Upload
vulien
View
218
Download
0
Embed Size (px)
Citation preview
Guía del producto
McAfee Endpoint Security 10
COPYRIGHTCopyright © 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa.
ATRIBUCIONES DE MARCAS COMERCIALESMcAfee, el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone,Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection,TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU.y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener informaciónsobre los productos y las funciones más recientes.
INFORMACIÓN DE LICENCIA
Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2 McAfee Endpoint Security 10 Guía del producto
Contenido
McAfee Endpoint Security 5
1 Introducción 7Módulos Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Cómo Endpoint Security protege su equipo . . . . . . . . . . . . . . . . . . . . . . . . 8
Cómo se mantiene actualizada su protección . . . . . . . . . . . . . . . . . . . . 8Interacción con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Acerca del icono de la bandeja del sistema McAfee . . . . . . . . . . . . . . . . . 10Acerca de los mensajes de notificación . . . . . . . . . . . . . . . . . . . . . . 10Acerca de Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . 11
2 Mediante Endpoint Security Client 17Abra Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Responder a avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Responder a un aviso de detección de amenaza . . . . . . . . . . . . . . . . . . 18Responder a aviso de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Introduzca información sobre su protección . . . . . . . . . . . . . . . . . . . . . . . 19Tipos de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Actualizar protección y software manualmente . . . . . . . . . . . . . . . . . . . . . . 20Ver el Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Acerca de los archivos de registro . . . . . . . . . . . . . . . . . . . . . . . . 22Administrar Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Iniciar sesión como administrador . . . . . . . . . . . . . . . . . . . . . . . . 24Desbloquear la interfaz de cliente . . . . . . . . . . . . . . . . . . . . . . . . 24Desactivar y activar funciones . . . . . . . . . . . . . . . . . . . . . . . . . 25Cambiar versión de AMCore content . . . . . . . . . . . . . . . . . . . . . . . 25Utilice archivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Configurar parámetros comunes . . . . . . . . . . . . . . . . . . . . . . . . . 27
3 Mediante Threat Prevention 35Analizar el equipo en busca de malware . . . . . . . . . . . . . . . . . . . . . . . . 35
Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Ejecutar un Análisis completo o Análisis rápido . . . . . . . . . . . . . . . . . . . 36Analizar un archivo o carpeta . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Administrar detecciones de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . 39Administrar elementos en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . 39
Nombres de detecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Administrar Threat Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Excluir elementos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 42Detección de programas potencialmente no deseados . . . . . . . . . . . . . . . . 44Configure la Protección de acceso . . . . . . . . . . . . . . . . . . . . . . . . 46Configurar Prevención de exploit . . . . . . . . . . . . . . . . . . . . . . . . 49Configure Análisis en tiempo real . . . . . . . . . . . . . . . . . . . . . . . . 50Configure Análisis bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . 55
McAfee Endpoint Security 10 Guía del producto 3
Planifique las tareas Análisis completo y Análisis rápido . . . . . . . . . . . . . . . 60Configurar parámetros de análisis comunes . . . . . . . . . . . . . . . . . . . . 60
4 Usar Firewall 63Cómo funciona el Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Administrar Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Modificar opciones de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 64Administración de directivas y grupos de Firewall . . . . . . . . . . . . . . . . . . 66
5 Usar Web Control 77Acerca deWeb Control funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
El botón Web Control identifica las amenazas durante la navegación . . . . . . . . . . 78Los iconos de seguridad identifican las amenazas durante la búsqueda . . . . . . . . . 79Los informes de sitio web proporcionan detalles . . . . . . . . . . . . . . . . . . 79Modo de compilación de las clasificaciones de seguridad . . . . . . . . . . . . . . . 80
Acceder a las funciones de Web Control . . . . . . . . . . . . . . . . . . . . . . . . . 81Acceder a las funciones mientras navega por Internet . . . . . . . . . . . . . . . . 81Ver informe de sitio web durante la búsqueda . . . . . . . . . . . . . . . . . . . 82Ver informes del sitio web . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Solucionar problemas de comunicación . . . . . . . . . . . . . . . . . . . . . . 83
Administrar Web Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configurar opciones de Web Control . . . . . . . . . . . . . . . . . . . . . . . 84Especifique acciones de calificación y bloquee el acceso a sitios web según la categoría web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Índice 135
Contenido
4 McAfee Endpoint Security 10 Guía del producto
McAfee Endpoint Security
McAfee®
Endpoint Security es una exhaustiva solución de administración de la seguridad que seejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayudase explica cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Introducción
• Módulos Endpoint Security en la página 7
• Cómo Endpoint Security protege su equipo en la página 8
• Interacción con Endpoint Security en la página 9
Tareas frecuentes
• Abra Endpoint Security Client en la página 17
• Actualizar protección y software manualmente en la página 20
• Analizar el equipo en busca de malware en la página 35
• Desbloquear la interfaz de cliente en la página 24
Más información
Para acceder a la información adicional de este producto, consulte:
• McAfee Endpoint Security Guía de instalación
• Notas de la versión de McAfee Endpoint Security
• Ayuda de Endpoint Security Threat Prevention
• Ayuda de Endpoint Security Firewall
• Ayuda de Endpoint Security Web Control
• Soporte de McAfee
McAfee Endpoint Security 10 Guía del producto 5
McAfee Endpoint Security
6 McAfee Endpoint Security 10 Guía del producto
1 Introducción
Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en losequipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explicacómo utilizar las funciones de seguridad básicas y solucionar problemas.
Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno deestos servidores de administración:
• McAfee® ePolicy Orchestrator® (McAfee ePO™)
• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)
• McAfee® SecurityCenter
Si su equipo está autogestionado, usted (o su administrador) deberán configurar el software medianteEndpoint Security Client.
Contenido Módulos Endpoint Security Cómo Endpoint Security protege su equipo Interacción con Endpoint Security
Módulos Endpoint SecurityEl administrador configura e instala uno o más módulos de Endpoint Security en los equipos cliente.
• Threat Prevention : comprueba la existencia de virus, spyware, programas no deseados y otrasamenazas analizando los elementos, ya sea automáticamente cuando los usuarios acceden a elloso bajo demanda en cualquier momento.
• Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o de Internet.Intercepta las comunicaciones sospechosas.
• Web Control : muestra clasificaciones de seguridad e informes sobre sitios web durante lanavegación y la búsqueda online. Web Control: permite al administrador del sitio web bloquear elacceso a los sitios web basándose en la calificación de seguridad o contenido.
Adicionalmente, el módulo Common proporciona la configuración para las funciones comunes, talescomo la seguridad de interfaz y el registro. Esta módulo se instala automáticamente si se instalacualquier otro módulo.
1
McAfee Endpoint Security 10 Guía del producto 7
Cómo Endpoint Security protege su equipoTípicamente, un administrador configura Endpoint Security, instala el software en los equipos cliente,supervisa el estado de seguridad y establece las reglas de seguridad, llamadas directivas.
Como usuario de un equipo cliente, usted interactúa con Endpoint Security a través del softwarecliente instalado en su equipo. Las directivas configuradas por el administrador determinan cómoactúan los módulos y funciones en el equipo y si usted puede modificarlas o no.
Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y funciones. Paradeterminar el tipo de administración, consulte la página Acerca de.
Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin deactualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que hayaencontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informespara el administrador sobre las detecciones y los problemas de seguridad del equipo.
Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. Noobstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posibleque desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca demalware. Dependiendo de las directivas configuradas por el administrador, es posible que usted puedapersonalizar la configuración de seguridad.
Si actúa como administrador, podrá administrar y configurar de manera centralizada el software clientemediante McAfee ePO, McAfee ePO Cloud o SecurityCenter.
Véase también Introduzca información sobre su protección en la página 19
Cómo se mantiene actualizada su protecciónLas actualizaciones regulares de Endpoint Security le aseguran que su equipo siempre está protegidocontra las últimas amenazas.
Para realizar actualizaciones, el software cliente se conecta a McAfee ePO local o remotamente, odirectamente a un sitio web en Internet. Endpoint Security realiza las siguientes comprobaciones:
• Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos decontenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones seactualizan a medida que se descubren nuevas amenazas.
• Ampliaciones de los componentes de software, como parches y hotfixes.
En sistemas autogestionados, la tarea Actualización cliente predeterminado actualiza todo el contenidoy el software. En sistemas gestionados, esta tarea solo actualiza el contenido.
Para simplificar la terminología, esta Ayuda se refiere tanto a actualizaciones como a ampliacionescomo actualizaciones.
Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar sihay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su
protección desde Endpoint Security Client haciendo clic en .
Véase también Actualizar protección y software manualmente en la página 20
1 IntroducciónCómo Endpoint Security protege su equipo
8 McAfee Endpoint Security 10 Guía del producto
Cómo funcionan los archivos de contenidoCuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esosarchivos con información sobre amenazas conocidas almacenada en los archivos de AMCore content.Prevención de exploits utiliza sus propios archivos de contenido para protegerse contra exploits.
AMCore contentMcAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos decontenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza yreparación del daño que el virus detectado pueda causar.
Si la firma de un virus no está en ninguno de los archivos de contenido instalados, el motor de análisisno puede detectar y limpiar ese virus.
Periódicamente aparecen nuevas amenazas. McAfee Labs publica actualizaciones de motor y nuevosarchivos de contenido que incorporan los resultados de investigaciones sobre amenazas en curso, cadadía sobre las 6:00 p.m. (GMT).
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anterioresen la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restauraruna versión anterior.
Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección fuera de laplanificación de actualizaciones de archivos de contenido, McAfee Labs facilita un archivo Extra.DAT.
Contenido de prevención de exploitsEl contenido de prevención de exploits incluye:
• Firmas de protección de la memoria: protección genérica contra desbordamiento del búfer (GBOP)y Kevlar.
• Lista de protección de aplicaciones: procesos protegidos por la prevención de exploits.
McAfee publica nuevos archivos de contenido de prevención de exploits una vez al mes.
Interacción con Endpoint SecurityEndpoint Security proporciona componentes visuales para la interacción con Endpoint Security Client.
• El icono McAfee en la bandeja del sistema de Windows: le permite iniciar Endpoint Security Client yver el estado de seguridad.
• Mensajes de notificación: le alertan de las detecciones de intrusiones de análisis y firewall y lesolicitarán datos.
• Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo realdetecta una amenaza.
• Endpoint Security Client: muestra el estado actual de la protección y proporciona acceso a lasfunciones.
Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar quécomponentes aparecen.
Véase también Acerca del icono de la bandeja del sistema McAfee en la página 10Acerca de los mensajes de notificación en la página 10Administrar detecciones de amenazas en la página 39Acerca de Endpoint Security Client en la página 11
IntroducciónInteracción con Endpoint Security 1
McAfee Endpoint Security 10 Guía del producto 9
Acerca del icono de la bandeja del sistema McAfeeEl icono McAfee en la bandeja del sistema de Windows proporciona acceso a Endpoint Security Client.
El icono McAfee podría no estar disponible, dependiendo de como se haya ajustado la configuración.
Use el icono de la bandeja del sistema para:
• Comprobar el estado de seguridad: haga clic con el botón derecho en el icono y seleccione Ver estadode seguridad para mostrar la página Estado de seguridad de McAfee.
• Abrir Endpoint Security Client: haga clic con el botón derecho en el icono y seleccione McAfee EndpointSecurity.
Modo en que el icono indica el estado de Endpoint Security
El aspecto del icono cambia para indicar el estado de Endpoint Security. Coloque el cursor del ratónsobre el icono para ver un mensaje que describe el estado.
Icono Indica...
Endpoint Security está protegiendo su sistema y no hay problemas.
Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnologíadesactivados.• Firewall está desactivado.
• Threat Prevention: prevención de exploit, análisis en tiempo real o ScriptScan estándesactivados.
Endpoint Security informa de los problemas de forma distinta dependiendo del tipo deadministración.
Autogestionado Una o más tecnologías están desactivadas.
Gestionado Una o más tecnologías se han desactivado manualmente, no comoresultado de la implementación de directivas desde el servidor deadministración.
Cuando se detecta un problema, la página Estado de seguridad de McAfee indica qué módulo otecnología está desactivado.
Acerca de los mensajes de notificaciónEndpoint Security usa dos tipos de mensajes para notificarle los problemas de su protección o parapedirle datos. Algunos mensajes podrían no aparecer, según se ajuste la configuración.
Endpoint Security envía dos tipos de notificaciones:
• Alertas emergentes que aparecen desde el icono McAfee durante cinco segundos y luegodesaparecen.
Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión deFirewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ningunaacción.
• Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta queseleccione una opción.
1 IntroducciónInteracción con Endpoint Security
10 McAfee Endpoint Security 10 Guía del producto
Por ejemplo:
• Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podríapedirle que aplace el análisis.
• Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a ladetección.
En el modo Metro de Windows 8, las notificaciones de alerta aparecen en la esquina superior derechade la pantalla para notificarle las detecciones de amenaza. Haga clic en la notificación de alerta paramostrar la notificación en modo Escritorio.
El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre las alertas y avisos.
