados o trasladados
de una unidad a otra).
NOTA: Para poder analizar unidades de red asignadas, debe activar la opcin En unidades
de red. Consulte Activacin de unidades de red.
nicamente el cliente donde est instalado VirusScan Enterprise puede obtener acceso a
estos anlisis. No detecta el acceso a la unidad de red asignada por otros sistemas.
Cuando se leen archivos del disco, el analizador en tiempo real analiza estos elementos:
Archivos salientes que se leen desde la unidad de disco duro local o desde unidades de red
asignadas.
NOTA: Para poder analizar unidades de red asignadas, seleccione la opcin En unidades
de red (descrita en los puntos anteriores) para incluir archivos de red remotos.
Cualquier archivo que intente ejecutar un proceso en la unidad de disco duro local.
Cualquier archivo abierto en el disco duro local.
Cualquier archivo que se cambie de nombre en el disco duro local, si las propiedades del
archivo cambian.
Comparacin de anlisis: analizar todos los archivos frente a
analizar tipos de archivos predeterminados y adicionales
El analizador en tiempo real trata los archivos de manera distinta dependiendo de si est
configurado para analizar todos los archivos o tipos de archivo predeterminados adems de
tipos de archivo adicionales.
Al analizar Todos los archivos, el analizador examina todos los tipos de archivo en busca de
posibles amenazas.
Al analizar Tipos de archivos predeterminados y adicionales, el analizador examina una
lista especfica de archivos, basndose en los tipos de archivo seleccionados.
Tipos de archivos predeterminados: el analizador en tiempo real examina nicamente
el tipo de archivo especificado en busca de amenazas que ataquen a ese tipo de archivo.
Tipos de archivos adicionales: el analizador en tiempo real examina los archivos con la
misma extensin en busca de posibles amenazas.
Tipos de archivos especificados: el analizador en tiempo real examina la lista de
extensiones de archivo definida por el usuario en busca de posibles amenazas.
Anlisis de secuencias de comandos y su funcionamiento
El analizador de secuencias de comandos funciona como un componente de proxy del
componente real de Windows Scripting Host. Intercepta secuencias de comandos y, a
continuacin, las analiza antes de ejecutarlas.
Por ejemplo, el analizador de secuencias de comandos confirma:
Si la secuencia de comandos est limpia, se pasa al componente Scripting Host real.
Si la secuencia de comandos contiene una posible amenaza, no se ejecuta.
Los procesos y los sitios Web de confianza que utilicen secuencias de comandos se pueden
excluir de la inspeccin.
NOTA: En sistemas Windows Server 2008, las exclusiones de URL de Script Scan no funcionan
con Windows Internet Explorer a menos que haga clic en la casilla de verificacin Enable
third-party browser extensions (Activar extensiones de navegador de terceros) para activar
la opcin y reiniciar Windows Server 2008. Si desea obtener ms detalles, consulte
https://kc.mcafee.com/corporate/index?page=content&id=KB69526.
Funcionamiento de Artemis
La funcin Artemis utiliza heurstica para buscar archivos sospechosos. Proporciona las
detecciones en tiempo real ms actualizadas para determinado malware a los clientes que usan
productos antivirus McAfee basados en Windows.
Artemis no ofrece proteccin contra todos los tipos de malware; nicamente para muestras
sospechosas. La ventaja de la proteccin contra amenazas especficas es nuestra capacidad de
proteger a los usuarios con la seguridad de McAfee prcticamente al mismo tiempo que McAfee
Labs determina que una muestra es malintencionada.
Si lo desea, puede configurar los niveles de sensibilidad definidos por el administrador que
Artemis utiliza para buscar programas y DLL sospechosos que se ejecutan en sistemas cliente
protegidos por VirusScan Enterprise. Cuando Artemis detecta un programa sospechoso, enva
una solicitud de DNS que contiene una huella digital del archivo sospechoso a un servidor de
base de datos central alojado por McAfee Labs.
NOTA: En esta versin, la funcin Artemis est activada de forma predeterminada y con el
nivel de sensibilidad establecido en muy bajo.
Determinacin del nmero de directivas de anlisis
Siga este proceso para determinar si necesita configurar ms de una directiva de anlisis en
tiempo real.
Configuracin de la configuracin general y de proceso
Las directivas generales y de proceso del analizador en tiempo real se configuran de forma
independiente.
Configuracin general: incluye opciones que se aplican a todos los procesos.
Configuracin de proceso: le permite configurar una directiva de anlisis para todos los
procesos o distintas directivas para los procesos que defina como predeterminados, de bajo
y de alto riesgo.
Configuracin general
La configuracin general se aplica al anlisis de todos los procesos e incluye parmetros como,
por ejemplo, tiempo mximo de anlisis, anlisis de secuencias de comandos, bloqueo de
amenazas no deseadas desde un equipo remoto, envo de mensajes cuando se detecten
amenazas e informe de detecciones.
Establezca la configuracin general en tiempo real mediante una de las siguientes consolas de
Utilice esta consola de interfaz de usuario para establecer la configuracin general que se
aplicar al anlisis de todos los procesos.
Tarea
directiva.
4 En la pgina Directivas generales en tiempo real, haga clic en la ficha General para
configurar la directiva general que se aplicar a todos los anlisis en tiempo real. Por
ejemplo, qu elementos se deben analizar en tiempo real y cundo, el tiempo mximo de
anlisis y si se deben analizar las cookies.
Siempre que el anlisis en tiempo real est activado, se podr configurar el anlisis de
todos los procesos que se estn ejecutando en el sistema. De este modo se mejora la
seguridad del sistema, aunque es posible que afecte al rendimiento del tiempo de arranque.
Para configurar la funcin de anlisis de procesos activados, vaya al grupo de anlisis y
haga clic en Procesos activados para analizar todos los procesos que se encuentren
ejecutndose en ese momento en el sistema. Para ello, el anlisis en tiempo real debe
estar activado.
NOTA: La activacin de esta funcin puede afectar al tiempo que tarda el sistema en
arrancar.
5 En la ficha ScriptScan, active ScriptScan y configure los procesos o URL que desee excluir
del anlisis.
6 En la ficha Bloqueo, configure el bloqueo de conexiones desde equipos remotos que
escriben archivos con amenazas potenciales o programas no deseados.
NOTA: De forma predeterminada, cuando un sistema remoto escribe malware en un sistema
que dispone de VirusScan Enterprise, VirusScan Enterprise bloquea la conexin a ese
sistema remoto.
Tambin puede configurar un mensaje para que se enve al sistema que ha escrito el
malware.
NOTA: Para poder enviar este mensaje se requiere el servicio Windows Messenger.
7 En la ficha Mensajes, configure mensajes de notificacin que se enviarn a los usuarios
locales cuando se produzca una deteccin. Especifique tambin qu medidas puede tomar
el usuario contra la amenaza.
8 En la ficha Informes, active los archivos de registro de actividades de anlisis. Defina el
tamao y el formato de esos archivos, dnde se deben almacenar y cualquier otra
informacin de anlisis adicional que contribuya a diagnosticar la amenaza.
Tarea
directivas.
estar activado.
arrancar.
5 En la ficha ScriptScan, active ScriptScan y configure los procesos o URL que desee excluir
del anlisis.
sistema remoto.
malware.
Tarea
1 En la lista Tarea, haga clic con el botn secundario en Analizador en tiempo real y, a
estar activado.
arrancar.
3 En la ficha ScriptScan, active ScriptScan y configure todas las secuencias de comandos
que desee excluir del anlisis.
sistema remoto.
malware.
Configuracin de procesos
Los procesos de anlisis en tiempo real se configuran en funcin del riesgo que asigna a cada
proceso. Puede configurar una directiva de anlisis predeterminada para todos los procesos o
configurar diferentes directivas en funcin del riesgo asignado a cada proceso. Los parmetros
incluyen la asignacin de riesgos a los procesos, la definicin de los elementos que se van a
analizar, el anlisis de Artemis, el anlisis de archivos comprimidos, la toma de acciones en
cuanto a detecciones y el anlisis de programas potencialmente no deseados.
Establezca la configuracin de procesos en tiempo real mediante una de las siguientes consolas
de interfaz de usuario.
Configure las Directivas de procesos predeterminados en tiempo real con esta consola de interfaz
de usuario.
Tarea
directiva.
4 En la ficha Procesos, haga clic en Configurar diferentes directivas de anlisis para
los procesos de alto riesgo, de bajo riesgo y predeterminados para mostrar los
procesos predeterminados en tiempo real, los procesos de bajo riesgo en tiempo real o los
procesos de alto riesgo en tiempo real.
5 En la pgina Directivas de procesos predeterminados en tiempo real, Directivas de procesos
de bajo riesgo en tiempo real o Directivas de procesos de alto riesgo en tiempo real,
configure las opciones de cada ficha. Consulte Opciones de la ficha Configuracin de
procesos.
Configure las Directivas de procesos predeterminados en tiempo real con esta consola de interfaz
de usuario.
Tarea
directivas.
procesos.
Configure las Propiedades del anlisis en tiempo real con esta consola de interfaz de usuario.
Tarea
2 En el panel izquierdo, haga clic en Todos los procesos.
procesos.
Opciones de la ficha Configuracin de procesos
En la tabla siguiente se describen las opciones de la ficha del analizador en tiempo real.
Definiciones Ficha
Procesos Procesos predeterminados en tiempo real: elija si desea configurar una
directiva de anlisis para todos los procesos o distintas directivas para los procesos
predeterminados de bajo y de alto riesgo.
NOTA: Si elige configurar una directiva de anlisis, esta poltica se aplicar a todos
los procesos. Si elige configurar directivas de anlisis diferentes para las directivas
de bajo riesgo y alto riesgo, esta poltica se aplicar nicamente a los procesos
que no se hubieran definido como de bajo riesgo o de alto riesgo.
Procesos de bajo riesgo en tiempo real: especifique los procesos que ha
definido como de bajo riesgo.
Definiciones Ficha
Procesos de alto riesgo en tiempo real: especifique los procesos que ha
definido como de alto riesgo.
NOTA: Se debe seleccionar la opcin Configurar diferentes directivas de anlisis
para los procesos de alto riesgo, de bajo riesgo y predeterminados en la ficha
Procesos predeterminados en tiempo real antes de configurar directivas
individuales para procesos de bajo y alto riesgo.
Elementos de anlisis Configure si se analizan los archivos de las unidades de lectura, de escritura o de
red y si se abren para realizar copias de seguridad.
ATENCIN: Si no se activa Al escribir en disco y Cuando se lee del disco, el
sistema quedar desprotegido ante los diversos ataques de malware.
Configure qu archivos y tipos de archivos se van a analizar.
ATENCIN: Si no se activa Todos los archivos, el sistema quedar desprotegido
ante los diversos ataques de malware.
Analice posibles amenazas que parecen programas no deseados, troyanos y virus
de macro.
Analice dentro de los archivos y descodifique archivos MIME codificados.
Active el anlisis en tiempo real para programas no deseados.
Configure qu discos, archivos y carpetas se van a excluir del anlisis. Exclusiones
Para las detecciones de amenazas: Acciones
Accin principal que debe llevarse a cabo cuando se detecta una amenaza.
Accin secundaria que debe llevarse a cabo en la deteccin de una amenaza si
la primera fracasa.
Para las detecciones de programas no deseados:
Accin principal que debe llevarse a cabo cuando se detecta un programa no
deseado.
Accin secundaria que debe llevarse a cabo en la deteccin de un programa no
deseado si la primera fracasa.
Activacin en unidades de red
Para poder analizar unidades de red asignadas, debe activar la opcin En unidades de red.
Configure el anlisis en tiempo real de unidades de red desde las Directivas de procesos
predeterminados en tiempo real. Utilice para ello una de las siguientes consolas de interfaz de
usuario.
Active las unidades de red desde las Directivas de procesos predeterminados en tiempo real.
Utilice para ello esta consola de interfaz de usuario.
Tarea
directiva.
4 En la pgina Directivas de procesos predeterminados en tiempo real, haga clic en
la ficha Elementos de anlisis y En unidades de red junto a Analizar archivos.
5 Haga clic en Guardar.
Active las unidades de red con esta consola de interfaz de usuario.
Tarea
directivas.
4 En la pgina Directivas de procesos predeterminados en tiempo real, haga clic en
la ficha Elementos de anlisis y En unidades de red junto a Analizar archivos.
Active las unidades de red con esta consola de interfaz de usuario.
Tarea
continuacin, haga clic en Propiedades para abrir el cuadro de dilogo Propiedades del
analizador en tiempo real.
2 Haga clic en la ficha Elementos de anlisis y en En unidades de red junto a Analizar
archivos.
El analizador bajo demanda examina todas las partes del equipo en busca de amenazas
potenciales, a las horas ms convenientes o a intervalos peridicos. Utilice los anlisis bajo
demanda para complementar la proteccin continuada que ofrece el analizador en tiempo real
o para planificar anlisis peridicos cuando no interfieran con el trabajo.
Contenido
Anlisis bajo demanda y su funcionamiento
Mtodos de anlisis bajo demanda y su definicin
Funcionamiento del anlisis de almacenamiento remoto
Funcionamiento del aplazamiento de anlisis
Funcionamiento de la utilizacin del sistema
Configuracin de tareas de anlisis bajo demanda
Configuracin de cach global para sistemas
Anlisis bajo demanda y su funcionamiento
El analizador bajo demanda explora en el sistema los archivos, las carpetas, la memoria, el
registro y otros elementos en busca de malware que pueda haber infectado el sistema. Usted
decide cundo y cmo se realizan los anlisis bajo demanda. Puede analizar el sistema
manualmente, a una hora programada o, por ejemplo, cuando el sistema arranca.
Cuando se produce un intento de abrir, cerrar o cambiar el nombre de un archivo, el analizador
intercepta la operacin y lleva a cabo las siguientes acciones.
1 El analizador determina si el archivo, la carpeta o el disco deben analizarse segn estos
criterios:
La extensin del archivo coincide con la configuracin.
El archivo no se ha guardado en cach.
El archivo no se ha excluido.
El archivo no se ha analizado previamente.
NOTA: Si se ha configurado Artemis, el analizador bajo demanda utiliza heurstica para
buscar los archivos sospechosos. Si desea obtener ms detalles, consulte Funcionamiento
de Artemis.
2 Si cumple los criterios de anlisis, el archivo (o la carpeta o el disco) se analiza comparando
su informacin con las firmas de virus conocidos que estn cargados en los archivos DAT.
Si est limpio, el resultado se almacena en la cach y se comprueba el siguiente
elemento.
Si contiene una amenaza, se inicia la accin que se haya configurado. Por ejemplo:
Los archivos DAT cargados actualmente determinan si es necesario limpiar el archivo.
Si el analizador se ha configurado para ello, los resultados se anotan en el registro
de actividades.
El dilogo Progreso de anlisis bajo demanda describe la memoria, el archivo,
la carpeta o el nombre del disco y la accin llevada a cabo.
3 La memoria, el archivo, la carpeta o el disco no se analizan si no cumplen con los requisitos
de anlisis. En ese caso, el analizador contina hasta que acabe de analizar todos los datos.
Mtodos de anlisis bajo demanda y su definicin
El analizador bajo demanda utiliza anlisis de proceso en memoria, as como anlisis incremental
o reanudable.