Véase también Responder a un aviso de detección de amenaza en la página 18Responder a aviso de análisis en la página 19
Acerca de Endpoint Security ClientEl Endpoint Security Client le permite comprobar el estado de la protección y funciones de acceso ensu equipo.
• Las opciones en el menú Acción proporcionan acceso a las funciones.
Configuración Ajustar la configuración de las funciones.Esta opción de menú está disponible si alguna de las siguientes es verdadera:
• El Modo de interfaz de cliente está establecido en Acceso total.
• Ha iniciado sesión como administrador.
Cargar Extra.DAT Le permite instalar un archivo descargado Extra.DAT.
Revertir AMCorecontent
Revierte AMCore content a una versión anterior.Esta opción de menú está disponible si existe en el sistema una versión previade AMCore content y alguna de las siguientes es verdadera:
• El Modo de interfaz de cliente está establecido en Acceso total.
• Ha iniciado sesión como administrador.
Ayuda Muestra Ayuda.
Asistencia técnica Muestra una página con vínculos a páginas útiles, como el McAfeeServicePortal y Centro de conocimiento.
Inicio de sesión deadministrador
Inicia sesión como administrador del sitio web. (Requiere credenciales deadministrador.)La contraseña predeterminada es mcafee.
Esta opción del menú está disponible si el Modo de interfaz de cliente no estáestablecido en Acceso total. Si ya ha iniciado sesión como administrador, estaopción es Cerrar sesión de administrador.
Acerca de Muestra información acerca de Endpoint Security.
Salir Sale de Endpoint Security Client.
IntroducciónInteracción con Endpoint Security 1
McAfee Endpoint Security 10 Guía del producto 11
• Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareashabituales.
Analiza en busca de malware con un Análisis completo o Análisis rápido delsistema.
Este botón está disponible solo si el módulo Threat Prevention estáinstalado.
Actualiza los archivos de contenidos y componentes de software en elequipo.
Este botón podría no aparecer, según se ajuste la configuración.
• Los botones en la parte izquierda de la página ofrecen información acerca de la protección.
Estado Le devuelve a la página principal de Estado.
Registro de eventos Muestra el registro de todos los eventos de protección y de amenaza en esteequipo.
Poner en cuarentena Abre Quarantine Manager.
Este botón está disponible solo si el módulo Threat Prevention está instalado.
• El Resumen de amenazas le da información acerca de las amenazas que Endpoint Security hayadetectado en su equipo en los últimos 30 días.
Véase también Cargue un archivo Extra.DAT en la página 27Iniciar sesión como administrador en la página 24Analizar el equipo en busca de malware en la página 35Actualizar protección y software manualmente en la página 20Ver el Registro de eventos en la página 21Administrar elementos en cuarentena en la página 39Administrar Endpoint Security en la página 24Acerca del Resumen de amenazas en la página 12
Acerca del Resumen de amenazasLa página Endpoint Security Client Estado le proporciona un resumen en tiempo real de cualquieramenaza detectada en su sistema en los últimos 30 días.
A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la informaciónen el área Resumen de amenazas en el panel inferior.
1 IntroducciónInteracción con Endpoint Security
12 McAfee Endpoint Security 10 Guía del producto
El Resumen de amenazas incluye:
• Fecha de la última amenaza eliminada
• Los dos principales vectores de amenazas, por categoría:
Web Amenazas procedentes de sitios web o descargas.
Dispositivo o soporteexterno
Amenazas procedentes de dispositivos externos, tales como USB, 1394firewire, eSATA, cintas, CD, DVD o discos.
Red Amenazas procedentes de la red (no de recursos compartido de red).
Sistema local Amenazas procedentes de los archivos de arranque de la unidad local(normalmente C:) o unidades distintas de las clasificadas comoDispositivo o soporte externo.
Recurso compartido dearchivos
Amenazas procedentes de los recursos compartidos de red.
Correo electrónico Amenazas procedentes de correos electrónicos.
Mensaje instantáneo Amenazas procedentes de mensajería instantánea.
Desconocido Amenazas para las cuales no se ha podido determinar el vector de ataque(debido a una condición de error u otro caso de error).
• Número de amenazas por vector de amenaza
Si Endpoint Security Client no puede llegar al Administrador de eventosEndpoint Security Client,muestra un mensaje de error. En ese caso, reinicie el sistema para ver Resumen de amenazas.
Cómo afecta la configuración al acceso al clienteLa configuración del Modo interfaz de cliente asignada a su equipo determina a qué módulos yfunciones puede acceder.
Cambiar el Modo interfaz de cliente en la configuración Common.
En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.
Las opciones del Modo de interfaz de cliente son:
IntroducciónInteracción con Endpoint Security 1
McAfee Endpoint Security 10 Guía del producto 13
Acceso total Permite el acceso a todas las funciones, incluidas:• Activar o desactivar módulos y funciones individuales.
• Acceder a la página Configuración para ver o modificar la configuración de directivaEndpoint Security Client.
Este modo es la configuración predeterminada para los sistemas autogestionados.
Accesoestándar
Muestra el estado de la protección y permite acceder a la mayoría de las funciones:• Actualiza los archivos de contenidos y componentes de software en el equipo (si el
administrador lo ha activado).
• Realice una comprobación exhaustiva de todas las áreas de su sistema, recomendadosi sospecha que su equipo podría estar infectado.
• Ejecute una comprobación rápida (2 minutos) de las áreas de su sistema que sean mássusceptibles de infectarse.
• Acceda al Registro de eventos.
• Administre los elementos en Poner en cuarentena.
Este modo es la configuración predeterminada para los sistemas autogestionados.
Desde la interfaz Acceso estándar, puede iniciar sesión como administrador para acceder atodas las funciones, incluidas todas las configuraciones.
Bloquearinterfaz decliente
Requiere una contraseña para acceder al cliente.La contraseña predeterminada es mcafee.
Una vez desbloquee la interfaz de cliente, podrá acceder a todas las funciones.
Si no puede acceder a Endpoint Security Client o a tareas y funciones específicas que necesita parahacer su trabajo, hable con su administrador.
Véase también Configurar parámetros para seguridad de interfaz cliente en la página 29
Cómo afectan al cliente los módulos instalados Algunos aspectos del cliente podrían no estar disponibles, dependiendo de los módulos instalados ensu equipo.
Estas funciones solo se encuentran disponibles si Threat Prevention está instalado:
• botón
• Botón Poner en cuarentena
Las funciones que aparecen dependen de las funciones instaladas en el sistema:
• En el menú desplegable Registro de eventos Filtrar por módulo.
• En la página Configuración.
Common Aparece si hay algún módulo instalado.
Threat Prevention Aparece solo si Threat Prevention está instalado.
Firewall Aparece solo si Firewall está instalado.
Web Control Aparece solo si Web Control está instalado.
Dependiendo del Modo de interfaz de cliente, y de como el administrador haya configurado el acceso,todas o algunas de estas funciones podrían no estar disponibles.
1 IntroducciónInteracción con Endpoint Security
14 McAfee Endpoint Security 10 Guía del producto
Véase también Cómo afecta la configuración al acceso al cliente en la página 13
IntroducciónInteracción con Endpoint Security 1
McAfee Endpoint Security 10 Guía del producto 15
1 IntroducciónInteracción con Endpoint Security
16 McAfee Endpoint Security 10 Guía del producto
2 Mediante Endpoint Security Client
Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisisdel sistema y administración de elemento en cuarentena.
Contenido Abra Endpoint Security Client Obtener ayuda Responder a avisos Introduzca información sobre su protección Actualizar protección y software manualmente Ver el Registro de eventos Administrar Endpoint Security
Abra Endpoint Security ClientAbra Endpoint Security Client para mostrar el estado de las funciones de protección instaladas en elequipo.
Si el modo interfaz está configurado en Bloquear interfaz de cliente, debe introducir la contraseña deadministrador para abrir el Endpoint Security Client.
Procedimiento1 Use uno de estos métodos para mostrar Endpoint Security Client:
• Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuaciónseleccione McAfee Endpoint Security.
• Seleccione Inicio | Todos los programas | McAfee | McAfee Endpoint Security.
• En Windows 8, inicie la aplicación McAfee Endpoint Security.1 Pulse la tecla Windows para mostrar la pantalla Inicio.
2 Entre en McAfee Endpoint Security y haga doble clic en la aplicación McAfee Endpoint Security.
2 Si se le pide, introduzca la contraseña de administrador en la página Inicio de sesión de administrador, yluego haga clic en Iniciar sesión.
Endpoint Security Client se abre en el modo interfaz que el administrador haya configurado.
Véase también Desbloquear la interfaz de cliente en la página 24
2
McAfee Endpoint Security 10 Guía del producto 17
Obtener ayudaLos dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú, y elicono ?.
Procedimiento1 Abra Endpoint Security Client.
2 Dependiendo de la página en la que esté:
• Páginas Estado, Registro de eventos, y Cuarentena: desde el menú Acción , seleccione Ayuda.
• Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore content, y Cargar Extra.DAT: haga clic en ?en la interfaz.
Responder a avisosDependiendo de su configuración, Endpoint Security podría pedirle que introduzca información cuandoun análisis bajo demanda planificado esté a punto de empezar.
Procedimientos• Responder a un aviso de detección de amenaza en la página 18
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realiceuna entrada antes de continuar, dependiendo de cómo se haya realizado la configuración.
• Responder a aviso de análisis en la página 19Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Securitypodría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configurapara permitirle aplazar, pausar, resumir o cancelar el análisis.
Responder a un aviso de detección de amenazaCuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entradaantes de continuar, dependiendo de cómo se haya realizado la configuración.
En el modo Metro de Windows 8, las notificaciones de alerta aparecen en la esquina superior derecha dela pantalla para notificarle las detecciones de amenaza. Haga clic en la notificación de alerta paramostrar la notificación en modo Escritorio.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
• Desde la página Análisis en tiempo real, seleccione las opciones de administrar las detecciones deamenazas.
Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio deEndpoint Security o el sistema.
Véase también Administrar detecciones de amenazas en la página 39
2 Mediante Endpoint Security ClientObtener ayuda
18 McAfee Endpoint Security 10 Guía del producto
Responder a aviso de análisisCuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podríapedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirleaplazar, pausar, resumir o cancelar el análisis.
Si no selecciona una opción, el análisis empezará automáticamente.
Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipoestá inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si seconfigura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando estáinactivo.
En el modo Metro de Windows 8, las notificaciones aparecen en la esquina superior derecha de lapantalla para pedirle información. Haga clic en la notificación de alerta para mostrar la notificación enmodo Escritorio.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
• Cuando se le pida, seleccione una de estas opciones.
Las opciones que aparecen dependen de cómo está configurado el analizador.
Analizar ahora Iniciar el análisis inmediatamente.
Ver análisis Ver detecciones correspondientes a un análisis en curso.
Pausar análisis Pausa el análisis. Dependiendo de la configuración, si hace clic en Pausar análisispodría reconfigurar el análisis para ejecutarse solo cuando esté inactivo. Haga clicen Reanudar análisis para reanudar el análisis desde el punto en el que se detuvo.
Reanudar análisis Reanudar un análisis pausado.
Cancelar análisis Cancela el análisis.
Aplazar análisis Aplaza el análisis durante el número de horas especificado.
Las opciones de análisis planificado determinan cuántas veces puede aplazar elanálisis durante una hora. Es posible que no pueda aplazar el análisis más de unavez.
Cerrar Cierra la página de análisis.
Si el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entradaantes de continuar, dependiendo de cómo se haya realizado la configuración.
Véase también Responder a un aviso de detección de amenaza en la página 18
Introduzca información sobre su protecciónPuede encontrar más información sobre su protección Endpoint Security, incluidos el tipo de gestión,módulos de protección, funciones, estado, número de versión y licencias.
Procedimiento
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Acerca de.
Mediante Endpoint Security ClientIntroduzca información sobre su protección 2
McAfee Endpoint Security 10 Guía del producto 19
3 Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acercade dicho elemento.
4 Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de.
Véase también Tipos de administración en la página 20Abra Endpoint Security Client en la página 17
Tipos de administraciónEl tipo de administración indica cómo se administra Endpoint Security.
En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.
Tipo de administración Descripción
McAfee ePolicy Orchestrator Un administrador gestiona Endpoint Security mediante McAfeeePO (local).
McAfee ePolicy OrchestratorCloud
Un administrador gestiona Endpoint Security mediante McAfeeePO Cloud.
McAfee SecurityCenter Un administrador gestiona Endpoint Security medianteSecurityCenter.
Autogestionado Endpoint Security se gestiona localmente mediante EndpointSecurity Client. Este modo también se llama no gestionado oindependiente.
Actualizar protección y software manualmenteEn función de cómo se hayan configurado los parámetros, puede buscar y descargar actualizacionesde archivos de contenido y componentes de software en el equipo de forma manual.
Si no aparece en el cliente, puede activarlo en la de directiva. Consulte Configure el comportamiento de actualización de en la página 31 para obtener información.
Las actualizaciones manuales también reciben el nombre de actualizaciones bajo demanda.
En sistemas autogestionados, la tarea Actualización cliente predeterminado actualiza todo el contenidoy el software. En sistemas gestionados, esta tarea solo actualiza el contenido.