Anlisis de procesos en memoria
Este mtodo examina todos los procesos activos antes de ejecutar la tarea de anlisis bajo
demanda. Se destaca un proceso potencialmente no deseado detectado y el proceso se detiene.
Esto significa que slo hace falta pasar una vez el analizador bajo demanda para quitar todos
los casos de un programa potencialmente no deseado.
Anlisis incremental o reanudable
Este mtodo permite limitar cundo se produce el anlisis bajo demanda y analiza todo el
sistema en varias sesiones. El anlisis incremental se puede configurar agregando un lmite de
tiempo al anlisis programado. El anlisis se detiene cuando se alcanza el lmite de tiempo. La
prxima vez que se inicia esta tarea, contina el anlisis desde el lugar de la estructura del
archivo y carpeta en que se detuvo el anlisis previo.
Funcionamiento del anlisis de almacenamiento remoto
El almacenamiento remoto de datos es jerrquico, con dos niveles definidos.
Los dos niveles de almacenamiento son:
Nivel superior, almacenamiento local: incluye los volmenes de disco NTFS del equipo
en el que se ejecuta Almacenamiento remoto en Windows 2000 Server.
Nivel inferior, almacenamiento remoto: est situado en la biblioteca de cinta robtica
o en una unidad de cinta independiente conectada al equipo servidor.
El almacenamiento remoto copia automticamente los archivos correspondientes de los
volmenes locales a una biblioteca en cinta y, a continuacin, supervisa el espacio disponible
en los volmenes locales. Los datos de los archivos se guardan en la cach local, de forma que
se puede acceder a ellos rpidamente, si es necesario. Siempre que sea necesario, el
almacenamiento remoto cambia los datos desde el almacenamiento remoto al almacenamiento
local. Cuando necesite tener acceso a un archivo en un volumen gestionado por almacenamiento
remoto, abra el archivo como de costumbre. Si los datos para el archivo no estn en cach en
el volumen local, el almacenamiento remoto recupera los datos desde una biblioteca en cinta.
Funcionamiento del aplazamiento de anlisis
Para mejorar el rendimiento, puede aplazar tareas de anlisis bajo demanda cuando haya poca
batera o durante presentaciones que ocupen toda la pantalla. Tambin puede permitir a los
usuarios que aplacen los anlisis programados en incrementos de una hora. Los incrementos
pueden ser de una hora o 24 horas. Asimismo, es posible aplazar el anlisis bajo demanda para
siempre.
El aplazamiento de cada usuario puede durar una hora. Por ejemplo, si la opcin Aplazar como
mximo est ajustada a 2, el usuario puede aplazar la tarea de anlisis dos veces o dos horas.
Cuando se supera el nmero de horas mximo especificado, el anlisis contina. Si el
administrador permite aplazamientos ilimitados ajustando la opcin a cero, el usuario puede
seguir aplazando el anlisis para siempre.
Funcionamiento de la utilizacin del sistema
El analizador bajo demanda utiliza la configuracin de Windows Set Priority para el proceso de
anlisis y la prioridad de los subprocesos. Esto permite al sistema operativo establecer la cantidad
de tiempo de CPU que el analizador bajo demanda recibe en todo el proceso de anlisis. La
configuracin de utilizacin del sistema en las Propiedades del anlisis bajo demanda se asigna
al control de Windows Set Priority.
Si el valor para la utilizacin del sistema se establece en bajo, se mejora el rendimiento del
resto de aplicaciones que estn en ejecucin. El valor bajo resulta til en sistemas en los que
el usuario final est trabajando. Sin embargo, si se establece el valor de utilizacin del sistema
en normal, el anlisis se completa ms rpidamente. La configuracin normal es til en sistemas
que tienen grandes volmenes y poca actividad por parte del usuario final.
La tabla siguiente muestra la configuracin de procesos predeterminada de VirusScan Enterprise
y ePolicy Orchestrator.
Configuracin de Windows Set Priority Configuracin de procesos de VirusScan Enterprise
Bajo Bajo
Por debajo de lo normal Por debajo de lo normal: el predeterminado en ePolicy
Orchestrator
Normal Normal: el predeterminado en VirusScan Enterprise 8.8
La configuracin de tareas bajo demanda depende de la consola de interfaz de usuario que se
utilice. Estas tareas describen ese proceso en cada consola de interfaz de usuario.
Tareas
Configure las tareas de anlisis bajo demanda con esta consola de interfaz de usuario.
Tarea
1 Haga clic en Men | Sistemas | rbol de sistemas y seleccione Tarea cliente.
2 En la pgina Tarea cliente que aparece:
Para editar una tarea de anlisis bajo demanda existente, haga clic en Editar
configuracin en la columna Acciones de la tarea para abrir la pgina de descripcin.
Para crear una tarea bajo demanda nueva, haga clic en Acciones | Nueva tarea para
abrir la pgina de descripcin.
3 En la pgina Descripciones:
Si va a editar una tarea de anlisis bajo demanda ya existente, compruebe las
descripciones y haga clic en Siguiente.
Si va a crear una tarea de anlisis bajo demanda nueva, configure las siguientes opciones
y haga clic en Siguiente:
Nombre y Notas.
Tipo seleccionando en la lista Anlisis bajo demanda (VirusScan Enterprise
8.8).
Etiquetas que determinan qu equipos reciben la tarea de anlisis bajo demanda.
4 En la pgina de configuracin del Generador de tareas cliente que aparece, configure cada
una de las etiquetas. Si desea obtener ms detalles, consulte Configuracin de tareas de
anlisis bajo demanda.
Tarea
1 Haga clic en Sistemas | rbol de sistemas | Tarea cliente.
2 En la pgina Tarea cliente que aparece:
Para editar una tarea de anlisis bajo demanda existente, haga clic en Editar en la
columna Acciones de la tarea para que se abra la pgina de descripcin.
Para crear una tarea de anlisis bajo demanda nueva, haga clic en Acciones | Nueva
tarea para abrir la pgina de descripcin.
3 Realice una de las siguientes acciones:
Si va a editar una tarea de anlisis bajo demanda ya existente, compruebe las
descripciones y haga clic en Siguiente.
Si va a crear una tarea de anlisis bajo demanda nueva, configure las siguientes opciones
y haga clic en Siguiente:
Nombre y Notas.
Tipo seleccionando en la lista Anlisis bajo demanda (VirusScan Enterprise
8.8).
Etiquetas que determinan qu equipos reciben la tarea de anlisis bajo demanda.
4 En la pgina de configuracin del Generador de tareas cliente que aparece, configure cada
una de las etiquetas. Si desea obtener ms detalles, consulte Configuracin de tareas de
anlisis bajo demanda.
Tarea
1 Abra la pgina Propiedades del anlisis bajo demanda para una tarea nueva o una ya
existente:
Seleccione y haga clic con el botn secundario en la tarea de anlisis bajo demanda y
seleccione Propiedades.
Cree una tarea nueva, seleccione Tarea | Nueva tarea de anlisis bajo demanda,
haga clic con el botn secundario en la tarea nueva y seleccione Propiedades.
2 Configure todas las fichas del cuadro de dilogo Propiedades del anlisis bajo demanda.
Si desea obtener ms detalles, consulte la seccin Configuracin de tareas de anlisis bajo
demanda.
VirusScan Enterprise incluye una tarea predeterminada de anlisis bajo demanda. Puede utilizar
esta tarea predeterminada y crear nuevas tareas.
Configure las opciones de cada ficha. Para obtener la descripcin de cada opcin, haga clic en
? o Ayuda en cada ficha.
Definiciones de fichas
Definiciones Ficha
Ubicaciones de anlisis Especifique qu ubicaciones y elementos se van a analizar.
Incluya procesos en ejecucin.
Incluya subcarpetas al analizar.
Incluya sectores de arranque al analizar.
Incluya claves y valores del Registro al analizar.
Incluya archivos de cookies al analizar.
ATENCIN: Si Memoria para rootkits y Procesos en ejecucin no se analizan
correctamente, el sistema queda desprotegido ante los numerosos ataques de malware.
NOTA: Cuando aparece el dilogo Progreso del anlisis bajo demanda, las
ubicaciones a analizar aparecen en forma de cadena separadas por comas y seguida
Definiciones Ficha
de Analizando. En cuanto los procesos de anlisis se completan, son eliminadas de la
cadena.
Elementos de anlisis Configure qu archivos y tipos de archivos se van a analizar.
Active el anlisis bajo demanda para programas no deseados.
Analice dentro de los archivos y descodifique archivos MIME codificados.
Analice archivos migrados al almacenamiento.
Analice posibles amenazas que parecen programas no deseados, troyanos y virus
de macro.
Configure qu discos, archivos y carpetas no van a incluirse en el anlisis por Nombre,
Ubicacin, Tipo de archivo o Antigedad del archivo.
Exclusiones
Rendimiento Configure cundo aplazar los anlisis y durante cunto tiempo.
Especifique el porcentaje de utilizacin del sistema.
Configure el nivel de sensibilidad de Artemis.
Accin secundaria que debe llevarse a cabo en la deteccin de una amenaza si la
primera fracasa.
deseado.
Accin secundaria que debe llevarse a cabo en la deteccin de un programa no
deseado si la primera fracasa.
Para acciones permitidas en el cuadro de dilogo de consulta, seleccione la accin.
Informes Active el registro de actividades.
Especifique el nombre y la ubicacin del archivo de registro.
Especifique el lmite de tamao del archivo de registro.
Seleccione el formato del archivo de registro.
Especifique qu debe registrarse adems de la actividad de anlisis.
Especifique qu elementos se registran adems de la actividad de anlisis:
Active la configuracin de sesiones
Active el resumen de sesiones
Active los errores de anlisis de archivos cifrados
Active las alertas al detectar cookies.
Especificar dnde se ejecuta el anlisis bajo demanda.
NOTA: Esta ficha se encuentra disponible nicamente a travs de ePolicy Orchestrator.
Tarea
Configuracin de cach global para sistemas
La cach de anlisis de VirusScan Enterprise guarda una lista de los archivos analizados que
estn limpios. El rendimiento del sistema se puede mejorar si durante el reinicio del sistema
guarda esta informacin referente a la cach de anlisis de archivos limpios. Esto permite que
el analizador bajo demanda use esta informacin para reducir los anlisis duplicados.
Utilice las siguientes consolas de interfaz de usuario para configurar las funciones de cach de
anlisis mediante las Directivas de opciones generales y la ficha Configuracin de anlisis global.
Tareas
Configure la funcin de cach de anlisis desde las Directivas de opciones generales. Utilice
para ello esta consola de interfaz de usuario.
Tarea
directivas.
4 En Directivas de opciones generales, haga clic en la ficha Configuracin de anlisis
global para configurar las opciones de cach de anlisis de VirusScan Enterprise.
5 Configure las siguientes opciones globales para la cach de anlisis:
Haga clic en Activar almacenamiento de datos de anlisis al reiniciar: esto le
permite guardar los resultados del anlisis cuando el sistema se est reiniciando.
Haga clic en Permitir que los anlisis bajo demanda utilicen la cach de anlisis:
esto permite que el analizador bajo demanda utilice los resultados de anlisis para as
evitar anlisis duplicados.
Configure la funcin de cach de anlisis desde las Directivas de opciones generales. Utilice
para ello esta consola de interfaz de usuario.
Tarea
directivas.
4 En Directivas de opciones generales, haga clic en la ficha Configuracin de anlisis
global para configurar las opciones de cach de anlisis de VirusScan Enterprise.
Configure la funcin de cach de anlisis con esta consola de interfaz de usuario.
Tarea
1 Haga clic en Herramientas | Opciones generales y en la ficha Configuracin de
anlisis global para mostrar el cuadro de dilogo Configuracin de anlisis global.
Anlisis de correo electrnico bajo demanda y
durante la recepcin
El analizador de correo electrnico examina automticamente los mensajes y adjuntos de correo
electrnico.
El correo electrnico se analiza mediante:
Microsoft Outlook: el correo electrnico se puede analizar durante la recepcin o se pueden
ejecutar anlisis de correo electrnico bajo demanda directamente desde Microsoft Outlook.
NOTA: Si configura las funciones Heurstica y Artemis, el analizador de correo electrnico
durante la recepcin o bajo demanda utilizar heurstica para buscar archivos sospechosos.
Si desea obtener ms informacin, consulte Funcionamiento de Artemis.
Lotus Notes: le permite configurar:
Si el correo electrnico se analiza cuando se accede a l.
Si el correo electrnico se analiza bajo demanda desde Lotus Notes al ser invocado.
Qu bases de datos de Notes se excluirn.
Configure las Directivas del anlisis del correo electrnico durante la recepcin mediante las
siguientes consolas de interfaz de usuario.
Tareas
Definiciones de la ficha de directivas de anlisis de correo electrnico durante la recepcin
Configure las Directivas del anlisis del correo electrnico durante la recepcin mediante esta
consola de interfaz de usuario.
Tarea
directiva.
4 Configure las opciones de cada una de las fichas de la pgina de configuracin de las
Directivas del analizador de correo electrnico durante la recepcin. Consulte Definiciones
de la ficha de directivas de anlisis de correo electrnico durante la recepcin.
Tarea
directivas.
4 Configure las opciones de cada una de las fichas de la pgina de configuracin de las
Directivas del analizador de correo electrnico durante la recepcin. Consulte Definiciones
de la ficha de directivas de anlisis de correo electrnico durante la recepcin.
Tarea
1 En la lista Tarea, haga clic con el botn secundario en Propiedades del anlisis de
correo electrnico durante la recepcin y, a continuacin, haga clic en Propiedades
para abrir el cuadro de dilogo.
2 Configure las opciones de cada una de las fichas del cuadro de dilogo Propiedades del
anlisis de correo electrnico durante la recepcin. Consulte Definiciones de la ficha de
directivas de anlisis de correo electrnico durante la recepcin.
Definiciones de la ficha de directivas de anlisis de correo
electrnico durante la recepcin
Definiciones Ficha
Elementos de anlisis Especifique qu mensajes y adjuntos deben analizarse.
Analice mediante heurstica en busca de posibles amenazas de malware, virus de
macro desconocidos y busque adjuntos con mltiples extensiones.
Analice archivos comprimidos dentro de los archivos y descodifique archivos MIME
codificados.
Active el analizador de correo electrnico para que analice programas no deseados.
Analice el cuerpo de los mensajes de correo electrnico.
Configure el nivel de sensibilidad de Artemis.
NOTA: Esta opcin slo est disponible para Anlisis de correo electrnico
durante la recepcin.
Accin secundaria que debe llevarse a cabo si la primera fracasa.
deseado.
Accin secundaria que debe llevarse a cabo si la primera fracasa.
Para acciones permitidas en el cuadro de dilogo de consulta, seleccione la accin.
Alertas Notifique a otro usuario cuando se detecta un mensaje de correo electrnico
amenazado.
Especifique el mensaje que se mostrar al usuario cuando deba ejecutar una accin.
Informes Active el registro de actividades.
Especifique el nombre y la ubicacin del archivo de registro.
Especifique el lmite de tamao del archivo de registro.
Seleccione el formato del archivo de registro.
Especifique qu debe registrarse adems de la actividad de anlisis.
NOTA: Esta ficha slo est disponible para Anlisis de correo electrnico durante
la recepcin.