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
Procedimiento
1 Abra Endpoint Security Client.
2Haga clic en .
Endpoint Security Client busca actualizaciones.
• Haga clic en Cancelar para cancelar la actualización.
Esta opción solo se encuentra disponible en sistemas autogestionados o gestionados medianteMcAfee ePO.
2 Mediante Endpoint Security ClientActualizar protección y software manualmente
20 McAfee Endpoint Security 10 Guía del producto
• Si el sistema está actualizado, la página muestra No hay actualizaciones disponibles, así como la fechay hora de la actualización más reciente.
• Si la actualización se realiza correctamente, la página mostrará la fecha y hora actuales para laactualización más reciente.
Los mensajes o errores aparecen en el área de Mensajes.
Consulte los registros PackageManager_Activity.log o PackageManager_Debug.log para obtenermás información.
3 Haga clic en Cerrar para cerrar la página Actualizar.
Véase también Cómo se mantiene actualizada su protección en la página 8Acerca de los archivos de registro en la página 22Abra Endpoint Security Client en la página 17Configure el comportamiento de actualización de en la página 31
Ver el Registro de eventosLos registros de actividades y depuración almacenan los eventos que se producen en su sistemaprotegido por McAfee. Puede ver el Registro de eventos desde Endpoint Security Client.
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
Procedimiento1 Abra Endpoint Security Client.
2 Haga clic en Registro de eventos en el lado izquierdo de la página.
La página muestra los eventos que Endpoint Security haya registrado en su sistema en los últimos30 días.
Si Endpoint Security Client no puede llegar al Administrador de eventos, muestra un mensaje deerror. En ese caso, reinicie su sistema para ver el Registro de eventos.
3 Seleccione un evento en el panel superior para mostrar los detalles en el panel inferior.
Para cambiar el tamaño relativo de los paneles, haga clic y arrastre el marco deslizante entre lospaneles.
Mediante Endpoint Security ClientVer el Registro de eventos 2
McAfee Endpoint Security 10 Guía del producto 21
4 En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos.
Las opciones que aparecen dependen de cómo está configurado el analizador.
Ordenar eventos por fecha,funciones, acciónemprendida y gravedad
Haga clic en el encabezado de columna.
Buscar en el registro deeventos
Introduzca el texto de búsqueda en el campo Buscar y pulseIntro o haga clic en Buscar.La búsqueda distingue entre mayúsculas y minúsculas y serealiza en todos los campos del registro de eventos para eltexto de búsqueda. La lista de eventos muestra todos loselementos con texto coincidente.
Para cancelar la búsqueda y mostrar todos los eventos, hagaclic en x en el campo Buscar.
Filtrar eventos segúngravedad o módulo
En la lista desplegable de filtros, seleccione una opción.Para eliminar el filtro y mostrar todos los eventos, seleccioneMostrar todos los eventos de la lista desplegable.
Actualizar la vista del Registrode eventos con eventosrecientes
Haga clic en .
Abrir la carpeta que contienelos archivos de instalación deregistro
Haga clic en Ver directorio de registros.
5 Navegar el Registro de eventos.
Mostrar la página anterior de eventos Haga clic en Página anterior.
Mostrar la página siguiente de eventos Haga clic en Página siguiente.
Mostrar una página específica en elregistro
Introduzca un número de página y pulse Intro ohaga clic en Ir.
De forma predeterminada, el Registro de eventos muestra 20 eventos por página. Para mostrarmás eventos por página, seleccione una opción de la lista desplegable Eventos por página.
Véase también Acerca de los archivos de registro en la página 22Abra Endpoint Security Client en la página 17
Acerca de los archivos de registroLos archivos de registro de actividades, errores y depuración almacenan los eventos que se producenen los sistemas con Endpoint Security activada. Configurar el registro en los parámetros Common.
Los archivos de registro siempre aparecen en el idioma especificado en la configuración regionalpredeterminada del sistema.
Todos los archivos de registro de actividades y depuración se almacenan en una de las ubicacionespredeterminadas siguientes, según el sistema operativo.
Sistema operativo Ubicación predeterminada
Microsoft Windows 8.1(Blue)
%ProgramData%\McAfee\Endpoint Security\Logs%ProgramData%\McAfee\Endpoint Security\Installer\Logs
Microsoft Windows 8
Microsoft Windows 7
2 Mediante Endpoint Security ClientVer el Registro de eventos
22 McAfee Endpoint Security 10 Guía del producto
Sistema operativo Ubicación predeterminada
Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee\EndpointSecurity\Logs
Microsoft Windows XP Carpeta McAfee\Endpoint Security\Logs en la carpeta Application Data
Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivo aparte.Los módulos almacenan los registros de errores en un solo archivoEndpointSecurityPlatform_Errors.log.
La activación del registro de depuración para cualquier módulo también lo activa para las funciones delmódulo Common, como autoprotección.
Tabla 2-1 Archivos de registro
Módulo Función o tecnología Nombre del archivo
Common EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoprotección AccessProtection_Activity.log
AccessProtection_Debug.log
Actualizaciones PackageManager_Activity.log
PackageManager_Debug.log
Errores EndpointSecurityPlatform_Errors.log
Threat PreventionLa activación del registro dedepuración para cualquiertecnología de ThreatPrevention también lo activapara Endpoint Security Client.
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
Protección de acceso AccessProtection_Activity.log
AccessProtection_Debug.log
Prevención de exploits ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Analizador en tiempo real OnAccessScan_Activity.log
OnAccessScan_Debug.log
Analizador bajo demanda• Análisis rápido
• Análisis completo
• Análisis con el botón derecho delratón
OnDemandScan_Activity.log
OnDemandScan_Debug.log
Endpoint Security Client MFEConsole_Debug.log
Firewall Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.logRegistros bloqueados y eventos de tráficopermitidos, si se ha configurado.
Web Control WebControl_Activity.log
WebControl_Debug.log
Mediante Endpoint Security ClientVer el Registro de eventos 2
McAfee Endpoint Security 10 Guía del producto 23
Administrar Endpoint SecurityComo administrador, puede administrar Endpoint Security desde Endpoint Security Client, lo queincluye activar y desactivar funciones, administrar archivos de contenido, especificar cómo secomporta la interfaz de cliente y ajustar la configuración común.
En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.
Véase también Iniciar sesión como administrador en la página 24Desbloquear la interfaz de cliente en la página 24Desactivar y activar funciones en la página 25Cambiar versión de AMCore content en la página 25Utilice archivos Extra.DAT en la página 26Configurar parámetros comunes en la página 27
Iniciar sesión como administradorSi el modo de interfaz Endpoint Security Client está configurado como Acceso estándar, puede iniciarsesión como administrador para acceder a toda la configuración.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso estándar.
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
Procedimiento1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Inicio de sesión de administrador.
3 En el campo Contraseña, introduzca la contraseña de administrador, y haga clic en Iniciar sesión.
Ahora tendrá acceso a todas las funciones de Endpoint Security Client.
Para cerrar sesión, seleccione Acción | Cerrar sesión de administrador. El cliente regresa al modo de interfazAcceso estándar.
Desbloquear la interfaz de clienteSi la interfaz para Endpoint Security Client está bloqueada, desbloquéela con la contraseña deadministrador para acceder a todas las opciones de configuración.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Bloquear interfaz decliente.
Procedimiento1 Abra Endpoint Security Client.
2 En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campoContraseña y, a continuación, haga clic en Iniciar sesión.
2 Mediante Endpoint Security ClientAdministrar Endpoint Security
24 McAfee Endpoint Security 10 Guía del producto
Endpoint Security Client se abre y se puede acceder a todas las funciones del cliente.
Para cerrar sesión y cliente, en el menú Acción , seleccione Cerrar sesión de administrador.
Desactivar y activar funcionesComo administrador, puede desactivar y activar las funciones de Endpoint Security desde el EndpointSecurity Client.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
La página Estado muestra el estado activado del módulo de función, que puede no reflejar el estado realde la función. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si elparámetro Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: desactivado).
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en el nombre de módulo (como Threat Prevention o Firewall) en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en el nombre demódulo en la página Configuración.
3 Seleccione o anule la selección de la opción Activar módulo o Función.
Activar cualquiera de las funciones Threat Prevention activa también el módulo Threat Prevention.
Véase también Iniciar sesión como administrador en la página 24
Cambiar versión de AMCore content Utilice Endpoint Security Client para cambiar la versión de AMCore content en el sistema.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anterioresen la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restauraruna versión anterior.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Revertir AMCore content.
3 Seleccione la versión para cargar del elemento desplegable.
4 Haga clic en Aplicar.
Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente.
Mediante Endpoint Security ClientAdministrar Endpoint Security 2
McAfee Endpoint Security 10 Guía del producto 25
Véase también Cómo funcionan los archivos de contenido en la página 9Iniciar sesión como administrador en la página 24
Utilice archivos Extra.DATPuede instalar un archivo Extra.DAT para proteger los su equipo contra un brote de malwareimportante hasta que se publique la próxima actualización de AMCore content.
Procedimientos• Descargar archivos Extra.DAT en la página 26
Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado porMcAfee Labs.
• Cargue un archivo Extra.DAT en la página 27Para instalar el archivo Extra.DAT descargado, utilice Endpoint Security Client.
Véase también Acerca de archivos Extra.DAT en la página 26
Acerca de archivos Extra.DATSi se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfeeLabs facilita un archivo Extra.DAT. Los archivos Extra.DAT contienen información que ThreatPrevention utiliza para manejar el nuevo malware.
Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud deExtra.DAT de McAfee Labs.
Threat Prevention solo admite el uso de un archivo Extra.DAT.
Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivoExtra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instaladoen el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha decaducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. ElExtra.DAT se elimina del sistema en la siguiente actualización.
Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT.
Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Program Files\Common Files\McAfee\Engine\content\avengine\extradat.
Descargar archivos Extra.DATPara descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfeeLabs.
Procedimiento1 Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT
y haga clic en Guardar.
2 Si es preciso, descomprima el archivo EXTRA.ZIP.
3 Cargue el archivo Extra.DAT con Endpoint Security Client.
2 Mediante Endpoint Security ClientAdministrar Endpoint Security
26 McAfee Endpoint Security 10 Guía del producto
Cargue un archivo Extra.DAT Para instalar el archivo Extra.DAT descargado, utilice Endpoint Security Client.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción, seleccione Cargar Extra.dat.
3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, acontinuación, haga clic en Abrir.
4 Haga clic en Aplicar.
Las nuevas detecciones en el Extra.DAT se aplican inmediatamente.
Véase también Iniciar sesión como administrador en la página 24
Configurar parámetros comunesConfigure parámetros aplicables a todos los módulos y las funciones de Endpoint Security en elmódulo Common. Estos parámetros incluyen seguridad de interfaz y configuración de idioma paraEndpoint Security Client, inicio de sesión, servidor proxy para McAfee GTI y configuración de laactualización.
Procedimientos• Proteger recursos de Endpoint Security en la página 28
Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar elsoftware de seguridad del sistema. Configure los parámetros de autoprotección de EndpointSecurity enCommon para impedir que se detengan o modifiquen los servicios y archivos deEndpoint Security.
• Configurar parámetros de registro en la página 28Configure el registro Endpoint Security en los parámetros del Common.
• Configurar parámetros para seguridad de interfaz cliente en la página 29Configure las opciones de visualización y contraseña de la interfaz para Endpoint SecurityClient en la configuración de Common.
• Configuración del servidor proxy para McAfee GTI en la página 30Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI enla configuración deCommon.
• Configure el comportamiento de actualización de en la página 31Especifique el comportamiento de actualizaciones iniciadas desde Endpoint Security Clienten la configuración de Common.
• Configurar sitios de origen para actualizaciones de cliente en la página 32Para los sistemas autogestionados, puede configurar los sitios desde los que EndpointSecurity Client obtiene archivos de seguridad actualizados en la configuración del móduloCommon.
• Planifique la tarea Actualización cliente predeterminado en la página 33Puede modificar o planificar la tarea Actualización de cliente predeterminado desdeEndpoint Security Client en la configuración de Common.
Mediante Endpoint Security ClientAdministrar Endpoint Security 2
McAfee Endpoint Security 10 Guía del producto 27
Proteger recursos de Endpoint SecurityUna de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el softwarede seguridad del sistema. Configure los parámetros de autoprotección de Endpoint SecurityenCommon para impedir que se detengan o modifiquen los servicios y archivos de Endpoint Security.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Los usuarios, administradores, desarrolladores o profesionales de la seguridad nunca deberían necesitardesactivar la protección de Endpoint Security en los sistemas.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Desde Autoprotección, verifique que Autoprotección está activado.
5 Especifique la acción para cada uno de los siguientes recursos de Endpoint Security:
• Archivos y carpetas: impide que los usuarios modifiquen bases de datos, archivos binarios, archivosde búsqueda segura y archivos de configuración de McAfee.
• Registro: impide que los usuarios modifiquen el subárbol del registro de McAfee y loscomponentes COM, y que desinstalen mediante el valor de registro.
• Procesos — Impide la detención de los procesos de McAfee.