Configuracin de Notes
Scanner
Configure las opciones especficas de Lotus Notes.
Analice todas las bases de datos del servidor.
Analice los buzones de correo del servidor que se encuentran en la carpeta raz de
correo indicada.
Aplicaciones de Notes que deben ignorarse.
Parte III Respuesta: gestin de amenazas
Responder a las amenazas es el tercer paso en una estrategia de proteccin y su objetivo es
detectar y limpiar el malware que intenta acceder al sistema.
Contenido
Detecciones y respuestas
Configuracin de alertas y notificaciones
Acceso a consultas y paneles
Configuracin de archivos DAT de emergencia
Cuando se produce y se detecta una amenaza, la reaccin ante dicha amenaza viene determinada
por cmo se ha configurado VirusScan Enterprise para responder a esa amenaza y por la funcin
que la detecta. Entender estas diferencias ayuda a desarrollar e implementar una estrategia
efectiva.
Contenido
Qu sucede cuando se produce una deteccin
Infracciones de puntos de acceso del sistema
Detecciones de desbordamiento del bfer
Detecciones de programas no deseados
Detecciones de anlisis en tiempo real
Detecciones de anlisis bajo demanda
Detecciones de anlisis de correo electrnico
Elementos en cuarentena
Qu sucede cuando se produce una deteccin
La reaccin ante una deteccin depende de cmo se haya configurado VirusScan Enterprise.
Si VirusScan Enterprise est configurado para limpiar automticamente (la opcin predeterminada
sugerida), la accin resultante depender de la instruccin de limpieza incluida en el archivo
DAT. Por ejemplo, si el analizador no puede limpiar un archivo o si el archivo se ha daado
despus de la reparacin, el analizador podra eliminarlo o llevar a cabo una accin secundaria
dependiendo de cmo se defini en el archivo DAT.
Cuando el analizador deniega el acceso a archivos con amenazas potenciales, tambin agrega
al nombre del archivo una extensin .mcm cuando se guarda.
Infracciones de puntos de acceso del sistema
Cuando se infringe un punto de acceso de sistema, la accin que se emprende depende de
cmo se haya configurado la regla.
Si la regla est configurada con:
Informar: la informacin se registra en el archivo de registro.
Bloquear: el acceso se deniega.
Revise el archivo de registro para determinar qu puntos de acceso del sistema se han vulnerado
y qu reglas han detectado las infracciones. A continuacin, configure las reglas de proteccin
de acceso para que los usuarios puedan tener acceso a elementos legtimos y no a los elementos
protegidos.
Utilice estos escenarios para decidir qu medidas tomar como respuesta.
Escenarios Tipo de deteccin
Procesos no deseados Si la regla ha informado de la infraccin en el archivo de registro pero no la ha
bloqueado, seleccione la opcin Bloquear para la regla.
Si la regla ha bloqueado la infraccin pero no ha informado de ella en el archivo de
registro, seleccione la opcin Informar para la regla.
Si la regla ha bloqueado la infraccin y ha informado de ella en el archivo de registro,
no es necesario adoptar ninguna medida.
Si descubre un proceso no deseado que no se detect, puede editar la regla para
que lo incluya como bloqueado.
Procesos legtimos Si la regla ha informado de la infraccin en el archivo de registro pero no la ha
bloqueado, desactive la opcin Informar para la regla.
Si la regla ha bloqueado la infraccin y ha informado de ella en el archivo de registro,
edite la regla para que excluya al proceso legtimo de ser bloqueado.
Detecciones de desbordamiento del bfer
Cuando se produce una deteccin de desbordamiento del bfer, el analizador bloquea la
deteccin y se registra un mensaje en el cuadro de dilogo Mensajes de anlisis en tiempo
real. Puede ver el cuadro de dilogo y, a continuacin, decidir si desea emprender acciones
adicionales.
Las acciones que puede realizar incluyen:
Eliminar el mensaje: seleccione el elemento de la lista y, a continuacin, haga clic en
Eliminar.
Crear una exclusin: si el proceso detectado se utiliza legtimamente o es un falso positivo,
cree una exclusin con la informacin que figura en el cuadro de dilogo Mensajes de
anlisis en tiempo real. Revise la informacin de la columna Nombre para determinar
el nombre del proceso dueo de la memoria de escritura que hace la llamada. Utilice el
nombre del proceso para crear una exclusin.
Enviar una muestra a McAfee Labs para su anlisis: si el analizador detecta algo que
cree que no debera detectar, o si no detecta algo que cree que debera detectar, puede
enviar una muestra a McAfee Labs.
Detecciones de programas no deseados
Los analizadores en tiempo real, bajo demanda y de correo electrnico detectan programas no
deseados segn la Directiva de programas no deseados que haya configurado. Cuando se
produce una deteccin, el analizador que detect el programa potencialmente no deseado aplica
la accin configurada en la ficha Acciones para este analizador.
Revise la informacin del archivo de registro y, a continuacin, decida si se debe llevar a cabo
alguna de estas acciones adicionales:
Perfeccionar los elementos de anlisis: esto hace que los anlisis sean ms eficaces.
Excluir de la deteccin: si se detecta un programa legtimo, puede configurarlo como una
exclusin.
Agregar a la lista de detecciones definida por el usuario: si no se detecta un programa
no deseado, puede agregarlo a la lista de detecciones definida por el usuario.
Detecciones de anlisis en tiempo real
Cuando el analizador en tiempo real detecta malware, realiza una accin en funcin de lo que
se haya configurado en las Propiedades del anlisis en tiempo real de la ficha Acciones. Adems,
se registra un mensaje en el cuadro de dilogo Mensajes de anlisis en tiempo real.
Revise la informacin del registro de actividades y del cuadro de dilogo Mensajes del anlisis
en tiempo real para decidir si va a emprender alguna de estas acciones adicionales.
Perfeccionar los elementos de anlisis: para que el anlisis sea ms eficiente, excluya
archivos legtimos que VirusScan Enterprise pudiera considerar como amenazas y elimine
amenazas conocidas que pueden estar en cuarentena.
Hacer clic con el botn secundario en un elemento del cuadro de dilogo Mensajes
del anlisis en tiempo real para realizar estas acciones:
Limpiar archivo: se intenta limpiar el archivo al que hace referencia el mensaje
seleccionado.
Eliminar archivo: se elimina el archivo al que hace referencia el mensaje seleccionado.
El nombre de archivo se incluye en el archivo de registro para poder restaurarlo desde
el Quarantine Manager.
Seleccionar todo (ctrl+a): selecciona todos los mensajes de la lista.
Eliminar mensaje de la lista (ctrl+d): elimina el mensaje seleccionado de la lista.
Los mensajes eliminados de la lista siguen visibles en el archivo de registro.
Eliminar todos los mensajes: elimina todos los mensajes de la lista. Los mensajes
eliminados de la lista siguen visibles en el archivo de registro.
Abrir el archivo de registro del anlisis en tiempo real: abre el archivo de registro
de actividades del analizador en tiempo real. Esta opcin slo est disponible en el men
Archivo.
Abrir el archivo de registro de proteccin de acceso: abre el archivo de registro
de actividades de proteccin de acceso. Esta opcin slo est disponible en el men
Archivo.
Si una accin no est disponible para el mensaje actual, el icono, el botn y las opciones
de men correspondientes estn desactivados. Por ejemplo, Limpiar no est disponible
si el archivo ya se ha eliminado y Eliminar no est disponible si el administrador ha
suprimido la accin.
Limpiar archivo: un archivo no puede limpiarse si el archivo DAT no tiene limpiador o
si se ha daado y no se puede reparar. Si el archivo no se puede limpiar, el analizador
anexa una extensin .mcm al nombre de archivo y deniega el acceso al mismo. Se incluye
una entrada en el archivo de registro. En este caso, recomendamos que elimine el archivo
y lo restaure de una copia de seguridad limpia.
Detecciones de anlisis bajo demanda
Cuando se produce una deteccin bajo demanda, el analizador acta segn la configuracin
definida en la ficha Acciones de Propiedades del anlisis bajo demanda.
Perfeccionar los elementos de anlisis: esto hace que los anlisis sean ms eficientes.
Solicitar accin: para configurar el analizador para Solicitar accin, seleccione la accin
en el cuadro de dilogo Progreso del anlisis bajo demanda.
Detecciones de anlisis de correo electrnico
Cuando se produce una deteccin de anlisis de correo electrnico, el analizador acta en
funcin de la configuracin definida en Propiedades del anlisis de correo electrnico
durante la recepcin o Propiedades del anlisis de correo electrnico bajo demanda,
en la ficha Acciones.
Perfeccionar los elementos de anlisis: esto hace que los anlisis sean ms eficaces.
Elementos en cuarentena
Los elementos detectados y considerados como amenazas se limpian o se eliminan. Adems,
se crea una copia del elemento en un formato no ejecutable y se guarda en la carpeta de
cuarentena. Esto permite realizar procesos sobre los elementos en cuarentena despus de
descargar una versin posterior del archivo DAT, el cual posiblemente contenga informacin
que puede limpiar la amenaza.
Entre estos procesos adicionales se incluyen:
Restaurar.
Volver a analizar.
Eliminar.
Comprobar si hay falsos positivos.
Ver propiedades de deteccin.
NOTA: Los elementos en cuarentena pueden contener varios tipos de objetos analizados como,
por ejemplo, archivos, cookies, registros o cualquier otro objeto que VirusScan Enterprise analice
en busca de malware.
Configuracin de la directiva de cuarentena
Abra las Directivas de Quarantine Manager y configure la directiva de cuarentena, si es necesario,
o acepte la configuracin predeterminada.
Configure las Directivas de Quarantine Manager mediante una de las siguientes consolas de
Tareas
Configure las Directivas de Quarantine Manager a travs de esta consola de interfaz de usuario.
Tarea
directiva.
4 En la pgina Cuarentena, acepte el directorio predeterminado o seleccione uno distinto.
5 Para configurar el nmero de das que se guardan los elementos en cuarentena, haga clic
en Eliminar automticamente los datos en cuarentena transcurrido el nmero
de das indicado e introduzca el Nmero de das para conservar los datos de copia
de seguridad en el directorio de cuarentena.
Configure las Directivas de Quarantine Manager a travs de esta consola de interfaz de usuario.
Tarea
directivas.
4 En la pgina Cuarentena, acepte el directorio de cuarentena predeterminado o seleccione
uno distinto.
Configure la Directiva del Quarantine Manager a travs de esta consola de interfaz de usuario.
Tarea
1 En la lista Tarea, haga clic con el botn secundario en Directiva de Quarantine Manager
y, a continuacin, haga clic en Propiedades para abrir el cuadro de dilogo Directiva de
Quarantine Manager.
2 Acepte el directorio de cuarentena predeterminado o seleccione otro distinto.
Gestin de elementos en cuarentena
Procese los elementos en cuarentena para realizar ms comprobaciones y eliminarlos o
restaurarlos manualmente con Consola de VirusScan
NOTA: En la consola de ePolicy Orchestrator, utilice la tarea cliente Restaurar de cuarentena
para realizar acciones en los elementos en cuarentena.
Tarea
1 En la lista Tarea de Consola de VirusScan, haga clic en Directiva del Quarantine Manager
para abrir el cuadro de dilogo Directiva del Quarantine Manager.
2 Haga clic en la ficha Administrador, y haga clic con el botn derecho sobre un elemento
para obtener acceso a las siguientes opciones avanzadas:
Restaurar.
Volver a analizar.
Eliminar.
Comprobar si hay falsos positivos.
Ver propiedades de deteccin.
3 Aparece un cuadro de dilogo que describe el resultado de su accin.
Recibir un aviso cuando se detecta una amenaza potencial es una parte importante de la
proteccin del entorno. Puede configurar el mtodo de notificacin de detecciones mediante la
consola de ePolicy Orchestrator o la Consola de VirusScan. Ambas consolas permiten configurar
opciones de alertas, filtrar alertas por gravedad para limitar el trfico y configurar opciones de
alertas locales.
Configuracin de alertas
Configure las alertas y propiedades de notificacin que aparecen cuando los distintos analizadores
detectan una amenaza.
Utilice el mismo proceso para configurar las alertas de estas directivas:
Directivas de alerta
Directivas de proteccin de desbordamiento del bfer
Directivas del anlisis del correo electrnico durante la recepcin
Configure las directivas de notificacin de alertas de las tres directivas utilizando las siguientes
consolas de interfaz de usuario.
Tareas
Configuracin de fichas de directivas de alertas
Configure las directivas de alertas con esta consola de interfaz de usuario.
Tarea
directiva.
4 Configure las fichas de directivas de alertas. Para ello, consulte Configuracin de fichas de
directivas de alertas.
Configure las directivas de alertas con esta consola de interfaz de usuario.
Tarea
directivas.
Configure las propiedades de alertas con esta consola de interfaz de usuario.
Tarea
1 Abra una de las siguientes propiedades para configurar las alertas:
Alertas: haga clic en Herramientas | Alertas para abrir el cuadro de dilogo de las
propiedades de alerta.
Proteccin de desbordamiento del bfer: seleccione la tarea Proteccin de
desbordamiento del bfer y haga clic con el botn derecho en Propiedades para
abrir el cuadro de dilogo de propiedades de la proteccin de desbordamiento del bfer.
Anlisis de correo electrnico durante la recepcin: seleccione la tarea Anlisis
de correo electrnico durante la recepcin y haga clic con el botn secundario en
Propiedades para abrir el cuadro de dilogo de propiedades del anlisis de correo
electrnico durante la recepcin. Haga clic en la ficha Alertas.
Configuracin de fichas de directivas de alertas
Configuracin Tarea
Directivas de alertas 1 En la columna Acciones, seleccione Editar configuracin para abrir la
pgina Directivas de alertas.
2 Configure los Componentes que generan alertas y las Opciones de Alert
Manager.
Directivas de proteccin de
desbordamiento del bfer
1 En la columna Acciones, seleccione Editar configuracin para abrir la
pgina Proteccin de desbordamiento del bfer.
2 Junto a Advertencia del sistema cliente, haga clic en Mostrar el cuadro
de dilogo de mensajes cuando se detecte un desbordamiento del
bfer.
Directivas del anlisis del
correo electrnico durante
la recepcin
1 En la columna Acciones, seleccione Editar configuracin para abrir la
pgina Directivas del anlisis del correo electrnico durante la recepcin.
Configuracin Tarea
2 Haga clic en Alertas y configure Alerta de correo electrnico para el
usuario y Solicitud de mensaje de accin.
Utilice las consultas y los paneles para supervisar la actividad. Adems, le ayudarn a determinar
las acciones a emprender en las detecciones. Puede utilizar las consultas y paneles predefinidos
o crear unos nuevos para satisfacer sus necesidades. Para obtener informacin acerca de las
consultas y los paneles, consulte la documentacin del producto ePolicy Orchestrator.
Consultas
En funcin de su versin de ePolicy Orchestrator, acceda a las consultas utilizando:
ePolicy Orchestrator 4.5 y 4.6
1 Haga clic en Men | Informes | Consultas. Aparecer la pgina de consultas.
2 En el panel de consultas, escriba VSE: en Bsqueda rpida y haga clic en Aplicar. En la
lista nicamente aparecen las consultas de VirusScan Enterprise.
1 Haga clic en Informes | Consultas. Aparecer la pgina de consultas.
2 En la lista de consultas situada en el panel de la derecha, desplcese hacia abajo y busque
las consultas que comiencen por "VSE:".
Se encuentran disponibles las siguientes consultas predefinidas:
VSE: amenazas detectadas en los 2 trimestres anteriores VSE: conformidad durante los 30 ltimos das
VSE: amenazas detectadas por semana VSE: equipos con amenazas detectadas a la semana
VSE: 10 principales reglas de proteccin de acceso
infringidas
VSE: adopcin de DAT actual
VSE: adopcin de DAT durante las ltimas 24 horas
VSE: 10 principales desbordamientos de bfer detectados
VSE: despliegue de DAT
VSE: los 10 equipos con ms detecciones
VSE: resumen de respuestas a detecciones
VSE: 10 principales amenazas detectadas
VSE: nmero de detecciones por etiqueta
VSE: las 10 principales fuentes de amenazas
VSE: spyware detectado en las ltimas 24 horas
VSE: las 10 principales amenazas por categora de
amenaza
VSE: spyware detectado en los ltimos 7 das
VSE: resumen de amenazas detectadas en las ltimas
24 horas
VSE: los 10 usuarios con ms detecciones
VSE: programas no deseados detectados en las ltimas
24 horas
VSE: resumen de amenazas detectadas en los ltimos 7
das
VSE: programas no deseados detectados en los ltimos
7 das
VSE: nmero de amenazas por gravedad
VSE: nombres de amenazas detectadas por semana
VSE: conformidad de la versin 8.5
VSE: amenazas detectadas en las ltimas 24 horas
VSE: amenazas detectadas en los ltimos 7 das
Paneles
Para tener acceso a los paneles de la consola de ePolicy Orchestrator, vaya a Paneles.
Se encuentran disponibles los siguientes paneles predefinidos:
VSE: datos que muestran la tendencia
VSE: detecciones actuales
Los archivos DAT de emergencia se pueden descargar manualmente a fin de proteger el sistema
contra un virus importante hasta que se publique la actualizacin del archivo normal DAT de
VirusScan.
NOTA: Estos archivos EXTRA.DAT deberan descargarse automticamente como parte de la
actualizacin automtica (AutoUpdates) del sistema cliente o del proceso de extraccin
programada de ePolicy Orchestrator. Consulte la seccin Actualizacin de las definiciones de
deteccin.
El proceso de configuracin de los archivos DAT de emergencia consta de dos pasos:
1 Descargue el archivo DAT de emergencia. Este proceso es igual tanto para los sistemas
cliente como para los repositorios de ePolicy Orchestrator.
2 Instale el archivo DAT de emergencia. Este proceso es diferente para los sistemas cliente
y los servidores de ePolicy Orchestrator 4.0, 4.5 y 4.6.
Cada uno de estos procesos se describe en esta seccin.
Contenido
Acerca de los archivos DAT de emergencia
Descarga de un archivo SuperDAT
Instalacin de archivos SuperDAT en un repositorio de ePolicy Orchestrator
Instalacin del archivo EXTRA.DAT en un sistema cliente
Acerca de los archivos DAT de emergencia
Los archivos DAT de emergencia, llamados archivos EXTRA.DAT, contienen informacin que
VirusScan Enterprise utiliza para detectar un virus nuevo. Cuando se descubre nuevo malware
y se hace necesario incrementar la capacidad de deteccin, McAfee Labs distribuye un archivo
EXTRA.DAT (incluido en un archivo ejecutable SuperDAT [SDAT]), que se utiliza hasta que se
publica la actualizacin del archivo DAT de VirusScan Enterprise.
NOTA: McAfee ya no publica archivos EXTRA.DAT individuales en el sitio de descargas Security
Updates. Para obtener un archivo EXTRA.DAT para una amenaza especfica, visite McAfee
Avert Labs Extra.dat Request Page en https://www.webimmune.net/extra/getextra.aspx.
Paquetes SuperDAT
El ejecutable SuperDAT es un paquete autoinstalable. Es posible que incluya un nuevo motor
de anlisis de virus y otros componentes de programa. El archivo utiliza el formato de nombre
sdatXXXX.exe, donde XXXX es el nmero de versin de DAT compuesto de cuatro dgitos; por
ejemplo, sdat4321.exe.
Cuando se extrae un archivo EXTRA.DAT del ejecutable SuperDAT y se agrega a la carpeta
Motor del disco duro, VirusScan Enterprise lo utiliza conjuntamente con los archivos DAT normales
para detectar el nuevo virus. Esto le permite a VirusScan Enterprise proteger el equipo contra
el nuevo cdigo malware hasta que se publique la actualizacin oficial del archivo DAT que
incluya informacin de deteccin y eliminacin del malware. Una vez que se publique y se instale
la actualizacin oficial de DAT, el archivo EXTRA.DAT dejar de ser necesario.
NOTA: Los archivos EXTRA.DAT se mantienen en el sistema de archivos durante 5 das y, a
continuacin, se eliminan automticamente. Descargue e instale automticamente las
actualizaciones oficiales publicadas diariamente para mantener actualizados los archivos DAT
de VirusScan Enterprise.
Descarga de un archivo SuperDAT
Para descargar un archivo SuperDAT (SDAT), debe conectarse a la pgina de McAfee Security
Updates.
Antes de comenzar
Debe tener un nmero de concesin vlido para poder obtener acceso a la pgina de McAfee
Security Updates: http://www.mcafee.com/apps/downloads/security_updates/dat.asp
Debe tener privilegios de administrador para actualizar el software de McAfee.
Tarea
1 Visite la pgina de McAfee Security Updates en el siguiente URL:
http://www.mcafee.com/apps/downloads/security_updates/dat.asp
2 Haga clic en la ficha SuperDAT y, a continuacin, haga doble clic en el archivo sdatXXXX.exe,
donde XXXX es el nmero de la actualizacin ms reciente del archivo DAT.
NOTA: Si desea obtener ms informacin, haga doble clic en el archivo readme.txt.
3 Guarde el archivo ejecutable con su nombre predeterminado en una ubicacin temporal.
Instalacin de archivos SuperDAT en un repositorio de ePolicy
Orchestrator
Una vez descargado el archivo SuperDAT, hay que instalarlo en el servidor de ePolicy
Orchestrator.
Antes de comenzar
Debe tener derechos de administrador para actualizar el software de McAfee.
Tarea
1 Para instalar el archivo SuperDAT en un servidor de ePolicy Orchestrator, siga los pasos
siguientes, segn corresponda:
Pasos... Servidor
ePolicy Orchestrator 4.5 y 4.6 1
Haga clic en Men | Software | Repositorio principal
para abrir la pgina Paquetes en el repositorio principal
en la consola de ePolicy Orchestrator 4.5 y 4.6.
2
Haga clic en Acciones | Incorporar paquetes.
Pasos... Servidor
ePolicy Orchestrator 4.0 1
Haga clic en Software | Repositorio principal para
abrir la pgina Paquetes en el repositorio principal.
2
Haga clic en Incorporar paquetes para abrir la pgina
Incorporar paquetes.
2 Seleccione Super DAT (EXE), desplcese a la ubicacin en la que desee guardar el archivo
y, a continuacin, haga clic en Siguiente.
3 Confirme la seleccin y, a continuacin, haga clic en Guardar. El paquete DAT nuevo
aparece en la lista Nombre de la pgina Paquetes en el repositorio principal.
Instalacin del archivo EXTRA.DAT en un sistema cliente
Puede instalar el archivo EXTRA.DAT en un sistema cliente independiente despus de haberlo
descargado desde McAfee Labs. Si desea obtener informacin acerca de la descarga del archivo
EXTRA.DAT, consulte Acerca de los archivos DAT de emergencia.
Antes de comenzar
Debe tener privilegios de administrador para actualizar el software de McAfee Security.
Tarea
1 Una vez completada la descarga, busque el archivo que acaba de guardar, ejecute el archivo
ejecutable y siga las instrucciones del asistente.
El archivo ejecutable EXTRA.DAT realiza los pasos siguientes:
Descarga el software residente en memoria de McAfee o detiene los servicios que usan
sus archivos DAT actuales.
Copia nuevos archivos DAT en los directorios de programa correspondientes.
Reinicia los componentes de software necesarios para continuar los anlisis con los
archivos DAT nuevos.
2 Una vez que el instalador finaliza la actualizacin de los archivos DAT, usted puede eliminar
el archivo descargado o guardar una copia para futuras actualizaciones.
Parte IV Supervisin, anlisis y ajuste de la
proteccin
Tras la configuracin inicial de la estrategia de proteccin, deber supervisar, analizar y ajustar
su proteccin. Si comprueba los archivos de registro de actividades y las consultas de ePolicy
Orchestrator, podr mejorar el rendimiento y la proteccin de los sistemas VirusScan Enterprise.
Contenido
Supervisin de la actividad en el entorno
Anlisis de su proteccin
Un paso importante en la estrategia de proteccin es la supervisin de los eventos de malware
que se producen en los sistemas. Para llevar a cabo esa supervisin, necesita familiarizarse con
las herramientas y su uso.
Herramientas de supervisin de actividades
VirusScan Enterprise proporciona diversos mtodos para supervisar las amenazas que se
producen en los sistemas protegidos. Las herramientas que utilice dependern de si utiliza la
consola de ePolicy Orchestrator o Consola de VirusScan.
Uso de consultas y paneles
Utilice las consultas y los paneles de ePolicy Orchestrator para supervisar la actividad en sus
sistemas gestionados de McAfee y determinar las acciones a emprender en las detecciones.
Para obtener informacin adicional acerca del panel y las consultas:
Consulte Acceso a consultas y paneles para obtener una lista completa de las consultas
predefinidas disponibles.
Consulte la documentacin del producto ePolicy Orchestrator para informarse acerca de
cmo modificar y crear consultas y paneles.
Uso de registros de actividad
Los registros de actividades de Consola de VirusScan almacenan los eventos que se producen
en su sistema protegido por VirusScan Enterprise. En la siguiente tabla se describen los archivos
de registro.
Todos los archivos de registro de actividades se almacenan, de forma predeterminada, en una
de las ubicaciones siguientes, en funcin de su sistema operativo:
Para Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server
y Microsoft 2008 Server: C:\Documents and Settings\All Users\Application
Data\McAfee\DesktopProtection
Para Microsoft Windows 7: C:\ProgramData\McAfee\DesktopProtection
Tabla 1: Archivos de registro
Muestra Acceso Nombre de archivo
Fecha, hora, evento,
usuario y nombre del
archivo.
En la columna Tarea, haga clic en la ficha
Proteccin de acceso | Informes y, a
continuacin, en Ver registro.
AccessProtectionLog.txt
Fecha, hora, el ejecutable
que provoc el
Proteccin de desbordamiento del bfer |
BufferOverflowProtectionLog.txt
desbordamiento y tipo de Informes y, a continuacin, haga clic en Ver
registro. desbordamiento (pila o
montculo).
Fecha, hora, ruta a los
archivos de rplica y otra
informacin adicional.
MirrorLog.txt Para Microsoft Windows XP, Microsoft Vista,
Microsoft 2000 Server, Microsoft 2003 Server y
Microsoft 2008 Server: C:\Documents and
Settings\All Users\Application
Para Microsoft Windows 7:
C:\ProgramData\McAfee\DesktopProtection
Fecha, hora, malware
detectado, accin tomada
y resultado.
Analizador en tiempo real | Configuracin
general | Informes y, a continuacin, en Ver
registro.
OnAccessScanLog.txt
Fecha, hora del anlisis,
posibles acciones
En el men, haga clic en Tarea | Ver registro. OnDemandScanLog.txt
realizadas, archivo y
resultado.
Fecha, hora de
actualizacin, usuario que
UpdateLog.txt Para Microsoft Windows XP, Microsoft Vista,
Microsoft 2000 Server, Microsoft 2003 Server y
inici la actualizacin y Microsoft 2008 Server: C:\Documents and
otra informacin acerca
de la actualizacin.
Settings\All Users\Application
Para Microsoft Windows 7:
C:\ProgramData\McAfee\DesktopProtection
Ejecucin de una consulta de ejemplo
Ejecute una consulta sencilla para determinar la cantidad de amenazas que se detectan por
semana en sus sistemas. Esta consulta es slo de ejemplo. Las consultas que usted ejecute o
configure dependern de la informacin que desee recuperar de la base de datos de ePolicy
Orchestrator.
Tarea
1 Ejecute una consulta de ePolicy Orchestrator siguiendo las indicaciones siguientes, segn
corresponda:
ePolicy Orchestrator 4.5 o 4.6: haga clic en Men | Informes | Consultas, y
desplcese hasta la consulta VSE: Amenazas detectadas por semana. A continuacin, haga
clic en Ejecutar.
Parte IV Supervisin, anlisis y ajuste de la proteccin
ePolicy Orchestrator 4.0: haga clic en Informes | Consultas, y desplcese hasta la
consulta VSE: Amenazas detectadas por semana. A continuacin, haga clic en Ejecutar.
2 Si se detecta alguna amenaza, el resultado de la consulta muestra la siguiente informacin:
Un grfico de barras con el nmero de amenazas y la semana en la que se produjeron.
Una tabla con informacin similar y el total de amenazas.
NOTA: Puede hacer clic en el grfico de barras o en la informacin de la tabla para abrir
los datos de la base de datos de ePolicy Orchestrator.
3 Haga clic en Cerrar para volver a la lista de consultas.
Adems del gran nmero de consultas predeterminadas puede crear las suyas propias. Consulte
la documentacin de ePolicy Orchestrator si desea obtener ms detalles.
La proteccin de su sistema mediante VirusScan Enterprise debe ser analizada continuamente,
ya que as se mejora la proteccin y el rendimiento del sistema.
Contenido
La importancia del anlisis
Ejemplos de anlisis de proteccin
La importancia del anlisis
El anlisis de la proteccin permite determinar el tipo de amenazas, su origen y frecuencia, as
como los sistemas a los que van dirigidas. Por ejemplo, si un sistema est siendo continuamente
atacado, se podra trasladar ese sistema a una ubicacin ms segura de la red y aumentar la
seguridad para protegerlo.
Este anlisis tambin es til en los procesos siguientes:
Creacin de informes dirigidos a responsables y TI.
Captura de informacin usada para crear secuencias de comandos y consultas.
Supervisin de las horas de acceso a la red y del uso de la red para la actualizacin de
VirusScan Enterprise.
Ejemplos de anlisis de proteccin
Los pasos descritos en los siguientes ejemplos se pueden usar como marco para el anlisis de
la mayora de escenarios de proteccin de VirusScan Enterprise.
En estos ejemplos se describe la visualizacin de un pico de ataques de malware y se determinan
los factores siguientes:
Dnde y cundo se producen los ataques
Qu malware se utiliz en el ataque
Cmo afecta el ataque al sistema
Tareas
Este ejemplo de anlisis se usa como marco para analizar la mayora de escenarios de proteccin
de VirusScan Enterprise con ePolicy Orchestrator 4.5 o 4.6.
Antes de comenzar
Para llevar a cabo este anlisis de ejemplo, debe disponer de acceso remoto o directo a un
sistema protegido por VirusScan Enterprise.