6 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24
Configurar parámetros de registroConfigure el registro Endpoint Security en los parámetros del Common.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Configure los parámetros de Registro de cliente en la página.
5 Haga clic en Aplicar para guardar los cambios o en Cancelar.
2 Mediante Endpoint Security ClientAdministrar Endpoint Security
28 McAfee Endpoint Security 10 Guía del producto
Véase también Acerca de los archivos de registro en la página 22Iniciar sesión como administrador en la página 24
Configurar parámetros para seguridad de interfaz clienteConfigure las opciones de visualización y contraseña de la interfaz para Endpoint Security Client en laconfiguración de Common.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Modifique estos parámetros con cuidado porque pueden permitir que los usuarios cambien suconfiguración de la seguridad, lo cual dejaría desprotegidos los sistemas frente a los ataques demalware.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Configure los parámetros de Modo de interfaz de cliente en la página.
4 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Efectos de definir una contraseña de administrador en la página 29Iniciar sesión como administrador en la página 24
Efectos de definir una contraseña de administradorCuando se establece el modo de interfaz en Acceso estándar, también se debe definir una contraseñade administrador.
Definir una contraseña de administrador en Endpoint Security Client afecta a los usuarios siguientes:
Mediante Endpoint Security ClientAdministrar Endpoint Security 2
McAfee Endpoint Security 10 Guía del producto 29
No administradores(usuarios sin derechos deadministrador)
Los no administradores pueden:
• Ver algunos parámetros de configuración.
• Ejecutar análisis.
• Buscar actualizaciones (si está activado).
• Ver la Cuarentena.
• Ver el Registro de eventos.
• Acceda a la página Configuración para ver o modificar reglas deFirewall (si está activado).
Los no administradores no pueden:
• Cambiar parámetros de configuración.
• Vea, cree, elimine o modifique la configuración.Una excepción es la posibilidad de ver o modificar reglas de Firewall(si se ha activado).
Administradores(usuarios con derechos deadministración)
Los administradores deben escribir la contraseña para acceder a lasáreas protegidas y modificar parámetros.
Configuración del servidor proxy para McAfee GTI Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en laconfiguración deCommon.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Configure los parámetros de Servidor proxy para McAfee GTI en la página.
5 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Como funciona McAfee GTI en la página 30Iniciar sesión como administrador en la página 24
Como funciona McAfee GTISi activa McAfee GTI para el analizador en tiempo real y bajo demanda, el analizador utiliza heurísticapara buscar archivos sospechosos. El servidor de McAfee GTI almacena las calificaciones de sitio web y
2 Mediante Endpoint Security ClientAdministrar Endpoint Security
30 McAfee Endpoint Security 10 Guía del producto
muestra informes para Web Control. Si configura Web Control para analizar archivos descargados, elanalizador utiliza heurística para buscar archivos sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de bases de datos centralalojado por McAfee Labs para determinar si son malware. Al enviar hashes, la detección podría estardisponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs publiquela actualización.
Puede configurar el nivel de sensibilidad que McAfee GTI utiliza cuando determina si una muestradetectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitir más detecciones, también pueden obtenerse másresultados falsos positivos. El nivel de sensibilidad de McAfee GTI viene establecido en Medio de formapredeterminada. Configure el nivel de sensibilidad de cada analizador de Threat Prevention. Configureel nivel de sensibilidad para analizar descargas de archivos en los parámetros de Opciones de WebControl.
Puede configurar Endpoint Security para usar un servidor proxy para recuperar la información dereputación de McAfee GTI en los parámetros de Common.
Configure el comportamiento de actualización de Especifique el comportamiento de actualizaciones iniciadas desde Endpoint Security Client en laconfiguración de Common.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Solo puede configurar estos parámetros en sistemas autogestionados o gestionados mediante McAfeeePO.
Utilice estos ajustes para establecer si se mostrará o no el botón en el cliente yqué actualizar cuando el usuario haga clic en el botón o se ejecute la tarea Actualización clientepredeterminado.
En sistemas autogestionados, la tarea Actualización cliente predeterminado actualiza todo el contenidoy el software. En sistemas gestionados, esta tarea solo actualiza el contenido.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Configure los parámetros de Actualización cliente predeterminado en la página.
5 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24Configurar sitios de origen para actualizaciones de cliente en la página 32Planifique la tarea Actualización cliente predeterminado en la página 33
Mediante Endpoint Security ClientAdministrar Endpoint Security 2
McAfee Endpoint Security 10 Guía del producto 31
Configurar sitios de origen para actualizaciones de clientePara los sistemas autogestionados, puede configurar los sitios desde los que Endpoint Security Clientobtiene archivos de seguridad actualizados en la configuración del módulo Common.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Solo puede configurar estos parámetros en sistemas autogestionados.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Ajuste la configuración de Sitios de origen para las actualizaciones en la página.
Puede activar o desactivar las dos copias de seguridad predeterminadas de los dos sitios de origen(NAIFtp y NAIHttp), pero no se pueden modificar, eliminar o mover en la lista.
Para... Siga estos pasos
Agregar un sitio ala lista.
1 Haga clic en Agregar.
2 Especifique la configuración del sitio.
3 Haga clic en Aceptar para guardar los cambios.
La regla aparece al principio de la lista de reglas.
Eliminar un sitio. Seleccione el sitio y haga clic en Eliminar.
Modificar un sitioexistente.
1 Haga clic en el nombre del sitio.
2 Cambie la configuración.
3 Haga clic en Aceptar para guardar los cambios.
Reordenar sitios enla lista.
Para mover elementos:1 Seleccione los elementos que mover.
El control de ajuste aparece a la izquierda de los elementos quepuedan moverse.
2 Arrastre y coloque los elementos en su nueva ubicación.Una línea azul aparece entre elementos allí donde pueda colocar loselementos arrastrados.
El orden determina el orden que Endpoint Security usa para buscar el sitiode actualización.
5 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Cómo funciona la tarea Actualización cliente predeterminado en la página 33Iniciar sesión como administrador en la página 24Configure el comportamiento de actualización de en la página 31Planifique la tarea Actualización cliente predeterminado en la página 33
2 Mediante Endpoint Security ClientAdministrar Endpoint Security
32 McAfee Endpoint Security 10 Guía del producto
Planifique la tarea Actualización cliente predeterminado Puede modificar o planificar la tarea Actualización de cliente predeterminado desde Endpoint SecurityClient en la configuración de Common.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Solo puede configurar estos parámetros en sistemas autogestionados.
Utilice estos parámetros para configurar cuándo se ejecuta la tarea Actualización clientepredeterminado. Consulte Configure el comportamiento de actualización de en la página 31 paraconfigurar el comportamiento predeterminado de actualizaciones de cliente iniciadas desde EndpointSecurity Client.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Tareas.
5 Haga doble clic en Actualización cliente predeterminado, edite la planificación y haga clic en Aceptar paraguardar los cambios o haga clic en Cancelar.
6 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Cómo funciona la tarea Actualización cliente predeterminado en la página 33Configure el comportamiento de actualización de en la página 31Configurar sitios de origen para actualizaciones de cliente en la página 32
Cómo funciona la tarea Actualización cliente predeterminadoLa tarea Actualización cliente predeterminado descarga la protección más reciente al Endpoint SecurityClient.
Endpoint Security incluye la tarea Actualización cliente predeterminado que se ejecuta cada día a la1:00 a. m. y se repite cada cuatro horas hasta las 11:59 p.m.
La tarea Actualización cliente predeterminado:
1 Conecta al primer sitio de origen activado en la lista.
Si el sitio no está disponible, la tarea contacta el siguiente sitio hasta que logra establecer unaconexión o alcanza el final de la lista.
2 Se descarga un archivo CATALOG.Z codificado desde el sitio.
El archivo contiene información necesaria para llevar a cabo la actualización, incluyendo archivosdisponibles y actualizaciones.
3 Compara las versiones de software contenidas en el archivo con las versiones existentes en elequipo y descarga cualquier actualización de software disponible.
Si la tarea Actualización cliente predeterminado se interrumpe durante la actualización:
Mediante Endpoint Security ClientAdministrar Endpoint Security 2
McAfee Endpoint Security 10 Guía del producto 33
Actualización desde Descarga interrumpida
HTTP, UNC o un sitio local Se reanuda desde donde se interrumpió la actualización lapróxima vez que se inicie la tarea de actualización.
Sitio FTP (descarga de un solo archivo) No se reanuda si se interrumpe.
Sitio FTP (descarga de varios archivos) Se reanuda antes del archivo que se estaba descargando enel momento de la interrupción.
Véase también Configurar sitios de origen para actualizaciones de cliente en la página 32Planifique la tarea Actualización cliente predeterminado en la página 33
2 Mediante Endpoint Security ClientAdministrar Endpoint Security
34 McAfee Endpoint Security 10 Guía del producto
3 Mediante Threat Prevention
Threat Prevention comprueba la existencia de virus, spyware, programas no deseados y otrasamenazas en el equipo.
Contenido Analizar el equipo en busca de malware Administrar detecciones de amenazas Administrar elementos en cuarentena Administrar Threat Prevention
Analizar el equipo en busca de malwareAnalice en busca de malware en el equipo seleccionando opciones en Endpoint Security Client o desdeel Explorador de Windows.
Procedimientos• Ejecutar un Análisis completo o Análisis rápido en la página 36
Use Endpoint Security Client para realizar un Análisis completo o Análisis rápido en suequipo manualmente.
• Analizar un archivo o carpeta en la página 38Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamenteun archivo o carpeta individual que sospeche que pueda estar infectado.
Véase también Tipos de análisis en la página 35
Tipos de análisisEndpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.
• Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución enlos equipos administrados. En el caso de equipos administrados, configure el analizador en tiemporeal en la página Configuración.
Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real interceptala operación y analiza el elemento según criterios definidos por el administrador.
• Análisis bajo demanda
3
McAfee Endpoint Security 10 Guía del producto 35
Manual El administrador (o el usuario, en el caso de sistemas autogestionados) configuraanálisis en tiempo real predefinidos que los usuarios pueden ejecutar en equiposadministrados.
• Ejecute un análisis bajo demanda predefinido en cualquier momento desde
Endpoint Security Client haciendo clic en y seleccionandoun tipo de análisis:Análisis rápido ejecuta una comprobación rápida de las áreas del sistema mássusceptibles de infección.
Análisis completo realizar una comprobación exhaustiva de todas las áreas delsistema. (Se recomienda si sospecha que el equipo está infectado.)
• Analice un archivo o una carpeta en cualquier momento desde el Explorador deWindows haciendo clic con el botón derecho y seleccionando Analizar en busca deamenazas en el menú emergente.
Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura yplanifica análisis bajo demanda para su ejecución en los equipos.
Cuando un análisis bajo demanda planificado está a punto de iniciarse, EndpointSecurity muestra un mensaje de análisis en la parte inferior de la pantalla. Puedeiniciar el análisis inmediatamente o aplazarlo, si se ha configurado.
Para configurar y planificar los análisis bajo demanda predefinidos, Análisis rápidoy Análisis completo:1 Configuración | Análisis bajo demandaFicha Análisis completo o Análisis rápido: configura
análisis bajo demanda.
2 Configuración | Common | Tareas planifica análisis bajo demanda.
Véase también Planifique las tareas Análisis completo y Análisis rápido en la página 60Responder a aviso de análisis en la página 19
Ejecutar un Análisis completo o Análisis rápidoUse Endpoint Security Client para realizar un Análisis completo o Análisis rápido en su equipomanualmente.
Antes de empezarEl módulo Threat Prevention debe estar instalado.
El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado laconfiguración. Con credenciales de administrador puede modificar y planificar estos análisis en laconfiguración Análisis bajo demanda.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2Haga clic en .
3 Mediante Threat PreventionAnalizar el equipo en busca de malware
36 McAfee Endpoint Security 10 Guía del producto
3 En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo.
Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema,recomendado si sospecha que su equipo podría estar infectado.
Análisis rápido Ejecuta una comprobación rápida de las áreas de su sistema que sean mássusceptibles de infectarse.
Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.
También puede que vea el botón Ver detecciones en el análisis en tiempo real, dependiendo de laconfiguración y de si se ha detectado una amenaza. Haga clic en este botón para abrir la páginaAnálisis en tiempo real para administrar las detecciones en cualquier momento. Consulte Administrardetecciones de amenazas en la página 39.
Endpoint Security Client muestra el estado del análisis en una nueva página.
La Fecha de creación de AMCore content indica la última vez que se ha actualizado el contenido. Siel contenido tiene una antigüedad superior a los dos días, McAfee le recomienda que actualice suprotección antes de ejecutar el análisis.
4 Haga clic en los botones en la parte superior de la página de estado para controlar el análisis.
Pausar análisis Pausa el análisis antes de que se complete.
Reanudar análisis Reanudar un análisis pausado.
Cancelar análisis Cancela un análisis en ejecución.
5 Una vez completado el análisis, las detecciones se muestran en la página.
Nombre de detección Identifica el nombre del malware detectado.
Tipo Muestra el tipo de amenaza.
Nombre del archivo Identifica el archivo infectado.