Tarea
1 Determine dnde y cundo se producen los ataques:
a Haga clic en Men | Informes | Consultas para abrir el panel Consultas.
b Escriba Malware en Bsqueda rpida y haga clic en Aplicar. La consulta Historial de
detecciones de malware aparece en la lista Consultas.
c Seleccione la consulta y haga clic en Acciones | Ejecutar. La consulta devuelve el
nmero de ataques recientes.
2 Para determinar qu malware se us en el ataque, haga clic en Men | Informes |
Registro de eventos de amenazas para ver el Registro de eventos de amenazas.
3 Haga doble clic en el evento del registro para mostrar la pgina de detalles en el panel.
Desde el evento del registro puede determinar:
La Direccin IP de origen de la amenaza y el destino se muestran para ayudarle
a decidir qu accin emprender.
El Nombre de la amenaza y el Tipo de amenaza describen el malware que fue
utilizado en el ataque.
Las Descripciones de eventos de amenazas describen cmo afect el ataque al
sistema y qu acciones se emprendieron sobre la amenaza.
de VirusScan Enterprise con ePolicy Orchestrator 4.0.
Antes de comenzar
Tarea
1 Determine dnde y cundo se producen los ataques:
a Haga clic en Informes | Consultas para abrir la lista de consultas.
b En la lista Consultas pblicas, seleccione ePO: Historial de detecciones de malware
y haga clic en Ms acciones | Ejecutar. La consulta Historial de detecciones de
malware aparece en la lista Consultas.
2 Para ver el evento que activ la deteccin de malware, haga clic en Informes | Registro
de eventos. La consulta devolver el nmero de ataques recientes.
3 Haga doble clic en el evento del registro para mostrar la pgina de detalles en el panel.
Desde el evento del registro puede determinar:
La Direccin IP de origen de la amenaza y el destino se muestran para ayudarle
a decidir qu accin emprender.
El Nombre de la amenaza y el Tipo de amenaza describen el malware que fue
utilizado en el ataque.
Las Descripciones de eventos de amenazas describen cmo afect el ataque al
sistema y qu acciones se emprendieron sobre la amenaza.
de VirusScan Enterprise mediante la Consola de VirusScan.
Antes de comenzar
Tarea
1 En la lista Tarea, haga clic con el botn derecho en Analizador en tiempo real y
seleccione Estadsticas en la lista. Aparecer el cuadro de dilogo Estadsticas del anlisis
en tiempo real.
2 En el grupo Estadsticas de anlisis, observe el nmero de archivos detectados que aparece.
Si este nmero no es cero, haga clic en Propiedades para abrir el cuadro de dilogo
Propiedades del anlisis en tiempo real.
3 Haga clic en la ficha Informes y, a continuacin, haga clic en Ver registro. Aparecer el
archivo OnAccessScanLog.txt en una ventana de NotePad.
4 En l podr determinar:
Qu malware se utiliz en el ataque. Por ejemplo:
C:\...\eicar.com archivo de prueba EICAR
Cmo afecta el ataque al sistema. Por ejemplo:
(Error de limpieza porque la deteccin no se puede limpiar)
Qu acciones se emprendieron sobre la amenaza. Por ejemplo:
Eliminados
5 Utilice la informacin del paso anterior para determinar si es necesario modificar la
configuracin de la proteccin antivirus de los sistemas de origen o destino, o si desea
iniciar otra accin.
Apndice
Existen ms funciones de configuracin y solucin de problemas que se pueden usar para
mejorar la proteccin ofrecida por VirusScan Enterprise. Esas funciones utilizan herramientas
ya conocidas como, por ejemplo, la consola de ePolicy Orchestrator, la lnea de comandos e
Internet.
Contenido
Configuracin de tareas de servidor de ePolicy Orchestrator
Uso de la lnea de comandos con VirusScan Enterprise
Conexin con sistemas remotos
Envo de muestras de amenazas para su anlisis
Acceso a la Biblioteca de amenazas de McAfee Labs
Solucin de problemas
Configuracin de tareas de servidor de ePolicy
Orchestrator
Las tareas de servidor, configuradas en ePolicy Orchestrator le permiten programar y ejecutar
tareas automticas con el objetivo de administrar su servidor y el software de VirusScan
Enterprise.
Las tareas de servidor de VirusScan Enterprise se pueden configurar para generar
automticamente lo siguiente:
Exportar directivas: ejecuta un informe de directiva y almacena la informacin de la
directiva en un archivo.
Ejecutar consulta: ejecuta una consulta preconfigurada y, en caso de haberlo configurado,
muestra el resultado en el panel de ePolicy Orchestrator.
Exportar consultas: ejecuta una consulta preconfigurada y enva el informe a una direccin
de correo electrnico o a una ubicacin ya definidas.
NOTA: La funcin Exportar consultas slo est disponible con ePolicy Orchestrator 4.5 y 4.6.
El servidor de ePolicy Orchestrator tiene ya instaladas las siguientes tareas de servidor de
VirusScan Enterprise:
VSE: conformidad durante los 30 ltimos das: ejecuta una consulta una vez al da y
almacena el estado de conformidad del software antivirus de McAfee.
VSE: adopcin DAT durante las ltimas 24 horas: ejecuta una consulta cada hora y
almacena el estado de la versin de DAT del software antivirus de McAfee.
NOTA: Para obtener informacin acerca de la configuracin de tareas de servidor personalizadas,
consulte la gua del producto de ePolicy Orchestrator correspondiente.
Configuracin de tarea de servidor de ejemplo
Para activar y configurar la VSE ePolicy Orchestrator existente: conformidad durante los 30
ltimos das.
Antes de comenzar
Debe tener derechos de administrador para actualizar la configuracin de ePolicy Orchestrator.
Tarea
1 Abra la pgina Tareas de servidor desde ePolicy Orchestrator.
ePolicy Orchestrator 4.5 o 4.6: haga clic en Men | Automatizacin | Tareas
servidor.
ePolicy Orchestrator 4.0: haga clic en Automatizacin | Tareas servidor.
2 En la columna Nombre, busque la tarea VSE: conformidad durante los ltimos 30
das y haga clic en Editar en la columna Acciones. Aparece la pgina Generador de tareas.
3 Al lado de Estado de planificacin, haga clic en Activado y, a continuacin, en Siguiente.
Aparecer la pgina Acciones.
Junto a 1. Acciones, Ejecutar consulta se selecciona de forma predeterminada.
4 Junto a Consulta, VSE: conformidad de la versin 8.8.0 se selecciona de forma
predeterminada. En caso necesario, cambie la opcin de idioma.
En el grupo Subacciones, confirme que los elementos siguientes estn seleccionados de
forma predeterminada:
Generar evento de conformidad en la lista Subacciones.
Nmero especfico de sistemas de destino est seleccionado con 1 en la caja de
texto.
5 Agregue acciones de conformidad de VirusScan Enterprise, Versin 8.7 y 8.5 a la tarea
servidor:
a En la fila 1. Acciones, haga clic en el signo ms (+) para abrir una fila adicional de
acciones.
b Configure los siguientes elementos en la nueva fila 2. Acciones:
Junto a 2. Acciones, seleccione Ejecutar consulta en la lista.
Junto a Consulta, seleccione VSE: conformidad de la versin 8.7 en la lista.
En caso necesario, cambie la opcin de idioma.
Confirme en el grupo Subacciones que Generar evento de conformidad y Nmero
especfico de sistemas de destino tienen seleccionado 1 en la caja de texto.
c En la fila 2. Acciones, haga clic en el signo ms (+) para abrir una fila adicional de
acciones.
d Configure los siguientes elementos en la nueva fila 3. Acciones:
Junto a 3. Acciones, seleccione Ejecutar consulta en la lista.
Apndice
Configuracin de tareas de servidor de ePolicy Orchestrator
Junto a Consulta, seleccione VSE: conformidad de la versin 8.5 en la lista.
En caso necesario, cambie la opcin de idioma.
Confirme en el grupo Subacciones que Generar evento de conformidad y Nmero
especfico de sistemas de destino tienen seleccionado 1 en la caja de texto.
6 Haga clic en Siguiente para abrir la pgina Programacin.
7 Seleccione la frecuencia de ejecucin de la tarea de servidor en la lista Tipo de
planificacin.
Establezca la Fecha de inicio o acepte la fecha actual como predeterminada.
Establezca la Fecha de finalizacin o acepte Sin fecha de finalizacin como
predeterminada.
Establezca la Planificacin, acepte la predeterminada o establezca otra fecha de inicio
para la ejecucin de la consulta.
8 Haga clic en Siguiente para abrir la pgina Resumen. Confirme que la informacin
configurada sea correcta.
9 Haga clic en Guardar. La pgina Tarea de servidor aparecer a continuacin.
10 Confirme que la tarea de servidor VSE: conformidad durante los 30 ltimos das tenga la
opcin de Estado activada y que la fecha y hora de Prxima ejecucin sean correctas.
Uso de la lnea de comandos con VirusScan
Enterprise
El smbolo del sistema se puede utilizar para ejecutar algunos procesos bsicos de VirusScan
Enterprise. Puede instalar, configurar y actualizar VirusScan Enterprise desde la lnea de
comandos. Las opciones de instalacin de la lnea de comandos se describen en la Gua de
instalacin de VirusScan Enterprise.
Ejemplo de anlisis de lnea de comandos
Para explorar todos los archivos, actualizar los archivos de registro con los resultados de la
exploracin y cerrar automticamente el cuadro de dilogo de anlisis bajo demanda, introduzca
el siguiente comando:
scan32 /all /log /autoexit
Ejemplo de actualizacin de lnea de comandos
Para actualizar los archivos DAT, el motor de anlisis y el producto de forma silenciosa, o si no
desea que aparezca el cuadro de dilogo de actualizacin de McAfee, introduzca el siguiente
comando:
mcupdate /update /quiet
Opciones de lnea de comandos para el anlisis bajo demanda
VirusScan Enterprise utiliza el analizador bajo demanda SCAN32.EXE para detectar amenazas.
Para ejecutar anlisis, puede usar el mismo comando ejecutable SCAN32 desde la lnea de
comandos o como parte de un archivo por lotes.
Apndice
La sintaxis de SCAN32 no necesita un orden especfico en sus elementos, excepto en el caso
de que no se pueda separar una propiedad de su valor. Esta sintaxis consta de:
Nombre del archivo: nombre del archivo ejecutable, SCAN32.EXE.
Opciones: la opcin va precedida de una barra inclinada (/) y no distingue entre maysculas
y minsculas.
El formato del comando es:
SCAN32 PROPERTY=VALUE [,VALOR] [/opcin].
A continuacin se indica un ejemplo de comando scan32.exe:
scan32.exe PRIORITY /normal
En este ejemplo:
"PRIORITY" (PRIORIDAD) es un valor del comando.
"/normal" es una opcin del valor.
Opciones y valores para el anlisis bajo demanda
Definicin con opciones Valor de la lnea
de comandos
Analiza todos los archivos de la carpeta de destino. ALL
Analiza los archivos predeterminados y todos los documentos de Microsoft Office. ALLOLE
Fuerza la salida del anlisis bajo demanda, aunque el anlisis se complete con un error. ALWAYSEXIT
Analiza los programas potencialmente no deseados que se definen en la Directiva de programas
no deseados.
APPLYNVP
Analiza archivos de almacenamiento, como .ZIP, .CAP, LZH y .UUE. ARCHIVE
Sale del analizador bajo demanda al terminar un anlisis no interactivo. AUTOEXIT
Limpia el archivo de destino detectado cuando se encuentra un programa potencialmente no
deseado.
CLEAN
Limpia el archivo detectado cuando se encuentra un programa no deseado. CLEANA
Contina el anlisis despus de haber detectado un programa potencialmente no deseado. CONTINUE
Contina el anlisis despus de la deteccin de un programa potencialmente no deseado, si
la accin principal ha fallado.
CONTINUE2
Contina el anlisis despus de haber detectado un programa no deseado. CONTINUEA
Contina el anlisis despus de la deteccin de un programa no deseado, si la accin principal
ha generado un error.
CONTINUEA2
Agrega las extensiones de archivos que se especifiquen como parmetros a la lista de tipos
de archivos seleccionados incluidos en el anlisis.
DEFEXT
Elimina el archivo detectado cuando se encuentra un programa potencialmente no deseado. DELETE
Elimina el archivo detectado cuando se encuentra un programa potencialmente no deseado
y la accin principal ha generado un error.
DELETE2
Elimina el archivo cuando se detecta un programa no deseado. DELETEA
Elimina el archivo cuando se detecta un programa potencialmente no deseado y la accin
principal ha generado un error.
DELETEA2
Muestra el cuadro de dilogo de propiedades del anlisis. EDIT
Sustituye las extensiones de la lista de tipos de archivos seleccionados incluidos en el anlisis
por las extensiones que el usuario agregue como parmetros despus del argumento.
EXT
Apndice
Definicin con opciones Valor de la lnea
de comandos
Registra los informes de deteccin en un archivo de registro previamente especificado. LOG
Utiliza el formado especificado para el archivo de registro. Los valores vlidos son ANSI, UTF8
o UTF16.
LOGFORMAT
<valor>
Registra los valores de configuracin de un anlisis. LOGSETTINGS
Registra un resumen de los resultados del anlisis. LOGSUMMARY
Registra la informacin de identificacin del usuario que ejecuta un anlisis. LOGUSER
Activa la deteccin Artemis de las amenazas de macro. MHEUR
Detecta programas potencialmente no deseados en archivos codificados en formato MIME
(Multipurpose Internet Mail Extensions).
MIME
No calcula el tamao del anlisis antes de comenzar el anlisis de los archivos. La barra de
progreso no se muestra.
NOESTIMATE
Activa la deteccin Artemis de las amenazas que no son de macro. PHEUR
Define la prioridad del anlisis en relacin con otros procesos de la CPU. Requiere una de las
siguientes opciones:
PRIORITY
LOW (BAJA)
BELOWNORMAL (POR DEBAJO DE LO NORMAL): el valor predeterminado en ePolicy
Orchestrator.
NORMAL: el valor predeterminado en Consola de VirusScan.
NOTA: Puede introducir un parmetro numrico de 1 a 100, donde 10 es igual a LOW, 50 es
igual a BELOWNORMAL y 100 es igual a NORMAL.
Solicita una accin al usuario cuando se detecte un programa potencialmente no deseado. PROMPT
Solicita una accin al usuario cuando se detecta un programa potencialmente no deseado y
la accin principal ha generado un error.
PROMPT2
Solicita una accin al usuario cuando se detecta un programa no deseado. PROMPTA
Solicita una accin al usuario cuando se detecta un programa potencialmente no deseado y
la accin principal ha generado un error.
PROMPTA2
Define el tamao del registro de alerta, en megabytes. RPTSIZE
Ejecuta el anlisis. No muestra el cuadro de dilogo de propiedades. START
Ejecuta la tarea del analizador bajo demanda especificada en la Consola de VirusScan. Precisa
de un parmetro adicional que especifique el identificador de tarea tal y como aparece en el
Registro, en la clave: hkey_local_machine_\software\McAfee\Desktop\Protection\Tasks.
TASK
Ejecuta el analizador sin hacer visible el cuadro de dilogo de la interfaz de usuario. UINONE
Opciones de lnea de comandos de la tarea de actualizacin
VirusScan Enterprise utiliza MCUPDATE.EXE para llevar a cabo las tareas de actualizacin. Para
ejecutar tareas de actualizacin, puede usar el mismo comando ejecutable MCUPDATE desde la
lnea de comandos o como parte de un archivo por lotes.
La sintaxis de MCUPDATE no necesita un orden especfico en sus elementos, excepto en el caso
de que no se pueda separar una propiedad de su valor. La sintaxis consta de:
Nombre del archivo: nombre del archivo ejecutable, MCUPDATE.EXE.
Apndice
Opciones: la opcin va precedida de una barra inclinada (/) y no distingue entre maysculas
y minsculas.
El formato del comando es:
MCUPDATE [/<tipo> [/TASK <guid>]] [/opcin].
NOTA: En el formato anterior, <tipo> puede ser ROLLBACKDATS o UPDATE.
La clusula /TASK es opcional. No obstante, si la utiliza tiene tambin que especificar un
identificador de tarea de actualizacin (guid). El identificador de tarea que seleccione debe
corresponder a una tarea DAT de actualizacin o de restauracin. No seleccione un identificador
de anlisis. Si no indica un identificador de tarea, se utiliza la tarea de actualizacin por defecto.
Los identificadores de tarea se encuentran en:
hkey_local_machine\SOFTWARE\McAfee\DesktopProtection\Tasks\
La clusula /option no es necesaria. Para realizar una tarea de actualizacin silenciosa, utilice
/QUIET.
NOTA: La opcin /QUIET no puede utilizarse con las tareas DAT de restauracin. Este ejemplo
ejecuta una tarea de actualizacin silenciosa: MCUPDATE /UPDATE /QUIET.
Opciones de la tarea de actualizacin
Definicin Opcin de lnea de
comandos
Restaura el archivo DAT actual con la copia de seguridad de la ltima versin. ROLLBACKDATS
Realiza una actualizacin del archivo DAT, del motor de anlisis, del producto o del archivo
extra.dat.
UPDATE
Ejecuta la tarea DAT de AutoUpdate o restauracin especificada en la Consola de VirusScan.
Requiere un parmetro adicional que especifique el identificador de la tarea tal y como se
define en la clave del Registro:
/TASK
hkey_local_machine\software\McAfee\DesktopProtection\Tasks
Ejecuta la tarea en modo silencioso. /QUIET
En un sistema remoto con VirusScan Enterprise instalado se pueden llevar a cabo operaciones
como la modificacin o la programacin de tareas de anlisis o actualizacin, o bien activar y
desactivar el analizador en tiempo real.
NOTA: Si no tiene derechos de administrador para conectarse al sistema remoto, recibe el
mensaje Derechos de usuario insuficientes: acceso denegado.
Cuando se inicia la Consola remota de VirusScan, el nombre del sistema al que est conectado
aparece en la barra de ttulo de la consola. Si no se ha conectado a ningn otro sistema de la
red, la barra de ttulo no muestra el nombre del sistema local. Cuando abre cualquier cuadro
de dilogo de propiedades de la tarea desde una consola remota, el nombre del sistema aparece
en la barra de ttulo del cuadro de dilogo de propiedades.
Es posible abrir varias consolas remotas. Cuando se cierra el cuadro de dilogo Conectar a
equipo remoto, tambin se cierra la conexin al sistema remoto.
Apndice
Acceso a sistemas remotos con VirusScan Enterprise instalado
Para conectarse a sistemas remotos que desee administrar y que tengan instalado VirusScan
Enterprise, utilice Abrir consola remota en Consola de VirusScan.
Tarea
1 En el men Herramientas de la Consola de VirusScan Enterprise 8.8, seleccione Abrir
consola remota.
2 En Conectar a equipo, escriba el nombre del sistema que desee administrar y seleccione
un sistema de la lista, o haga clic en Examinar para localizar el sistema en la red.
NOTA: Si se utilizan variables de entorno al configurar la ruta de acceso del archivo o la
carpeta para una tarea remota, debe comprobarse que la variable de entorno existe en el
sistema remoto. La Consola de VirusScan Enterprise 8.8 no puede validar variables de
entorno en un sistema remoto.
3 Haga clic en Aceptar para intentar conectar con el sistema de destino.
Al conectar con el sistema remoto:
La barra de ttulo cambia y refleja el nombre del equipo.
La consola lee el Registro del sistema remoto y muestra sus tareas.
Es posible aadir, eliminar o volver a configurar las tareas del sistema remoto.
Si descubre que una amenaza potencial no est siendo detectada, o si el analizador detecta
algo que usted cree que no debera detectar como amenaza, con el archivo DAT actual, puede
enviar una muestra de la amenaza a McAfee Labs a travs de WebImmune. McAfee Labs analiza
la muestra y estudia su inclusin o exclusin en el siguiente archivo DAT.
Existen tres modos de enviar una muestra a McAfee Labs: mediante el sitio Web de WebImmune,
por correo electrnico o por correo postal.
WebImmune
1 En Consola de VirusScan, seleccione Ayuda | Envo de una muestra para obtener acceso
al sitio Web, que se encuentra en la siguiente direccin:
https://www.webimmune.net/default.asp.
2 Inicie sesin en su cuenta gratuita, o bien cree una cuenta.
3 Cargue los archivos directamente en los sistemas automticos de McAfee Labs para su
revisin. Los elementos se envan a los analistas de McAfee Labs si se requiere una
investigacin adicional.
Correo electrnico
Puede enviar mensajes de correo electrnico directamente a los sistemas automticos de McAfee
Labs para su revisin. Los elementos se envan a los analistas de McAfee Labs si se requiere
una investigacin adicional.
La direccin de correo electrnico global es virus_research@avertlabs.com.
NOTA: Puede obtener direcciones regionales adicionales en el sitio Web de WebImmune.
Apndice
Correo estndar
Puede obtener la direccin en el sitio Web de WebImmune.
NOTA: Es el mtodo menos recomendable e implica un mayor tiempo para procesar la revisin
de las muestras.
Para obtener acceso a la Biblioteca de amenazas de McAfee Labs desde la Consola de VirusScan
Enterprise 8.8, seleccione Biblioteca de amenazas de McAfee Labs en el men Ayuda. El
navegador de Internet se abre y se conecta a http://vil.nai.com/vil/default.aspx.
Antes de llamar al Soporte Tcnico de McAfee, lea la informacin que aparece en esta seccin.
La seccin contiene procesos y herramientas que puede utilizar para solucionar problemas de
configuracin de VirusScan Enterprise, as como preguntas frecuentes.
Reparacin de la instalacin del producto
Puede haber ocasiones en las que necesite reparar la instalacin de VirusScan Enterprise para
restaurar la configuracin predeterminada, reinstalar los archivos de programa o ambas cosas.
Puede hacerlo desde Consola de VirusScan o desde la lnea de comandos.
Uso de Consola de VirusScan
Con la utilidad Reparar instalacin de la Consola de VirusScan Enterprise 8.8, seleccione
Ayuda | Reparar instalacin.
NOTA: Esta funcin no est disponible desde la consola de ePolicy Orchestrator.
Definicin Opcin
Restablece la instalacin predeterminada de VirusScan Enterprise.
ATENCIN: Pueden perderse los ajustes personalizados.
Restablecer todos los valores
predeterminados de la instalacin
Reinstala los archivos de programa de VirusScan Enterprise.
ATENCIN: Es posible que se sobrescriban los hotfixes, parches y Service
Packs.
Reinstalar todos los archivos de
programa
Uso de SETUPVSE.exe en la lnea de comandos
Para reparar o volver a instalar VirusScan Enterprise desde la lnea de comandos con el comando
SETUPVSE.exe, utilice los comandos indicados a continuacin.
NOTA: Para obtener informacin sobre las opciones de parmetros de la lnea de comandos
REINSTALLMODE, consulte REINSTALLMODE Property (en ingls) en
http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx.
Apndice
Comando Descripcin
SETUPVSE.exe REINSTALLMODE=sec /q Instalar slo archivos de programa
SETUPVSE.exe REINSTALLMODE=secum /q Instalar slo archivos del Registro
SETUPVSE.exe REINSTALLMODE=amus /q Instalar archivos de programa y del
Registro
Uso de msiexec.exe en la lnea de comandos
Para reparar o volver a instalar VirusScan Enterprise desde la lnea de comandos con el comando
msiexec.exe, utilice los comandos indicados a continuacin.
NOTA: Para obtener informacin sobre las opciones de la lnea de comandos msiexec.exe,
consulte Las opciones de lnea de comandos para el msiexec.exe de herramienta de Microsoft
Windows Installer en http://support.microsoft.com/kb/314881.
Comando Descripcin
msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=sa
/q REBOOT=R
Instalar slo archivos de programa
msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=mu
/q REBOOT=R
Instalar slo archivos del Registro
msiexec.exe /I VSE880.msi REINSTALL=ALL
REINSTALLMODE=samu /q REBOOT=R
Instalar archivos de programa y del
Registro
Visualizacin del archivo de registro de actividades en tiempo
real
El archivo de registro de actividades en tiempo real de la Consola de VirusScan muestra el
historial de actualizaciones, la actividad de las amenazas y la respuesta de VirusScan Enterprise.
Esta informacin puede resultar til a la hora de solucionar problemas relacionados con las
actualizaciones automticas y las configuraciones de directivas.
Use uno de los siguientes procesos para obtener acceso a los archivos de registro de actividades
en tiempo real:
NOTA: El archivo de registro de actividades en tiempo real debe estar activado. Para activarlo,
consulte Configuracin general.
Tarea
Para obtener la descripcin de cada opcin, haga clic en Ayuda en cada ficha.
1 En la lista Tarea, haga clic con el botn derecho en Analizador en tiempo real y, a
2 En el cuadro de dilogo Propiedades del analizador en tiempo real, haga clic en la ficha
Informes y, a continuacin, en Ver registro. Aparecer el archivo OnAccessScanLog.txt
Apndice
en una ventana de Notepad. A continuacin se muestra un ejemplo del resultado del archivo
de registro.
3 La tabla siguiente describe los datos incluidos en el archivo OnAccessScanLog.txt anterior:
Descripcin Ejemplo de entrada de registro
Fecha 4/27/2010
Hora 1:35:47 p. m.
Accin tomada Cleaned/Deleted/No Action Taken
(Limpiado/Eliminado/No se ha realizado ninguna accin)
Descripcin de la accin File updated = version, o (Clean failed because...
(Archivo actualizado = versin, o [Error de limpieza
porque...)
Credenciales SRVR\usuario
Ruta y nombre del archivo amenaza C:\WINDOWS\system32\NOTEPAD.EXE
C:\temp\eicar.com
Descripcin del archivo EICAR test file (Test) (Archivo de prueba EICAR [Test])
Las consultas de ePolicy Orchestrator proporcionan una informacin similar. Para obtener ms
informacin, consulte Acceso a consultas y paneles.
Uso de MERTool durante la solucin de problemas
La herramienta McAfee Minimum Escalation Requirements Tool (MERTool) recopila en su equipo
datos de McAfee VirusScan Enterprise y de otros productos de McAfee. La utilizacin de estos
datos permite al Soporte Tcnico de McAfee analizar y resolver los problemas.
La herramienta WebMER se puede descargar con cualquiera de estos formatos de archivo:
EXE
ZIP
ProtectedZip
La informacin recopilada por la herramienta WebMERTool incluye:
Detalles del registro
Detalles de la versin del archivo
Archivos
Registros de eventos
Detalles del proceso
Para poder utilizar la herramienta WebMERTool, haga lo siguiente:
Apndice
Consulte el tutorial Obtaining Minimum Escalation Requirements using McAfee WebMER (en
ingls) que se encuentra en:
https://kc.mcafee.com/corporate/index?page=content&id=TU30146.
Descargue e instale la herramienta desde: http://mer.mcafee.com.
NOTA: Tambin hay disponible una versin desplegable de ePolicy Orchestrator. Esta versin
usa la consola de ePolicy Orchestrator para ejecutar MERTool en equipos cliente con el
objetivo de recopilar registros e informacin durante el diagnstico de problemas sufridos
por los productos McAfee. Descargue la herramienta McAfee MERTool para ePolicy
Orchestrator 4.x (v2.0) desde: http://mer.mcafee.com/enduser/downloadepomer.aspx.
Ejecute la herramienta y enve el resultado al Soporte Tcnico de McAfee.
Desactivacin de VirusScan Enterprise durante la solucin de
problemas
Si se produce un problema en el sistema que podra estar relacionado con los procesos que
VirusScan Enterprise est ejecutando, puede desactivar de forma sistemtica las funciones de
VirusScan Enterprise hasta que se elimine el problema del sistema. De este modo, al menos
podr descartar a VirusScan Enterprise como la causa del problema.
ATENCIN: Tras completar la solucin de problemas, deber reconfigurar o restaurar VirusScan
Enterprise para disponer de nuevo de proteccin total contra malware.
La desactivacin sistemtica de la funcionalidad VirusScan Enterprise se divide en un proceso
que consta de ocho pasos:
1 Desactivacin de la proteccin de desbordamiento del bfer
2 Desactivacin de la proteccin de acceso
3 Desactivacin de ScriptScan
4 Desactivacin del anlisis en tiempo real
5 Desactivacin del anlisis en tiempo real y reinicio
6 Impedimento para la carga de MFEVTP y reinicio
7 Cambio de nombre de mfehidk.sys y reinicio
8 Eliminacin del producto y reinicio
Cada uno de estos ocho pasos se describe en las secciones siguientes. Si desea consultar las
definiciones de las opciones en Consola de VirusScan, haga clic en Ayuda en la interfaz.
Desactivacin de la proteccin de desbordamiento del bfer
Siga estos pasos para desactivar la proteccin de desbordamiento del bfer.
1 En la lista Tareas de la Consola de VirusScan, haga clic con el botn secundario en
Proteccin de desbordamiento del bfer y, a continuacin, en Propiedades.
2 En el cuadro de dilogo de Propiedades, anule la seleccin de Activar proteccin contra
desbordamiento del bfer y, a continuacin, haga clic en Aceptar.
3 El problema original del sistema se ha solucionado al desactivar la proteccin de
desbordamiento del bfer?
S: visite el ServicePortal de Soporte Tcnico de McAfee en http://mysupport.mcafee.com
y busque la solucin, o pngase en contacto con el Soporte Tcnico de McAfee.
No: probablemente, el problema del sistema no est relacionado con esta funcin.
Apndice
Desactivacin de la proteccin de acceso
Siga estos pasos para desactivar la proteccin de acceso.
1 En la lista Tareas de la Consola de VirusScan, haga doble clic en Proteccin de acceso
para abrir el cuadro de dilogo Propiedades de proteccin de acceso.
2 Haga clic en la ficha Proteccin de acceso, anule la seleccin de Activar proteccin
de acceso y haga clic en Aceptar.
3 El problema original del sistema se ha solucionado al desactivar la proteccin de acceso?
No: probablemente, el problema del sistema no est relacionado con VirusScan
Enterprise.
Desactivacin de ScriptScan
Siga estos pasos para desactivar ScriptScan.
1 En la lista Tareas de la Consola de VirusScan, haga clic con el botn secundario en Anlisis
en tiempo real para abrir el cuadro de dilogo Propiedades del anlisis en tiempo real.