Acción Describe la última acción de seguridad emprendida en el archivo infectado:• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajodemanda.
6 Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivoinfectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no esténdisponibles.
7 Haga clic en Cerrar para cerrar la página.
Véase también Tipos de análisis en la página 35Configure Análisis bajo demanda en la página 55Planifique las tareas Análisis completo y Análisis rápido en la página 60Nombres de detecciones en la página 41Actualizar protección y software manualmente en la página 20Administrar detecciones de amenazas en la página 39
Mediante Threat PreventionAnalizar el equipo en busca de malware 3
McAfee Endpoint Security 10 Guía del producto 37
Analizar un archivo o carpetaHaga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivoo carpeta individual que sospeche que pueda estar infectado.
Antes de empezarEl módulo Threat Prevention debe estar instalado.
El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado laconfiguración. Con credenciales de administrador puede modificar estos análisis en la configuraciónAnálisis bajo demanda.
Procedimiento1 En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y
seleccione Analizar en busca de amenazas desde el menú emergente.
Endpoint Security Client muestra el estado del análisis en la página Analizar en busca de amenazas.
2 Haga clic en los botones en la parte superior de la página para controlar el análisis.
Pausar análisis Pausa el análisis antes de que se complete.
Reanudar análisis Reanudar un análisis pausado.
Cancelar análisis Cancela un análisis en ejecución.
3 Una vez completado el análisis, las detecciones se muestran en la página.
Nombre de detección Identifica el nombre del malware detectado.
Tipo Muestra el tipo de amenaza.
Nombre del archivo Identifica el archivo infectado.
Acción Describe la última acción de seguridad emprendida en el archivo infectado:• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajodemanda.
4 Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivoinfectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no esténdisponibles.
5 Haga clic en Cerrar para cerrar la página.
Véase también Tipos de análisis en la página 35Configure Análisis bajo demanda en la página 55Nombres de detecciones en la página 41
3 Mediante Threat PreventionAnalizar el equipo en busca de malware
38 McAfee Endpoint Security 10 Guía del producto
Administrar detecciones de amenazasDependiendo de su configuración, puede gestionar las detecciones de amenazas desde EndpointSecurity Client.
Antes de empezarEl módulo Threat Prevention debe estar instalado.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Analizar ahora para abrir la página Analizar sistema.
3 Desde Análisis bajo demanda, haga clic en Ver detecciones.
Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería deusuario está desactivada.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio deEndpoint Security o el sistema.
4 Desde la página Análisis en tiempo real, seleccione una de estas opciones.
Limpiar Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena.
Endpoint Security usa información de los archivos de contenido para limpiar losarchivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado yno se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfeerecomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copiade seguridad limpia.
Eliminar Elimina el elemento que contiene la amenaza.
Eliminar entrada Elimina una entrada de la lista de detección.
Cerrar Cierra la página de análisis.
Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible.Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio deEndpoint Security o el sistema.
Administrar elementos en cuarentena Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puederealizar acciones en los elementos en cuarentena.
Antes de empezarEl módulo Threat Prevention debe estar instalado.
Mediante Threat PreventionAdministrar detecciones de amenazas 3
McAfee Endpoint Security 10 Guía del producto 39
Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenidocon información que limpia la amenaza.
Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos,registros o todo lo que Endpoint Security analice en busca de malware.
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
Procedimiento1 Abra Endpoint Security Client.
2 Haga clic en Poner en cuarentena en el lado izquierdo de la página.
La página muestra todos los elementos en cuarentena.
Si Endpoint Security Client no puede llegar al Administrador de cuarentena, muestra un mensaje deerror. En ese caso, reinicie su sistema para ver la página Cuarentena.
3 Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.
Cambiar el tamaño relativo de los paneles Haga clic y arrastre el marco deslizante entrelos paneles.
Ordenar elementos de la tabla por nombre otipo de amenaza
Haga clic en el encabezado de columna.
4 En la página Cuarentena, realice acciones en elementos seleccionados.
Eliminar elementosen cuarentena
Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminarpara confirmar.
Los archivos eliminados no se pueden restaurar.
Restaurarelementos encuarentena
Seleccione elementos, haga clic en Restaurar, a continuación haga clic denuevo en Restaurar para confirmar.Endpoint Security restaura los elementos a su ubicación original y los quitade la cuarentena.
Si un elemento aún es una amenaza válida, Endpoint Security lo devolveráa la cuarentena la próxima vez que se acceda a dicho elemento.
Volver a analizarelementos
Seleccione elementos, luego haga clic en Volver a analizar.Por ejemplo, puede volver a analizar un elemento tras actualizar laprotección. Si el elemento ya no es una amenaza, lo puede restaurar a suubicación original y quitarlo de la cuarentena.
Ver un elementoen el Registro deeventos
Seleccione un elemento, luego haga clic en el vínculo Ver en Registro de eventosen el panel de detalles.La página Registro de eventos se abre, y el evento relacionado con el elementoseleccionado aparecerá resaltado.
Obtener másinformación sobreuna amenaza
Seleccione un elemento, luego haga clic en el vínculo Obtenga más informaciónsobre esta amenaza en el panel de detalles.Se abre una nueva ventana de navegador en el sitio web McAfee Labs conmás información acerca de la amenaza que provocó que el elemento sepusiera en cuarentena.
Véase también Nombres de detecciones en la página 41Abra Endpoint Security Client en la página 17Actualizar protección y software manualmente en la página 20
3 Mediante Threat PreventionAdministrar elementos en cuarentena
40 McAfee Endpoint Security 10 Guía del producto
Nombres de deteccionesLos La cuarentena informa de amenazas por nombre de detección.
Nombre dedetección
Descripción
Adware Genera ingresos mostrando anuncios dirigidos al usuario. El adware generaingresos a través del proveedor o los socios del proveedor. Algunos tipos deadware pueden capturar o transmitir información personal.
Marcador Redirige las conexiones de Internet a otra parte distinta del proveedor deservicios de Internet predeterminado del usuario. Los marcadores estándiseñados para agregar costes de conexión para un proveedor de contenidos, unvendedor u otro.
Broma Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas noafectan a la seguridad o la privacidad, pero pueden alarmar o molestar alusuario.
Registrador depulsaciones deteclado
Intercepta datos entre el usuario que los introduce y la aplicación a la que ibandestinados. Un caballo troyano y un programa no deseado registrador depulsaciones de teclado pueden funcionar de manera idéntica. El software deMcAfee detecta los dos tipos para evitar intrusiones de privacidad.
Cracker decontraseñas
Permite al usuario o administrador recuperar las contraseñas perdidas uolvidadas desde las cuentas o archivos de datos. En manos de un atacante,permiten el acceso a información confidencial y son una amenaza para laseguridad y la privacidad.
Programapotencialmente nodeseado
A menudo incluye software legítimo (que no es malware) que puede alterar elestado de seguridad o la política de privacidad del sistema. Este software sepuede descargar con un programa que el usuario desea instalar. Puede incluirspyware, adware, registradores de pulsaciones de teclado, crackers decontraseñas, herramientas de hacker y aplicaciones de marcador.
Herramienta deadministraciónremota
Otorga a un administrador el control remoto de un sistema. Estas herramientaspueden suponer una amenaza de seguridad grave si las controla un atacante.
Spyware Transmite información personal a terceros sin el conocimiento o consentimientodel usuario. El spyware genera exploits en los equipos infectados con finalidadescomerciales mediante:• Envío de anuncios emergentes no solicitados
• Robo de información personal, incluida su información financiera, como puedeser el número de las tarjetas de crédito
• Supervisión de la actividad de navegación por la Web para fines de marketing
• Enrutamiento de solicitudes HTTP a sitios de publicidad
Consulte también Programa potencialmente no deseado.
Sigiloso Es un tipo de virus que intenta evitar ser detectado por el software antivirus.También conocido como interceptor interruptor.
Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando unaaplicación antivirus intenta leer archivos o sectores de arranque para encontrarvirus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virusesconden el tamaño real del archivo infectado y muestran el tamaño del archivoantes de infectarse.
Mediante Threat PreventionAdministrar elementos en cuarentena 3
McAfee Endpoint Security 10 Guía del producto 41
Nombre dedetección
Descripción
Troyano Es un programa dañino que se hace pasar por una aplicación benigna. Untroyano no se replica pero causa daño o pone en peligro la seguridad del equipo.Los equipos suelen infectarse:
• Cuando un usuario abre un troyano adjunto en un correo electrónico.
• Cuando un usuario descarga un troyano de un sitio web.
• Redes de igual a igual.
Como no se replican, los troyanos no se consideran virus.
Virus Capaz de incrustarse en discos u otros archivos y replicarse repetidamente,normalmente sin el conocimiento o permiso del usuario.Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo,el virus también se ejecuta. Otros virus permanecen en la memoria del equipo einfectan más archivos a medida que ese equipo los va abriendo, modificando ocreando. Algunos virus presentan síntomas, mientras que otros dañan losarchivos y sistemas del equipo.
Administrar Threat PreventionComo administrador, puede especificar la configuración de Threat Prevention para prevenir el accesode amenazas y configurar los análisis.
En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.
Véase también Excluir elementos de análisis en la página 42Detección de programas potencialmente no deseados en la página 44Configure la Protección de acceso en la página 46Configurar Prevención de exploit en la página 49Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55Planifique las tareas Análisis completo y Análisis rápido en la página 60Configurar parámetros de análisis comunes en la página 60
Excluir elementos de análisisThreat Prevention permite ajustar la lista de elementos analizados especificando elementos queexcluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloqueeun archivo utilizado por una base de datos o un servidor. (Un archivo bloqueado puede hacer que seproduzcan errores en la base de datos o el servidor.)
3 Mediante Threat PreventionAdministrar Threat Prevention
42 McAfee Endpoint Security 10 Guía del producto
Para esta función... Especificarelementos queexcluir
Dóndeconfigurar
Excluirelementos por
¿Usarcomodines?
Protección de acceso Procesos (paratodas las reglas opara una reglaespecificada)
Protección de accesoconfiguración
Nombre delproceso
No
Prevención de exploits Procesos Prevención deexploitsconfiguración
Nombre delproceso
No
Análisis en tiempo real• Predeterminado
• Riesgo alto
• Riesgo bajo
Archivos, tipos dearchivo y carpetas
Análisis en tiemporeal configuración
Patrón, tipo oantigüedad dearchivo
Sí
URL ScriptScan Análisis en tiemporeal configuración
Nombre de URL No
Nombres dedetecciones
Opcionesconfiguración
Nombre dedetección(distingue entremayúsculas yminúsculas)
No
Programaspotencialmente nodeseados
Opcionesconfiguración
Nombre Sí
Análisis bajo demanda• Análisis rápido
• Análisis completo
• Análisis con el botón derechodel ratón
Archivos, carpetas yunidades
Análisis bajodemandaconfiguración
Patrón, tipo oantigüedad dearchivo
Sí(* y ?)
Nombres dedetecciones
Opcionesconfiguración
Nombre dedetección(distingue entremayúsculas yminúsculas)
No
Programaspotencialmente nodeseados
Opcionesconfiguración
Nombre Sí
Véase también Caracteres comodín en exclusiones de análisis en la página 44
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 43
Caracteres comodín en exclusiones de análisisPuede usar caracteres comodín para representar caracteres en exclusiones para el análisis dearchivos, carpetas y programas potencialmente no deseados.
Tabla 3-1 Caracteres comodín válidos
Caráctercomodín
Nombre Representa
? Signo deinterrogación
Un solo carácter.
Este comodín se aplica solamente si el número decaracteres coincide con la longitud del nombre de archivoo carpeta. Por ejemplo: La exclusión W?? excluye WWW,pero no WW o WWWW.
* Asterisco Varios caracteres.
** Doble asterisco Cero o más caracteres, incluida la barra invertida (\).
Este comodín corresponde a cero o más caracteres. Porejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZy C:\ABC\XYZ.
Los comodines pueden aparecer delante de una barra invertida (\) en una ruta. Por ejemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.
Detección de programas potencialmente no deseadosPara proteger el equipo gestionado contra programas potencialmente no deseados, especifiquearchivos y programas que detectar en el entorno y luego active la detección.
Los programas potencialmente no deseados son programas de software que molestan o que puedenalterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmenteno deseados pueden ir incrustados en programas que los usuarios descargan intencionalmente. Losprogramas no deseados pueden incluir spyware, adware y marcadores.
1 Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajodemanda los detecten en la configuración de la Opciones.
2 Active la detección de programas no deseados y especifique acciones que emprender cuando seproducen detecciones en estas configuraciones:
• Configuración de Análisis en tiempo real
• Configuración de Análisis bajo demanda
Véase también Especificar programas potencialmente no deseados a detectar en la página 45Activar y configurar la detección de programas potencialmente no deseados y respuestas en lapágina 45Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55
3 Mediante Threat PreventionAdministrar Threat Prevention
44 McAfee Endpoint Security 10 Guía del producto
Especificar programas potencialmente no deseados a detectarEspecifique programas adicionales para que los analizadores en tiempo real y bajo demanda los tratencomo programas no deseados en la configuración de Opciones.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Los analizadores detectan tanto los programas que especifique como los especificados en los archivosde AMCore content.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Opciones.