2 Haga clic en la ficha ScriptScan, anule la seleccin de Activar el anlisis de secuencias
de comandos y, a continuacin, haga clic en Aceptar.
3 El problema original del sistema se ha solucionado al desactivar ScriptScan?
Enterprise.
Desactivacin del anlisis en tiempo real
Siga estos pasos para desactivar el anlisis en tiempo real.
1 Desactive la proteccin de acceso. En la lista Tareas de la Consola de VirusScan, haga clic
con el botn derecho en Proteccin de acceso y seleccione Desactivar.
2 Cambie el tipo de inicio del applet McShield Services a Desactivado del modo siguiente:
Haga clic en Inicio | Panel de control | Herramientas administrativas | Servicios
para abrir el applet de servicios.
En Servicios (local), desplcese hacia abajo hasta McAfee McShield y haga clic con
el botn secundario en el nombre para abrir el cuadro de dilogo de propiedades de
McAfee McShield.
Haga clic en la ficha General. A continuacin, en la lista Tipo de inicio, haga clic en
Desactivado y luego en Aceptar.
3 En la lista Tarea de la Consola de VirusScan, haga clic con el botn secundario en
Analizador en tiempo real y, a continuacin, haga clic en Desactivar en la lista que
aparece. El icono del analizador en tiempo real debera cambiar e incluir un crculo con una
barra para indicar que la funcin est desactivada.
4 El problema original del sistema se ha solucionado al desactivar el anlisis en tiempo real?
Apndice
Desactivacin del anlisis en tiempo real y reinicio
Siga estos pasos para desactivar el anlisis en tiempo real y reinicio.
NOTA: El proceso siguiente asume que no se ha reactivado el anlisis en tiempo real tras haber
sido desactivado en la seccin anterior.
1 Apague y reinicie el sistema por completo.
2 El problema original del sistema se ha solucionado al desactivar el anlisis en tiempo real
y luego reiniciar?
Impedimento para la carga de MFEVTP y reinicio
Siga estos pasos para impedir que McAfee Validation Trust Protection Service (MFEVTP) se
cargue y, a continuacin, reinicie el sistema:
ATENCIN: Esta seccin contiene informacin sobre la apertura o modificacin del registro.
La informacin siguiente va dirigida a administradores de sistemas. Las modificaciones del
registro son irreversibles y podran provocar un fallo del sistema si se realizan de modo
incorrecto.
Antes de continuar, McAfee recomienda encarecidamente realizar una copia de seguridad
del registro y conocer el proceso de restauracin. Si desea obtener ms informacin, consulte:
http://support.microsoft.com/kb/256986 .
No ejecute un archivo .REG si no est seguro de que sea un archivo de importacin de
registro genuino.
1 En la lnea de comandos, escriba regedit para mostrar la interfaz de usuario del Editor del
Registro.
2 Desplcese hasta el siguiente Registro:
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfevtp]
3 En el panel derecho, haga clic con el botn secundario en Inicio y, a continuacin, haga
clic en Modificar para mostrar el cuadro de dilogo Editar valor DWORD.
4 Introduzca 4 en los datos del valor y haga clic en Aceptar.
5 El problema original del sistema se ha solucionado al impedir que se cargue MFEVTP y
luego reiniciar?
Cambio de nombre del archivo mfehidk.sys y reinicio
Siga estos pasos para cambiar el nombre del archivo mfehidk.sys y reiniciar el sistema.
1 Desplcese al archivo mfehidk.sys. En funcin de su sistema operativo, se encontrar en
una de las carpetas siguientes:
En sistemas operativos de 32 bits: %windir%\System32\drivers
En sistemas operativos de 64 bits: %windir%\System64\drivers
2 Cambie el nombre de archivo mfehidk.sys a, por ejemplo, mfehidk.sys.saved.
Apndice
3 Reinicie el sistema para detener y reiniciar VirusScan Enterprise sin cargar el archivo
mfehidk.sys.
4 El problema original del sistema se ha solucionado al cambiar el nombre del archivo
mfehidk.sys y luego reiniciar?
Enterprise.
Eliminacin del producto y reinicio
Siga estos pasos para eliminar por completo VirusScan Enterprise y reiniciar:
1 Elimine los archivos de programa de VirusScan Enterprise. Si desea obtener instrucciones
detalladas, consulte la Gua de instalacin de McAfee VirusScan Enterprise 8.8.
2 Reinicie el sistema para detener y reiniciar el sistema operativo sin que est instalado
VirusScan Enterprise.
3 El problema original del sistema se ha solucionado al quitar los archivos de programa de
VirusScan Enterprise y luego reiniciar?
S: probablemente, el problema del sistema estaba relacionado con VirusScan Enterprise.
No: visite el ServicePortal de Soporte Tcnico de McAfee en
http://mysupport.mcafee.com y busque la solucin, o pngase en contacto con el
Soporte Tcnico de McAfee.
Herramientas de soporte y solucin de problemas recomendadas
Se recomienda a los administradores globales de VirusScan Enterprise instalar y configurar una
serie de herramientas que resultan tiles a la hora de solucionar problemas y evaluar la seguridad
y el rendimiento del sistema. Cuando se ponga en contacto con el Soporte Tcnico de McAfee,
es posible que se le pida que ejecute algunas de estas herramientas durante la solucin de
problemas de su configuracin. Estas herramientas se pueden descargar en los sitios de Internet
enumerados en las tablas siguientes.
Herramientas de McAfee
La tabla siguiente incluye las herramientas de soporte y solucin de problemas que se pueden
descargar de McAfee.
Sitio de descarga Herramienta
WebMER MERTool
Ofrecido por el Soporte de McAfee ProcessCounts
Ofrecido por el Soporte de McAfee SuperDAT Manager
Ofrecido por el Soporte de McAfee McAfee Profiler
Herramientas de otros distribuidores
La tabla siguiente incluye las herramientas de soporte y solucin de problemas, los archivos
ejecutables y el sitio de descarga.
Apndice
Sitio de descarga Ejecutable Herramienta
Microsoft.com Verifier Driver Verifier
Microsoft.com PerfMon Performance Monitor
Microsoft.com PoolMon Pool Monitor
Microsoft.com ProcMon Process Monitor
Microsoft.com ProcExp Process Explorer
Microsoft.com ProcDump Process Dump
Microsoft.com WinObj Windows Object Viewer
Microsoft.com TCPView TCP Viewer
Microsoft.com DebugView Debug Output Viewer
Microsoft.com WinDbg Windows Debugger
Microsoft.com KrView Kernel Rate Viewer
Microsoft.com Xperf Windows Performance Analysis Tools
Vmware.com Vara VM Converter
Wireshark.org wireshark WireShark
Preguntas ms frecuentes
Esta seccin contiene informacin para la solucin de problemas, en forma de preguntas
frecuentes.
Instalacin
Pregunta: Acabo de instalar el software utilizando el mtodo de instalacin silenciosa y no
hay ningn icono de VirusScan Enterprise en la bandeja del sistema de Windows.
Respuesta: El icono con forma de escudo no aparece en la bandeja del sistema hasta que
ste se reinicia. No obstante, incluso aunque no haya un icono, VirusScan Enterprise est
funcionando y el sistema est protegido. Comprubelo en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ShStatEXE="C:\Program
Files\McAfee\VirusScan Enterprise\SHSTAT.EXE"/STANDALONE.
Pregunta: Por qu algunos usuarios de mi red pueden configurar sus propios ajustes y
otros no pueden?
Respuesta: Es posible que el administrador haya configurado la interfaz de usuario para
que las tareas estn protegidas mediante contrasea. Si es as, los usuarios no pueden
modificar la configuracin. Adems, diferentes sistemas operativos de Windows tienen
distintos privilegios de usuario. Para obtener ms informacin acerca de los privilegios de
usuario, consulte la documentacin de Microsoft Windows.
Programas bloqueados
Pregunta: Instal VirusScan Enterprise y ahora uno de mis programas no funciona.
Respuesta: Es posible que una regla de proteccin de acceso lo haya bloqueado.
1 Revise el archivo de registro de proteccin de acceso para determinar si el programa
est bloqueado por una regla.
Apndice
2 Si encuentra el programa en la lista del registro, puede introducirlo como exclusin a
la regla, o desactivar la regla. Consulte Proteccin de los puntos de acceso del sistema
para obtener ms informacin.
Detecciones de cookies
Pregunta: Al revisar las detecciones de cookies en el registro de actividades del anlisis
bajo demanda, observo que la deteccin de nombres de archivos es siempre 00000000.ie
para cada deteccin. Por qu VirusScan Enterprise asigna el mismo nombre de archivo para
todas las detecciones de cookies del anlisis bajo demanda, cuando otros programas asignan
un nombre de archivo individual o incremental para cada deteccin de cookies?
Respuesta: VirusScan Enterprise asigna el mismo nombre de archivo a cada deteccin de
cookies debido a la forma en que el analizador bajo demanda detecta las cookies y acta
sobre ellas. Este comportamiento slo se aplica a las cookies detectadas por los anlisis bajo
demanda. Un archivo de cookies puede contener muchas cookies. El motor de anlisis trata
un archivo de cookies igual que un archivo de almacenamiento y le asigna un valor como
desplazamiento, desde el inicio del archivo (comenzando por cero). Debido a que el analizador
utiliza el motor de anlisis para detectar y realizar acciones sobre cada cookie detectada
antes de proceder a realizar el anlisis, vuelve a empezar con el valor en cero para cada
deteccin. El resultado es que a cada deteccin se le asigna el nombre de archivo
00000000.ie. Otros productos detectan todas las cookies, le asignan a cada una un nombre
de archivo individual o incremental y, a continuacin, llevan a cabo acciones sobre cada una
de las detecciones.
General
Pregunta: En mi sistema VirusScan Enterprise independiente, el icono de sistema de la
bandeja del sistema aparece como desactivado.
Respuesta: Si hay un crculo rojo y una lnea que cubre el icono de VirusScan Enterprise,
significa que el analizador en tiempo real est desactivado. Estas son las causas ms comunes,
y sus soluciones. Si ninguna de ellas resuelve su problema, solicite asistencia tcnica:
1 Asegrese de que el analizador en tiempo real est activado. Haga clic con el botn
secundario en el icono de VirusScan Enterprise situado en la bandeja del sistema. Si el
analizador en tiempo real est desactivado, haga clic en Activar anlisis en tiempo
real.
2 Asegrese de que el servicio McShield funciona.
Inicie el servicio manualmente desde el panel de control de servicios.
Seleccione Inicio | Ejecutar y, a continuacin, escriba Net Start McShield.
Establezca que el servicio arranque automticamente desde el panel de control de
servicios.
Pregunta: Obtengo un error que indica que no puedo descargar CATALOG.Z.
Respuesta: Este error puede tener varios orgenes. A continuacin detallamos unas cuantas
sugerencias para ayudar a determinar el origen del problema:
Si utiliza el sitio de descargas predeterminado de McAfee para obtener las actualizaciones,
determine si puede descargar el archivo CATALOG.Z a travs de un explorador Web.
Intente descargar el archivo de este sitio Web:
http://update.nai.com/Products/CommonUpdater/catalog.z.
Apndice
Si ve el archivo pero no puede descargarlo (en otras palabras, si su explorador no le
permite descargarlo), significa que tiene un problema con el proxy y que tiene que hablar
con el administrador de la red.
Si puede descargarlo, VirusScan Enterprise debera poder descargarlo tambin. Pngase
en contacto con el soporte tcnico para obtener asistencia a la hora de solucionar
problemas con la instalacin de VirusScan Enterprise.
Pregunta: Cul es la ubicacin del sitio de descargas HTTP?
Respuesta:
El sitio de descargas de McAfee se encuentra en: http://www.mcafee.com/us/downloads/.
El archivo CATALOG.Z, que contiene las ltimas actualizaciones, se puede descargar
desde este sitio Web: http://update.nai.com/Products/CommonUpdater/catalog.z.
Pregunta: Cul es la ubicacin del sitio de descargas FTP?
Respuesta:
El sitio de descargas de FTP se encuentra en:
ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x.
El archivo CATALOG.Z, que contiene las ltimas actualizaciones, se puede descargar
desde este sitio: ftp://ftp.mcafee.com/CommonUpdater/catalog.z.
Pregunta: Si detecto un programa potencialmente no deseado y he elegido consultar al
usuario antes de actuar, qu accin debera elegir (Limpiar o Eliminar)?
Respuesta: Nuestra recomendacin general es elegir Limpiar si no est seguro de qu
hacer con un archivo detectado. Los analizadores en tiempo real y bajo demanda realizan
automticamente una copia de seguridad de los elementos en el directorio de cuarentena
antes de limpiarlos o eliminarlos.