5 Desde Detecciones de programas potencialmente no deseados:• Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o
programa que tratar como programa potencialmente no deseado.
La Descripción aparece como nombre de detección cuando se produce una detección.
• Haga doble clic en el nombre o descripción de un programa potencialmente no deseado yaexistente para modificarlo.
• Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic enEliminar para quitarlo de la lista.
Véase también Iniciar sesión como administrador en la página 24
Activar y configurar la detección de programas potencialmente nodeseados y respuestasActive que los analizadores en tiempo real o bajo demanda detecten programas potencialmente nodeseados, y especifique respuestas cuando se encuentre alguno.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 45
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Configure la Análisis en tiempo real.
a Abra Endpoint Security Client.
b Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Preventionen la página Configuración.
c Haga clic en Mostrar avanzado.
d Haga clic en Análisis en tiempo real.
e En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas nodeseados.
f En Acciones, configure respuestas a los programas no deseados.
2 Configure la Análisis bajo demanda.
a Abra Endpoint Security Client.
b Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Preventionen la página Configuración.
c Haga clic en Mostrar avanzado.
d Haga clic en Análisis bajo demanda.
e Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):
• Seleccione Detectar programas no deseados.
• En Acciones, configure respuestas a los programas no deseados.
Véase también Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55Iniciar sesión como administrador en la página 24
Configure la Protección de accesoUse reglas en la configuración de Protección de acceso para proteger los puntos de acceso del sistema.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Puede activar, desactivar y cambiar estas reglas, pero no las puede eliminar.
3 Mediante Threat PreventionAdministrar Threat Prevention
46 McAfee Endpoint Security 10 Guía del producto
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Protección de acceso.
5 Compruebe que la protección de acceso esté activada.
La protección de acceso está activada de forma predeterminada.
6 En la sección Exclusiones, agregue procesos que excluir de todas las reglas.
Utilice el nombre exacto del proceso. Por ejemplo, especifique estas exclusiones: avtask.exe,cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe.
La protección de acceso permite acceder a los procesos que especifique.
7 En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para cada regla.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
Para deshabilitar una regla, cancele la selección de las acciones Bloquear e Informa.
8 Seleccione una regla, haga clic en Agregar e introduzca un proceso que excluir de la reglaseleccionada.
9 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24
Protección de los puntos de acceso del sistemaLa primera línea de defensa contra el malware es proteger los puntos de acceso del sistema clientecontra el acceso de amenazas. Protección de acceso impide cambios no deseados en el equipogestionado mediante la restricción del acceso a determinados puertos, archivos, recursos compartidos,registro y claves.
Protección de acceso utiliza reglas para informar del acceso a elementos o bloquearlo. El analizador entiempo real compara una acción solicitada contra una lista de reglas, y realiza la acción especificadaen la regla.
El analizador en tiempo real se debe activar para detectar los intentos de acceso a puertos, archivos,recursos compartidos, valores de Registro y claves de Registro.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 47
Cómo obtienen acceso las amenazasLas amenazas obtienen acceso a un sistema mediante varios puntos de acceso.
Punto de acceso Descripción
Macros Incluidas en documentos de procesamiento de textos y aplicaciones dehojas de cálculo.
Archivos ejecutables Los programas aparentemente benignos pueden incluir virus junto con elprograma esperado. Algunas extensiones de archivo comunesson .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
Scripts Los scripts como ActiveX y JavaScript están asociados a páginas web ycorreo electrónico y, si se permite su ejecución, pueden incluir virus.
Mensajes de InternetRelay Chat (IRC)
Los archivos enviados junto con estos mensajes pueden contener malwarecomo parte del mensaje. Por ejemplo, los procesos de inicio automáticopueden incluir gusanos y troyanos.
Archivos de ayuda deaplicaciones ynavegadores
La descarga de estos archivos de ayuda expone el sistema a virusincrustados y ejecutables.
Correo electrónico Bromas, juegos e imágenes incluidos en mensajes de correo electrónicoque contienen datos adjuntos.
Combinaciones de todosestos puntos de acceso
Los creadores del malware más sofisticado combinan todos los métodos deentrega anteriores e incluso incluyen un elemento de malware dentro deotro a fin de intentar acceder al equipo gestionado.
Cómo la Protección de acceso detiene amenazasProtección de acceso detiene amenazas potenciales al gestionar acciones mediante reglas deprotección predefinidas.
Threat Prevention sigue este proceso básico para proporcionar protección de acceso.
Cuando se produce una amenaza
Cuando un usuario o proceso actúa:
1 Protección de acceso analiza dicha acción conforme a las reglas definidas.
2 Si la acción incumple una regla, Protección de acceso administra la acción mediante la informaciónen las reglas configuradas.
3 Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor deadministración, si está administrado.
Ejemplo de amenaza de acceso
1 Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.
2 El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado.
3 MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.
4 Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.
5 Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo einforme.
6 Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra losdetalles del intento. Protección de acceso también genera y envía una alerta al servidor deadministración.
3 Mediante Threat PreventionAdministrar Threat Prevention
48 McAfee Endpoint Security 10 Guía del producto
Configurar Prevención de exploitPara impedir que las aplicaciones ejecuten código arbitrario en su equipo, configure Prevención deexploits.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Prevención de exploits.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar loscambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24
Bloqueo de vulnerabilidades de desbordamiento del búferPrevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Estafunción supervisa las llamadas de modo usuario de API y reconoce cuándo son el resultado de undesbordamiento del búfer.Cuando se produce una detección, la información se incluye en el registro de actividades y se muestraen el sistema cliente, y se envía al servidor de administración, si se ha configurado.
Threat Prevention utiliza el archivo de contenido de prevención de exploits para proteger aplicacionescomo Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger.
Vulnerabilidades de desbordamiento del búferLos atacantes utilizan las vulnerabilidades de desbordamiento del búfer para ejecutar un código quedesborda el búfer de tamaño fijo reservado para procesos de entrada. Este código permite al atacantetomar el control del equipo de destino o poner en peligro sus datos.Más del 25 % de los ataques de malware son ataques de desbordamiento del búfer que intentansobrescribir la memoria adyacente en el marco de pila.
Los dos tipos de vulnerabilidades de desbordamiento del búfer son:
• Ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas deusuario (más comunes).
• Ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).
El objeto de memoria en pila de tamaño fijo se encuentra vacía a la espera de que el usuario realiceuna entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenanen la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesala pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 49
A continuación se describe un ataque por desbordamiento del búfer basado en pila:
1 Desbordar la pila.
Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para losdatos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado paraellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.
2 Vulnerar el desbordamiento.
El programa espera por información del usuario. Si el atacante introduce un comando ejecutableque excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.
3 Ejecutar el malware.
El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En unprincipio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó undirección de retorno proporcionada que hace referencia al comando malicioso, el programa intentarecuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el comandomalicioso se ejecuta.
4 Vulnerar permisos.
El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta enpeligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisosheredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total delsistema operativo.
Configure Análisis en tiempo realEstos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación demensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Consulte los parámetros de Common para ver más opciones de configuración.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Análisis en tiempo real.
5 Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.
3 Mediante Threat PreventionAdministrar Threat Prevention
50 McAfee Endpoint Security 10 Guía del producto
6 Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintospara procesos de riesgo alto o bajo.
• Configuración estándar: configure los parámetros de análisis en la ficha Estándar.
• Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgobajo) y configure los parámetros de análisis para cada tipo de proceso.
7 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24Configurar parámetros de análisis comunes en la página 60
Cómo funciona el análisis en tiempo realEl analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador defiltro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez.
El analizador en tiempo real envía notificaciones a la interfaz del servicio del sistema cuando seproducen detecciones.
Cuando se produce un intento de abrir o cerrar un archivo, el analizador intercepta la operación y:
1 El analizador determina si el elemento debe analizarse según estos criterios:
• La extensión del archivo coincide con la configuración.
• El archivo no se ha guardado en caché, excluido o analizado anteriormente.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2 Si el archivo cumple los criterios de análisis, el analizador lo compara con las firmas que seencuentran en ese momento en los archivos de AMCore content.
• Si el archivo está limpio, el resultado se guarda en caché y se garantizan las operaciones delectura o escritura.
• Si el archivo contiene una amenaza, se deniega la operación y el analizador lleva a cabo laacción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1 Se utiliza la información en el archivo de AMCore content cargado en ese momento paralimpiar el archivo.
2 Registra los resultados en el registro de actividades.
3 Notifica al usuario que ha detectado una amenaza en el archivo, y solicita la acción querealizar (limpiar o eliminar el archivo).
Windows 8: si el analizador detecta una amenaza en la ruta de una aplicación de la TiendaWindows instalada, el analizador la marca como alterada. Windows 8 agrega la marca dealterada al título para la aplicación. Cuando intenta ejecutarla, Windows notifica el problema yremite a la Tienda Windows para una reinstalación.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 51
3 Si el archivo no cumple los requisitos del análisis, el analizador guarda en caché el archivo ypermite la operación.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de EndpointSecurity o el sistema.
Threat Prevention vacía la caché de análisis global y vuelve a analizar todos los archivos cuando:
• La configuración de Análisis en tiempo real cambia.
• Se agrega un archivo Extra.DAT.
Analizar al escribir en disco, leer del disco o dejar que decida McAfee
Puede especificar cuándo debe analizar archivos el analizador en tiempo real: al escribir en disco, alleer del disco o cuando lo decida McAfee.
3 Mediante Threat PreventionAdministrar Threat Prevention
52 McAfee Endpoint Security 10 Guía del producto
Cuando se escriben archivos en el disco, el analizador en tiempo real analiza estos archivos:
• Archivos entrantes escritos en la unidad de disco duro local.
• Archivos (nuevos, modificados, o copiados o trasladados de una unidad a otra) creados en launidad de disco duro local o en una unidad de red asignada (si se ha habilitado).
Cuando se leen archivos del disco, el analizador analiza estos archivos:
• Archivos salientes que se leen desde la unidad de disco duro local o desde unidades de redasignadas (si se han habilitado).
• Los archivos que intenten ejecutar un proceso en la unidad de disco duro local.
• Archivos abiertos en el disco duro local.
Si opta por que McAfee decida si analizar un archivo, el analizador en tiempo real utiliza la lógica deconfianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta elrendimiento al evitar análisis innecesarios. Por ejemplo, McAfee analiza y considera fiables algunosprogramas. Si McAfee determina que dichos programas no se han alterado, puede que el analizadorrealice un análisis reducido u optimizado.
Análisis de scripts
El analizador de scripts de Threat Prevention funciona como un componente de proxy del WindowsScripting Host nativo, e intercepta y analiza los scripts antes de su ejecución.
Por ejemplo:
• Si el scripts está limpio, su analizador la pasa al Windows Script Host nativo.
• Si el script contiene una posible amenaza, no se ejecuta.
Si se desactiva ScriptScan al iniciar Internet Explorer y a continuación se activa, no detectará scriptsmaliciosos en esa instancia de Internet Explorer.
Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scriptsmaliciosos.
Anule la selección de esta opción para que el equipo cliente utilice tanto las exclusionesespecificadas aquí como las especificadas localmente en el cliente.
Puede especificar sitios web que excluir de la inspección si utilizan scripts.
En los sistemas Windows Server 2008, las exclusiones de URL de ScriptScan no funcionan con WindowsInternet Explorer a menos que se habiliten las extensiones de explorador de terceros y se reinicie elsistema. Consulte el artículo de la base de datos KnowledgeBase KB69526.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 53
Cómo determinar la configuración de análisis para procesosSiga este proceso para determinar si necesita configurar opciones distintas basadas en un tipo deproceso.
3 Mediante Threat PreventionAdministrar Threat Prevention
54 McAfee Endpoint Security 10 Guía del producto
Configure Análisis bajo demanda Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisiscompleto, Análisis rápido y Análisis con el botón derecho.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Consulte los parámetros de Common para ver más opciones de configuración.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Análisis bajo demanda.
5 Haga clic en una ficha para configurar parámetros para el análisis especificado.
• Análisis completo
• Análisis rápido
• Análisis con el botón derecho del ratón
6 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar loscambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24Configurar parámetros de análisis comunes en la página 60Planifique las tareas Análisis completo y Análisis rápido en la página 60
Cómo funciona el análisis bajo demandaEl analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otroselementos en busca de malware que pueda haber infectado el equipo.
Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizarsistemas manualmente, a una hora programada o cuando el sistema arranca.
1 El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debeanalizar:
• La extensión del archivo coincide con la configuración.
• El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizadorutiliza la caché de análisis).
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 55
2 Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas demalware conocido que se encuentran en ese momento en los archivos de AMCore content.
• Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba elsiguiente elemento.
• Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1 Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiarel archivo.
2 Registra los resultados en el registro de actividades.
3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre delelemento y la acción que se ha realizado.
Windows 8: si el analizador detecta una amenaza en la ruta de una aplicación de la TiendaWindows instalada, el analizador la marca como alterada. Windows 8 agrega la marca dealterada al título para la aplicación. Cuando intenta ejecutarla, Windows notifica el problema yremite a la Tienda Windows para una reinstalación.
3 Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, elanalizador continúa hasta que se han analizado todos los datos.
3 Mediante Threat PreventionAdministrar Threat Prevention
56 McAfee Endpoint Security 10 Guía del producto
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajodemanda.
Threat Prevention vacía la caché de análisis global y vuelve a analizar todos los archivos cuando secarga un Extra.DAT.
Reducción del impacto de los análisis en los usuariosPara minimizar el impacto de los análisis bajo demanda en el sistema, especifique opciones derendimiento al configurar estos análisis.
Analizar solo cuando el sistema está inactivo
La forma más fácil de cerciorarse de que el análisis no afecte a los usuarios es realizando el análisisbajo demanda solo cuando el equipo esté inactivo.
Cuando se selecciona esta opción, Threat Prevention pausa el análisis cuando detecta actividad deldisco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Threat Prevention reanuda elanálisis si el usuario no accede al sistema durante tres minutos.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 57
Como opción, puede:
• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad delusuario.
• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.
McAfee recomienda desactivar esta opción solo en los sistemas servidor y en los sistemas en que losusuarios acceden mediante una conexión de escritorio remoto (RDP). Threat Prevention depende deMcTray para determinar si el sistema está inactivo. En sistemas a los que solo se accede medianteescritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta.
Para evitar este problema, los usuarios pueden iniciar McTray (de manera predeterminadaen C:\Program Files\McAfee\Agent\mctray.exe) manualmente cuando inicie sesión en elescritorio remoto.
Seleccionar Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la configuración deAnálisis bajo demanda.
Pausar análisis automáticamente
Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de labatería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completauna aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisisse reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se estáejecutando en modo de pantalla completa.
Seleccione estas opciones en la sección Rendimiento de la configuración de Análisis bajo demanda:
• No analizar si el sistema funciona mediante la batería
• No analizar si el sistema está en modo de presentación (disponible cuando se ha seleccionado Analizar en cualquiermomento)
Permitir que los usuarios aplacen los análisis
Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisisplanificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cadausuario puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, elusuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horasmáximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción acero, el usuario puede seguir aplazando el análisis para siempre.
Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la configuración de Análisisbajo demanda.
Limitar la actividad de análisis con análisis incrementales
Utilice análisis incrementales, o reanudable, para limitar cuándo se produce la actividad del análisisbajo demanda, y analizar igualmente todo el sistema en varias sesiones. Para usar análisisincrementales, agregue un límite al análisis planificado. El análisis se detiene cuando se alcanza ellímite de tiempo. La próxima vez que se inicia esta tarea, continúa el análisis desde el lugar de laestructura del archivo y carpeta en que se detuvo el análisis previo.
Seleccione Detener la tarea si se ejecuta durante más de en la categoría Tiempo de espera de la tarea Análisis bajodemanda. Consulte Planifique las tareas Análisis completo y Análisis rápido en la página 60.
3 Mediante Threat PreventionAdministrar Threat Prevention
58 McAfee Endpoint Security 10 Guía del producto
Configurar utilización del sistema
Utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante elanálisis. Para los sistemas con actividad del usuario final, establezca la utilización del sistema en Bajo.
Seleccione Utilización del sistema en la sección Rendimiento de la configuración de Análisis bajo demanda.
Véase también Configure Análisis bajo demanda en la página 55Planifique las tareas Análisis completo y Análisis rápido en la página 60
Funcionamiento de la utilización del sistemaEl analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisisy la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite alsistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibedurante el proceso de análisis.
Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto deaplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuariofinal. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finalizamás rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y pocaactividad del usuario final.
Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Tabla 3-2 Configuración de procesos predeterminada
Configuración deprocesos de ThreatPrevention
Esta opción... parámetroWindows SetPriority
Bajo Proporciona un rendimiento mejorado del restode las aplicaciones en ejecución. Seleccione estaopción para sistemas con actividad del usuariofinal.
Bajo
Por debajo de lo normal Establece la utilización del sistema para elanálisis en el valor predeterminado de McAfeeePO.
Por debajo de lonormal
Normal (predeterminado) Permite que el análisis finalice más rápido.Seleccione esta opción para sistemas que tienengrandes volúmenes y poca actividad del usuariofinal.
Normal
Funcionamiento del análisis de Almacenamiento remotoPuede configurar el analizador bajo demanda para que analice el contenido de archivos gestionadospor Almacenamiento remoto.
Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuandoresulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivospertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta.Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recuperaautomáticamente los datos del dispositivo de almacenamiento.
Seleccione la opción Analizar archivos que se han migrado al almacenamiento para configurar el analizador bajodemanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando elanalizador se encuentra un archivo con contenido migrado, restaura el archivo al sistema local antesdel análisis.
Para obtener más información, consulte Qué es el Almacenamiento remoto.
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 59
Planifique las tareas Análisis completo y Análisis rápido Puede planificar las tareas Análisis completo y Análisis rápido desde el Endpoint Security Client en el móduloCommon.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Utilice estos parámetros para configurar cuándo se ejecutarán las tareas Análisis completo y Análisisrápido. Consulte Configure Análisis bajo demanda en la página 55 para configurar el comportamientopredeterminado de análisis iniciados desde el Endpoint Security Client.
Solo puede configurar estos parámetros en sistemas autogestionados.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Tareas.
5 Haga doble clic en Análisis completo o en Análisis rápido, edite la planificación, a continuación haga clicen Aceptar para guardar los cambios o haga clic en Cancelar.
6 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24Configure Análisis bajo demanda en la página 55
Configurar parámetros de análisis comunesPara especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, realice laconfiguración de Opciones de Threat Prevention.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Esta configuración se aplicará a todos los análisis:
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antesde eliminarlos automáticamente
• Nombres de detección que se excluirán de los análisis
• Programas potencialmente no deseados que detectar, como spyware y adware
3 Mediante Threat PreventionAdministrar Threat Prevention
60 McAfee Endpoint Security 10 Guía del producto
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Threat Prevention en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Opciones.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar loscambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55
Mediante Threat PreventionAdministrar Threat Prevention 3
McAfee Endpoint Security 10 Guía del producto 61
3 Mediante Threat PreventionAdministrar Threat Prevention
62 McAfee Endpoint Security 10 Guía del producto
4 Usar Firewall
Firewall actúa como filtro entre su equipo y la red o Internet.
Contenido Cómo funciona el Firewall Administrar Firewall
Cómo funciona el FirewallEl Firewall analiza todo el tráfico entrante y saliente.
A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es unconjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla,el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall.
La información sobre detecciones de amenazas se guarda para crear informes que notifican aladministrador sobre cualquier problema de seguridad relativo al equipo.
Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan lasreglas de firewall para una administración más fácil.
Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador,puede configurar las reglas y grupos mediante Endpoint Security Client. Para los sistemas gestionados,las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegue una directivaactualizada.
Véase también Configurar Firewall opciones en la página 64Cómo funcionan las reglas de firewall en la página 66Cómo funcionan los grupos de reglas de firewall en la página 68
Administrar FirewallComo administrador, puede configurar las opciones de Firewall y crear reglas y grupos en EndpointSecurity Client.
En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.
Véase también Modificar opciones de Firewall en la página 64Creación y administración de directivas y grupos de Firewall en la página 72
4
McAfee Endpoint Security 10 Guía del producto 63
Modificar opciones de FirewallComo administrador, puede modificar las opciones de Firewall desde el Endpoint Security Client.
Procedimientos• Configurar Firewall opciones en la página 64
Configurar parámetros en Opciones active o desactive la protección por firewall, active elmodo de adaptación y configure otras opciones de Firewall.
• Bloquear el tráfico DNS en la página 64Para ajustar la protección por firewall, puede crear una lista de nombres de dominiocompletos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que seresuelven en los nombres de dominio.
Véase también Preguntas frecuentes: McAfee GTI y Firewall en la página 65
Configurar Firewall opciones Configurar parámetros en Opciones active o desactive la protección por firewall, active el modo deadaptación y configure otras opciones de Firewall.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Firewall en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en lapágina Configuración.
3 Seleccione Activar Firewall para activarlo y modificar sus opciones.
4 Haga clic en Mostrar avanzado.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar loscambios o en Cancelar.
Véase también Iniciar sesión como administrador en la página 24
Bloquear el tráfico DNSPara ajustar la protección por firewall, puede crear una lista de nombres de dominio completos quedesee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombresde dominio.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
4 Usar FirewallAdministrar Firewall
64 McAfee Endpoint Security 10 Guía del producto
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Firewall en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en lapágina Configuración.
3 En Bloqueo de DNS, haga clic en Agregar.
4 Introduzca los nombres completos de los dominios que desee bloquear.
Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.
Las entradas duplicadas se eliminan automáticamente.
5 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Preguntas frecuentes: McAfee GTI y FirewallA continuación se incluyen las respuestas a las preguntas más frecuentes.
La configuración de las Opciones de Firewall le permiten bloquear el tráfico entrante y saliente de unaconexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentesexplican qué hace McAfee GTI y cómo afecta al firewall.
¿Qué es McAfee GTI?
McAfee GTI es un sistema de inteligencia global de reputación en Internet que determina qué esun buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa el análisis entiempo real de comportamientos mundiales y de patrones de envío de correo electrónico, laactividad web, el malware y el comportamiento de sistema a sistema. Usando los datosobtenidos del análisis, McAfee GTI calcula de forma dinámica las calificaciones de reputación querepresentan el nivel de riesgo para su red cuando visita una página web. El resultado es unabase de datos de calificaciones de reputación para direcciones IP, dominios, mensajesespecíficos, URL e imágenes.
¿Cómo funciona?
Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitirservicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexióna McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y elumbral de bloqueo configurado.
¿Qué quiere decir "reputación"?
McAfee GTI calcula un valor de reputación para cada dirección IP en Internet. McAfee GTI sebasa en el comportamiento de envío y de hosting, y los varios datos de entorno recogidos de losclientes y socios acerca del panorama de amenazas en Internet. La reputación se expresa encuatro clases, basadas en nuestro análisis:• No bloquear (riesgo mínimo): es una fuente o destino legítimo de contenido/tráfico.
• Sin verificar: este sitio web parece ser una fuente o destino legítimo de contenido/tráfico. Sinembargo, también muestra algunas propiedades que sugieren la necesidad de una inspecciónadicional.
Usar FirewallAdministrar Firewall 4
McAfee Endpoint Security 10 Guía del producto 65
• Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos quecreemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino oprocedente del mismo requiere un escrutinio especial.
• Riesgo alto: se sabe o sospecha que esta fuente/destino envía/aloja contenido/tráficopotencialmente malicioso. Creemos que supone un serio riesgo.
¿McAfee GTI introduce latencia? ¿Cuánta?
Cuando McAfee GTI recibe una solicitud de búsqueda de reputación, algo de latencia esinevitable. McAfee ha hecho todo lo posible para minimizar dicha latencia. McAfee GTI:• Comprueba la reputación solo cuando se seleccionan las opciones.
• Usa una arquitectura de almacenamiento en caché inteligente. En un uso normal de la red, lacaché resuelve la mayoría de las conexiones deseadas sin consultas a la reputación en línea.
Si el firewall no puede llegar a los servidores de McAfee GTI, ¿se detiene el tráfico?
Si el firewall no puede llegar a cualquiera de los servidores de McAfee GTI, asignaautomáticamente a todas las conexiones aplicables una reputación predeterminada permitida. Acontinuación, el firewall sigue con un análisis de las reglas posteriores.
Administración de directivas y grupos de FirewallComo administrador, puede configurar las reglas y grupos de Firewall desde Endpoint Security Client.
Procedimientos• Creación y administración de directivas y grupos de Firewall en la página 72
Para los sistemas gestionados, las reglas o grupos que configure desde Endpoint SecurityClient podrían sobrescribirse cuando el administrador despliegue una directiva actualizada.
• Creación de grupos de aislamiento de conexión en la página 74Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjuntode reglas que se apliquen solo cuando se conecta a una red con unos parámetrosdeterminados.
Véase también Cómo funcionan las reglas de firewall en la página 66Cómo funcionan los grupos de reglas de firewall en la página 68
Cómo funcionan las reglas de firewallLas reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece unconjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear eltráfico.
Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acciónasociada.
Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (porejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones.Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para asífacilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red,transporte, aplicación, programa y localización.
4 Usar FirewallAdministrar Firewall
66 McAfee Endpoint Security 10 Guía del producto
Firewall usa la prioridad para aplicar reglas:
1 Firewall aplica la regla situada en primera posición en la lista de reglas de firewall.Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intentaaplicar ninguna otra regla de la lista.
2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguienteregla de la lista hasta que encuentre una regla que coincida con el tráfico.
3 Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente.
Figura 4-1 Prioridad de reglas
Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, eltráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewallaplique solo la primera regla coincidente de la lista.
RecomendacionesColoque las reglas más específicas al principio de la lista y las reglas más generales al final. Este ordenasegura que Firewall filtra el tráfico adecuadamente.
Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, ladirección IP 10.10.10.1), cree dos reglas:
• Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla esespecífica.
• Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.