Apndice
ndice
A
AccessProtectionLog.txt, registro de actividad 92
acciones, VirusScan Enterprise
anlisis bajo demanda 72, 82
anlisis de correo electrnico 82
anlisis en tiempo real 79, 81
detecciones de desbordamiento del bfer 80
elementos en cuarentena 82
infracciones de acceso 26
programas no deseados 81
proteccin de acceso 80
respuesta a una amenaza 88, 92
actualizacin del anlisis
estrategias 47
actualizacin del motor
AutoUpdate, descripcin general del proceso 48
estrategias 47
importancia 47
actualizacin, VirusScan Enterprise
AutoUpdate 48
descripcin general del proceso 48
estrategias 47
requisitos 47
sitios de actualizacin 48
tarea de actualizacin 47
tareas 47
adware (Consulte programas no deseados) 41
ajuste, VirusScan Enterprise
elementos para analizar, agregacin y exclusin 53
Alert Manager
configuracin de alertas 85
eventos 26
alerta de Mensajes de anlisis en tiempo real 56
alertas, VirusScan Enterprise
anlisis bajo demanda 72
anlisis en tiempo real 56
configuracin 85
descripcin general 85
amenaza
anlisis de ePolicy Orchestrator 4.0 95
anlisis de ePolicy Orchestrator 4.5 y 4.6 95
anlisis de la Consola de VirusScan 96
amenazas
envo de muestras 103
acceso a la Biblioteca de amenazas 104
anlisis, descripcin general 94
anlisis, ejemplos 94
cmo detener 21
desbordamiento del bfer 80
amenazas (continuacin)
detecciones en tiempo real y acciones 79
elementos en cuarentena 82
estrategia de prevencin 11
responder a 88, 92
anlisis
agregacin y exclusin de elementos de anlisis 53
anlisis de correo electrnico (Consulte anlisis de correo
electrnico) 76
bajo demanda (Consulte anlisis bajo demanda) 68, 69
en tiempo real (Consulte anlisis en tiempo real) 56
exclusiones, especificacin 53
registros de actividades 81
utilizacin de comodines para especificar elementos de anlisis
53
anlisis bajo demanda
opciones de la lnea de comandos 99
anlisis de almacenamiento remoto 69
aplazamiento de anlisis 70
configuracin con ePolicy Orchestrator 4.0 71
configuracin con ePolicy Orchestrator 4.5 o 4.6 71
configuracin con la Consola de VirusScan 72
configuracin de tareas 72
detecciones y acciones 82
exclusiones 72
incremental, reanudable, en memoria 69
mtodos 69
utilizacin del sistema 70
anlisis de almacenamiento remoto, descripcin general 69
anlisis de correo electrnico
configuracin 76
programas no deseados, activacin con la Consola de VirusScan
45
programas no deseados, activacin mediante ePolicy Orchestrator
4.0 45
4.5 o 4.6 44
programas no deseados, descripcin general 44
anlisis de correo electrnico durante la recepcin
alertas y notificaciones 85
anlisis de secuencias de comandos (Consulte anlisis en tiempo real)
58
anlisis en tiempo real
archivo de registro de actividades 105
configuracin con ePolicy Orchestrator 4.5 y 4.6 63
desactivacin durante la solucin de problemas 107
anlisis de secuencias de comandos 58
configuracin de procesos 63
configuracin general y de proceso 59
decidir sobre la cantidad de directivas de anlisis 59
anlisis en tiempo real (continuacin)
detecciones y acciones 79, 81
directivas de anlisis 59
leer en el disco frente a escribir en el disco 57, 58
programas no deseados, activacin con la Consola de VirusScan
45
4.0 45
4.5 o 4.6 44
programas no deseados, descripcin general 44
analizador bajo demanda
programas no deseados, configuracin (Vase Configuracin de
tareas de anlisis bajo demanda) 41
ancho de banda y estrategias de actualizacin 47
aplazamiento de anlisis, descripcin general 70
archivo CATALOG.Z
solucin de problemas 111
actualizacin codificada 48
archivo mfehidk.sys, cambio de nombre durante la solucin de
problemas 107
archivos DAT
anlisis de secuencias de comandos y 58
archivos EXTRA.DAT, actualizacin 48
definiciones de deteccin 46
descripcin general de componentes de VirusScan Enterprise 10
detecciones y acciones definidas 79
estrategias de actualizacin 47
importancia de actualizar 47
planificacin de despliegues 47
reversin, configuracin 52
reversin, descripcin general 52
tareas de actualizacin, acerca de 48
archivos DAT de emergencia
archivos de registro, VirusScan Enterprise
anlisis bajo demanda y 72
anlisis de correo electrnico y 76
ver registros de actividad, VirusScan Enterprise 92
archivos EXTRA.DAT (Vase archivos DAT de emergencia) 89
archivos EXTRA.DAT (Vase DAT de emergencia) 48
archivos y carpetas
opciones de bloqueo 34
restringir acceso 27
Artemis
bsqueda de archivos sospechosos en la red heurstica 10
AutoUpdate
configuracin 49
descripcin general del proceso 48
estrategias para las actualizaciones de VSE 47
lista de repositorios 51
repositorios, conectarse a 48
requisitos 47
B
bandeja del sistema
funciones del botn secundario 14
iconos 15
opciones del men 15
barra de estado, Consola de VirusScan 13
barra de herramientas, Consola de VirusScan 13
barra de mens, Consola de VirusScan 13
BufferOverflowProtectionLog.txt, registro de actividad 92
C
cach
cach de anlisis
cach, configuracin 73
claves del registro
opciones 34
restringir acceso 27
comodines, utilizacin en elementos de anlisis 53
componentes
Consola de VirusScan 13
de VirusScan Enterprise 10
ilustracin 10
configuracin de procesos
configuracin, VirusScan Enterprise
general y de proceso, definida 59
general, configuracin con ePolicy Orchestrator 4.0 61
general, configuracin con ePolicy Orchestrator 4.5 o 4.6 60
general, configuracin con la Consola de VirusScan 62
anlisis de amenazas 96
consola remota
acceso a sistemas remotos 103
consultas, VirusScan Enterprise
acceso desde la barra de navegacin ePolicy Orchestrator, informes
88
predefinidos, lista de 88
supervisin de la actividad 88, 92
contraseas
control del acceso a la interfaz de VSE 22
Directiva sobre las opciones de la interfaz de usuario 23
proteccin de archivos de la libreta de direcciones 25
convenciones empleadas en esta gua 6
cuarentenas, VirusScan Enterprise
directiva de cuarentena 83
cuentas de usuario, control de acceso a la interfaz de VirusScan
Enterprise 22
D
despliegue
planificacin de las tareas de actualizacin de VSE 47
requisitos para actualizar 47
destinatarios de esta gua 6
detecciones
acciones como respuesta a 79
ndice
detecciones (continuacin)
anlisis de correo electrnico 76, 82
desbordamiento del bfer 80
responder a 88, 92
detecciones de amenazas (Consulte amenazas) 76
directiva de programas no deseados
exclusiones 42
directivas, VirusScan Enterprise
directivas de alerta 85
directivas del anlisis del correo electrnico durante la recepcin
76
opciones generales 23
programas no deseados 41, 81
documentacin
organizacin 7
convenciones tipogrficas 6
documentacin de productos, bsqueda 8
E
en unidades de red
ePolicy Orchestrator
recuperacin de archivos DAT 46
versiones compatibles 9
componente de VirusScan Enterprise 10
tareas de servidor, configuracin de ejemplo 98
tareas de servidor, descripcin general 97
acceso a consultas y paneles 88
configuracin de la tarea de AutoUpdate 49
configuracin de la tarea de duplicacin 50
configuracin de tareas de anlisis bajo demanda 71
ejemplo de anlisis de proteccin de amenazas 95
ePolicy Orchestrator 4.5 y 4.6
acceso a consultas y paneles 88
configuracin de la tarea de AutoUpdate 49
configuracin de la tarea de duplicacin 50
configuracin de tareas de anlisis bajo demanda 71
ejemplo de anlisis de proteccin de amenazas 95
eventos,VirusScan Enterprise
Alert Manager 26
exclusiones
elementos para excluir 53
identificacin de procesos para 80
utilizacin de comodines para especificar elementos de anlisis
53
Explorador de Windows
extensiones de tipo de archivo
elementos para excluir 53
F
falsos positivos
creacin de exclusiones para reducir 80
ficha Acciones, VirusScan Enterprise
ficha Acciones, VirusScan Enterprise (continuacin)
anlisis de correo electrnico durante la recepcin 76, 78
ficha Alertas, VirusScan Enterprise
ficha Bloqueo, VirusScan Enterprise
ficha Configuracin de Notes Scanner, VirusScan Enterprise
ficha Configuracin del proxy, VirusScan Enterprise 51
ficha Duplicacin, VirusScan Enterprise 50
ficha Elementos de anlisis, VirusScan Enterprise
anlisis en tiempo real 57, 63, 65
anlisis en tiempo real 57, 63, 65
configurcin de una directiva de programas no deseados con
ePolicy Orchestrator 4.0 42
configurcin de una directiva de programas no deseados con
ePolicy Orchestrator 4.5 o 4.6 42
configurcin de una directiva de programas no deseados con la
Consola de VirusScan 43
directiva de programas no deseados 42
ficha Exclusiones, VirusScan Enterprise
ficha General, VirusScan Enterprise
ficha Informes, VirusScan Enterprise
Estadsticas del anlisis en tiempo real 96
ficha Mensajes, VirusScan Enterprise
ficha Planificacin, VirusScan Enterprise 54
ficha Procesos, VirusScan Enterprise
ficha Rendimiento, VirusScan Enterprise
ficha Repositorios, VirusScan Enterprise 51
ficha ScriptScan, VirusScan Enterprise
ficha Tarea, VirusScan Enterprise
planificar tareas 54
programacin de anlisis bajo demanda 72
ficha Ubicaciones de anlisis, VirusScan Enterprise 72
funcin Abrir consola remota, VirusScan Enterprise
acceso a sistemas remotos 103
H
heurstica para buscar archivos sospechosos (Vase Artemis) 58
I
icono de la bandeja del sistema
configuracin del acceso a la interfaz de VirusScan Enterprise 23
infracciones de acceso y 26
iconos, bandeja del sistema 15
informes
acceso a las consultas 88
actividad de anlisis bajo demanda 72
anlisis de amenazas 94
configuracin de registro de VirusScan Enterprise 76
ndice
K
KnowledgeBase, Technical Support ServicePortal 8
L
lnea de comandos
opciones de anlisis bajo demanda 99
opciones de la tarea de actualizacin 101
uso para configuracin del producto 99
lista de repositorios
configuracin 51
AutoUpdate 51
lista de tareas, Consola de VirusScan 13
M
marcadores (Consulte programas no deseados) 41
McAfee Agent
iconos y versin 15
McAfee Labs
enviar una muestra 81
envo de muestras 103
acceso 13
acceso a la Biblioteca de amenazas 104
Artemis enva una huella digital a 58
McAfee Minimum Escalation Requirements Tool (MERTool) 106
McAfee ServicePortal, acceso 8
MERTool (consulte McAfee Minimum Escalation Requirements Tool
(MERTool)) 106
MFEVTP (Consulte el servicio McAfee Validation Trust Protection) 107
MirrorLog.txt, registro de actividad 92
motor de anlisis
importancia de actualizar 47
msiexec.exe, comando de instalacin de comandos 104
N
notificaciones, VirusScan Enterprise
configuracin 85
O
Oficinas centrales de McAfee, componente de VirusScan Enterprise 10
OnAccessScanLog.txt, registro de actividad 92
OnDemandScanLog.txt, registro de actividad 92
opcin Aplazar como mximo, VirusScan Enterprise 70
opcin Configuracin de anlisis global, VirusScan Enterprise 73
opcin de utilizacin del sistema, descripcin general 70
opcin En unidades de red, VirusScan Enterprise 57
opcin Tipos de archivos predeterminados y adicionales, VirusScan
Enterprise 58
opcin Todos los archivos, VirusScan Enterprise 58
P
paneles
predefinidos, acceso 88
supervisin de la actividad 88, 92
paquetes SuperDAT
descarga 90
instalacin en un repositorio de ePolicy Orchestrator 90
planificacin
tareas 54
planificacin de tareas
configuracin 54
intervalo bajo demanda recomendado 54
prcticas recomendadas
eliminar los archivos EXTRA.DAT de repositorios 48
estrategias para las actualizaciones de VSE 47
preguntas ms frecuentes 111
procesos
inclusin y exclusin 35
procesos de alto riesgo
configuracin 59
configuracin de VirusScan Enterprise 59
procesos de bajo riesgo
configuracin 59
configuracin de VirusScan Enterprise 59
procesos, VirusScan Enterprise
anlisis de proceso en memoria 69
anlisis de secuencias de comandos 58
anlisis incremental o reanudable 69
predeterminados, configuracin 59
riesgo bajo y riesgo alto 59
programas no deseados
acciones y anlisis bajo demanda 72
anlisis de correo electrnico, acciones 76
configuracin de la directiva para 41
programas potencialmente no deseados (Consulte programas no
deseados) 41
Programas potencialmente no deseados (PUP) (Consulte programas
no deseados) 41
proteccin contra desbordamiento del bfer
alertas y notificaciones 85
bloqueo de vulnerabilidades 37
vulnerabilidades, descripcin general 37
proteccin de acceso
descripcin general 20, 25
directivas, descripcin general 27
ejemplo de amenaza 21
ejemplo de informe de registro 21
eliminacin de reglas que no se utilizan 35, 36, 37
exclusin de procesos 35
introduccin 25
proteccin de mquina virtual 25
proteccin estndar y mxima 25
protocolos, restriccin 27
reglas comunes 25
reglas comunes y antivirus 28
reglas de bloqueo de archivos y carpetas 34
reglas de bloqueo de puertos 33
reglas de bloqueo de registros 34
reglas definidas por el usuario 25, 27, 30, 31, 32
reglas preconfiguradas 25
tipos de reglas 25
puertos
bloqueo del trfico de red en 25, 27
proteccin de acceso, opciones 33
ndice
R
registros de actividad, VirusScan Enterprise
anlisis bajo demanda y 72, 82
anlisis de correo electrnico y 76, 82
revisin 81
uso 92
visualizacin 105
reglas antispyware
configuracin de la proteccin de acceso 28
reglas antivirus
proteccin de acceso preconfigurado 25
reglas comunes
proteccin de acceso, configuracin 28
proteccin estndar y mxima 25
reglas de proteccin comn
reglas de proteccin de mquina virtual
reglas definidas por el usuario
proteccin de acceso 30, 31, 32
tipos 27
reglas definidas por el usuario, proteccin de acceso 25
reglas, VirusScan Enterprise
antivirus 28
bloqueo de archivos y carpetas 34
bloqueo de puertos 33
definidas por el usuario, tipos de 27
eliminacin de no utilizadas 35, 36, 37
opciones de bloqueo de registro 34
repositorio DAT
repositorios
AutoUpdate, conectarse a 48
central, utilizacin para las actualizaciones de VSE 47
eliminar los archivos EXTRA.DAT de 48
reversin de archivos DAT, VirusScan Enterprise 52
S
scriptscan, desactivacin durante la solucin de problemas 107
SDAT (Vase paquetes SuperDAT) 89
seguridad de la interfaz de usuario
configuracin 23
contraseas y 22
ServicePortal, bsqueda de documentacin del producto 8
Servicio McAfee Validation Trust Protection, desactivacin durante la
SETUPVSE.exe, comando de instalacin de comandos 104
sistema cliente, componente de VirusScan Enterprise 10
SITELIST.XML (Vase lista de repositorios) 51
sitio Web WebImmune 103
solucin de problemas, VirusScan Enterprise
apndice 104
desactivacin de componentes 107
herramientas recomendadas 110
spyware (Consulte programas no deseados) 41
supervisin, VirusScan Enterprise
herramientas 92
T
tarea
AutoUpdate 49
actualizacin 48
duplicacin 49
planificacin 54
tarea de actualizacin, opciones de lnea de comandos 101
tarea de duplicacin
configuracin 50
tareas de servidor
ePolicy Orchestrator, descripcin general 97
ePolicy Orchestrator, configuracin de ejemplo 98
Technical Support ServicePortal
en McAfee 8
uso de MERTool 106
U
unidades de red
configuracin, descripcin general 66
UpdateLog.txt, registro de actividad 92
V
VirusScan Enterprise
eliminacin durante la solucin de problemas 107
reparacin de la instalacin 104
actualizacin 47, 48
actualizacin, requisitos 47
configuracin general, configuracin con ePolicy Orchestrator 4.0
61
configuracin general, configuracin con ePolicy Orchestrator 4.5
o 4.6 60
configuracin general, configuracin con la Consola de VirusScan
62
configuracin general, parmetros 60
configuracin inicial 18
descripcin general del producto 9
directiva de programas no deseados 41
elementos para excluir, agregacin y exclusin 53
eliminacin de reglas que no se utilizan 35, 36, 37
notificaciones y alertas 85
proteccin de acceso 25, 26
seguridad de la interfaz de usuario 22
W
Windows
proteccin de archivos, exclusiones 53
ndice

Vse 880 Product Guide Es-Es

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Vse 880 Product Guide Es-Es

Transféré par

Droits d'auteur :

Formats disponibles

Software de McAfee VirusScan Enterprise 8.

, versin 4.0 y posteriores para gestionar y

Configuracin rpida | Anlisis de virus en tiempo real - Desactivado: no

"M" en un cuadrado: estado normal.

"M" en un cuadrado con un signo de exclamacin: indica que se ha activado un

"V" en un icono con forma de escudo: normal.

"V" en un escudo con un crculo y una lnea: McAfee OAS: desactivado.

Vous aimerez peut-être aussi