Usar FirewallAdministrar Firewall 4
McAfee Endpoint Security 10 Guía del producto 67
Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewallque la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde ladirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico através del firewall.
Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraríauna coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla debloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTPprovenientes de una dirección específica.
Cómo funcionan los grupos de reglas de firewallUse los grupos de reglas de Firewall para organizar las reglas de firewall de forma que puedanadministrarse con mayor facilidad. Los grupos de reglas de Firewall no afectan a la forma en queFirewall trata las reglas incluidas en ellos, es decir, Firewall sigue procesándolos de arriba a abajo.
Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas quecontiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.
Hacer que los grupos detecten la ubicación
Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento deconexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detectenel adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador paraequipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre,los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientespara cada adaptador de red:
Ubicación:
• Requerir que McAfee ePO sea accesible • Dirección IP del servidor WINS principal
• Sufijo DNS específico de conexión • Dirección IP del servidor WINS secundario
• Dirección IP de la gateway predeterminada • Posibilidad de alcance del dominio
• Dirección IP del servidor DHCP • Clave de Registro
• Servidor DNS consultado para resolver lasURL
Red:
• Dirección IP local
• Tipo de soporte
Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normaly procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en elprimer grupo, prosigue con el procesamiento de la regla.
Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y unaconexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeñode reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado,el firewall las omite.
4 Usar FirewallAdministrar Firewall
68 McAfee Endpoint Security 10 Guía del producto
Si esta opción estáseleccionada...
Entonces...
Activar detección de ubicación Se requiere un nombre de localización.
Requerir el acceso a McAfeeePO
El servidor McAfee ePO es accesible y se ha resuelto el nombre dedominio completo del servidor.
Red local La dirección IP del adaptador debe coincidir con una de las entradasde la lista.
Sufijo DNS específico deconexión
El sufijo DNS del adaptador debe coincidir con una de las entradasde la lista.
Gateway predeterminada La dirección IP de gateway predeterminada del adaptador debecoincidir al menos con una de las entradas de la lista.
Servidor DHCP La dirección IP del servidor DHCP del adaptador debe coincidir almenos con una de las entradas de la lista.
Servidor DNS La dirección IP del servidor DNS del adaptador debe coincidir concualquiera de las entradas de la lista.
Servidor WINS principal La dirección IP del servidor WINS principal del adaptador debecoincidir al menos con una de las entradas de la lista.
Servidor WINS secundario La dirección IP del servidor WINS secundario del adaptador debecoincidir al menos con una de las entradas de la lista.
Posibilidad de alcance deldominio (HTTPS)
El dominio especificado debe ser accesible mediante HTTPS.
Grupos de reglas y aislamiento de conexión de FirewallUse el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una reddesignada.
Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC)activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con:
• Permitir reglas anteriores al grupo en la lista de reglas de firewall
• Criterios de grupo
Usar FirewallAdministrar Firewall 4
McAfee Endpoint Security 10 Guía del producto 69
El resto del tráfico se bloquea.
Cualquier grupo con el aislamiento de conexión activado no puede tener asociadas opciones detransporte ni ejecutables.
Figura 4-2 Aislamiento de conexión de red
4 Usar FirewallAdministrar Firewall
70 McAfee Endpoint Security 10 Guía del producto
Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: unentorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en esteorden:
1 Reglas para una conexión básica
2 Reglas para una conexión VPN
3 Grupo con reglas de conexión de LAN corporativa
4 Grupo con reglas de conexión VPN
Ejemplo: aislamiento de conexión en la red corporativa
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LANcorporativa. Este grupo contiene esta configuración:
• Tipo de soporte = con cable
• Sufijo DNS específico de conexión: mycompany.com
• Gateway predeterminada
• Aislamiento de conexión = Activado
El el equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa conuna conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que seconecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas deacceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable estáactiva y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través deLAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que nopasa por la LAN queda bloqueado.
Ejemplo: aislamiento de conexión en un hotel
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Estegrupo contiene esta configuración:
• Tipo de soporte = Virtual
• Sufijo DNS específico de conexión: vpn.mycompany.com
• Dirección IP: una dirección en un intervalo específico para el concentrador VPN
• Aislamiento de conexión = Activado
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel parapoder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN.Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criteriosdel grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráficobásico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder alequipo a través de la red, ya sea por cable o de forma inalámbrica.
Usar FirewallAdministrar Firewall 4
McAfee Endpoint Security 10 Guía del producto 71
Creación y administración de directivas y grupos de FirewallPara los sistemas gestionados, las reglas o grupos que configure desde Endpoint Security Clientpodrían sobrescribirse cuando el administrador despliegue una directiva actualizada.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar lasreglas por columna.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Firewall en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en lapágina Configuración.
3 Use estas tareas para administrar las reglas de firewall y grupos, luego haga clic en Aplicar paraguardar los cambios a las Reglas de firewall.
Para hacer esto... Siga estos pasos
Vea las reglas en un grupo delfirewall.
Haga clic en .
Contraiga un grupo de firewall. Haga clic en .
Modificar una regla existente.
Puede modificar las reglassolo en el grupo Agregado porel usuario.
1 Expandir el grupo Agregado por usuario.
2 Haga doble clic en la regla.
3 Cambie la configuración de reglas.
4 Haga clic en Aceptar para guardar los cambios.
Ver una regla existente encualquier grupo.
1 Expanda el grupo.
2 Seleccione la regla para ver sus detalles en el panel inferior.
Crear una regla. 1 Haga clic en Agregar regla.
2 Especifique la configuración de reglas.
3 Haga clic en Aceptar para guardar los cambios.
La regla aparece al final del grupo Agregado por el usuario.
Crear copias de reglas. 1 Seleccione la regla o reglas y haga clic en Duplicar.Las reglas copiadas aparecen con el mismo nombre al finaldel grupo Agregado por el usuario.
2 Modificar las reglas para cambiar el nombre y laconfiguración.
4 Usar FirewallAdministrar Firewall
72 McAfee Endpoint Security 10 Guía del producto
Para hacer esto... Siga estos pasos
Eliminar reglas.
Puede eliminar reglas solodesde los grupos Agregado porel usuario y Adaptación.
1 Expanda el grupo.
2 Seleccione la regla o reglas y haga clic en Eliminar.
Crear un grupo. 1 Haga clic en Agregar grupo.
2 Especifique la configuración del grupo.
3 Haga clic en Aceptar para guardar los cambios.
El grupo aparece en el grupo Agregado por el usuario.
Mover reglas y grupos dentro yentre grupos.
Puede modificar las reglas ygrupos solo en el grupoAgregado por el usuario.
Para mover elementos:1 Seleccione los elementos que mover.
El control de ajuste aparece a la izquierda de loselementos que puedan moverse.
2 Arrastre y coloque los elementos en su nueva ubicación.Una línea azul aparece entre elementos allí donde puedacolocar los elementos arrastrados.
4 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Caracteres comodín en reglas de firewall en la página 73Permitir conexiones FTP en la página 74Iniciar sesión como administrador en la página 24Creación de grupos de aislamiento de conexión en la página 74
Caracteres comodín en reglas de firewallPuede usar caracteres comodín para representar caracteres para algunos valores en las reglas defirewall.
Caracteres comodín en valores de ruta y dirección
Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientescaracteres comodín.
Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen losvalores de los comodines.
? Signo de interrogación Un solo carácter.
* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utiliceeste carácter para hacer coincidir los contenidos del nivel raíz de unacarpeta sin subcarpetas.
** Doble asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).
| canalización Escape de caracteres comodín.
Para el asterisco doble (**), el escape es |*|*.
Usar FirewallAdministrar Firewall 4
McAfee Endpoint Security 10 Guía del producto 73
Caracteres comodín en todos los demás valoresPara los valores que normalmente no contienen información de ruta con barras, use los siguientescaracteres comodín.
? Signo de interrogación Un solo carácter.
* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).
| canalización Escape de caracteres comodín.
Creación de grupos de aislamiento de conexiónCree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglasque se apliquen solo cuando se conecta a una red con unos parámetros determinados.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Firewall en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en lapágina Configuración.
3 En REGLAS, haga clic en Agregar grupo.
4 En Descripción, especifique las opciones para el grupo.
5 En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación,seleccione los criterios de ubicación para la búsqueda de coincidencias.
6 Bajo Opciones de red, para Tipos de soporte, seleccione el tipo de conexión (Con cable, Inalámbrica, o Virtual)para aplicar a las reglas de este grupo.
La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.
7 Haga clic en Aplicar para guardar los cambios o en Cancelar.
8 Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglasde firewall.
Véase también Grupos de reglas y aislamiento de conexión de Firewall en la página 69Cómo funcionan los grupos de reglas de firewall en la página 68
Permitir conexiones FTPPara permitir conexiones FTP en modo activo, cree reglas de firewall para permitir conexionesentrantes y salientes en puertos específicos.
El protocolo FTP usa dos conexiones: control para los comandos y datos para la información.
Dado que Firewall no inspecciona paquetes de protocolo FTP, las conexiones FTP no se permiten deforma predeterminada. Para permitir conexiones FTP, cree reglas de firewall para permitir conexionesen puertos específicos.
4 Usar FirewallAdministrar Firewall
74 McAfee Endpoint Security 10 Guía del producto
FTP en modo activo
Cuando un cliente se conecta a un servidor FTP en modo activo:
• El canal de control se establece en el puerto TCP 21.
• El canal de datos se establece en el puerto TCP 20.
Para permitir que un cliente FTP se conecte y cargue/descargue datos en un servidor FTPen modo activo, cree las siguientes reglas de firewall en el cliente:
• Permitir las conexiones salientes en el puerto TCP 21 del servidor.
• Permitir las conexiones entrantes en el puerto TCP 20 del servidor.
Para que un servidor FTP permita a un cliente FTP conectarse y cargar/descargar datos,cree las siguientes reglas de firewall en el servidor:
• Permitir las conexiones entrantes en el puerto TCP 21 del servidor.
• Permitir las conexiones salientes en el puerto TCP 20 del servidor.
FTP en modo pasivo
El FTP en modo pasivo requiere que abra una serie de puertos para el canal de datos en el servidor FTP.
Cuando un cliente se conecta a un servidor FTP en modo pasivo:
• El canal de control se establece en el puerto TCP 21.
• El canal de datos se establece en el intervalo de puertos TCP entre 1025 y 5000.
Para permitir que un cliente FTP se conecte y cargue/descargue datos en un servidor FTPen modo pasivo, cree las siguientes reglas de firewall en el cliente:
• Permitir las conexiones salientes en el puerto TCP 21 del servidor.
• Permitir las conexiones entrantes y salientes en el intervalo de puertos TCP entre 1025 y 5000 delservidor.
Para que un servidor FTP permita a un cliente FTP conectarse y cargar/descargar datos,cree las siguientes reglas de firewall en el servidor:
• Permitir las conexiones entrantes en el puerto TCP 21 del servidor.
• Permitir las conexiones entrantes y salientes en el intervalo de puertos TCP entre 1025 y 5000 delservidor.
Véase también Creación y administración de directivas y grupos de Firewall en la página 72
Usar FirewallAdministrar Firewall 4
McAfee Endpoint Security 10 Guía del producto 75
4 Usar FirewallAdministrar Firewall
76 McAfee Endpoint Security 10 Guía del producto
5 Usar Web Control
Acceda a funciones de protección de Web Control desde el navegador mientras navega o busca.
Contenido Acerca deWeb Control funciones Acceder a las funciones de Web Control Administrar Web Control
Acerca deWeb Control funciones Dado que Web Control se ejecuta en cada sistema gestionado, le notificará a usted acerca de lasamenazas mientras realiza búsquedas o navega por sitios web.
Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadascon colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio.
El servicio de protección del navegador utiliza los resultados de las pruebas para notificarle a usted lasamenazas basadas en la Web con las que que podría encontrarse.
En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El colordel icono indica la calificación de seguridad del sitio web. Puede acceder a información adicional através de los iconos.
En la ventana del navegador: aparece un botón de menú en la esquina superior derecha. El colordel botón indica la calificación de seguridad del sitio. Puede acceder a información adicional haciendoclic en el botón.
Este botón también le notifica cuando se produce un problema de comunicación y proporciona accesorápido a pruebas que ayudan a identificar problemas comunes.
En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación deseguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otrosdatos.
En los sistemas gestionados, los administradores crean directivas para:
• Activar y desactivar Web Control en su sistema y evitar o permitir que los usuarios desactiven elcomplemento para software y navegador.
• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo decontenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitiosweb amarillos.
• Bloqueo o autorización de sitios en función de las direcciones URL y dominios.
5
McAfee Endpoint Security 10 Guía del producto 77
• Evitar que desinstale o cambie archivos, claves de Registro, valores de Registro, servicios yprocesos de Web Control.
• Personalizar la notificación que aparece cuando intenta acceder a un sitio web bloqueado.
• Supervisar y regular la actividad del navegador en los equipos de red y crear informes detalladosacerca de sitios web.
En los sistemas autogestionados, puede establecer la configuración para:
• Activar y desactivar Web Control en el sistema y evitar o permitir que se desactive el complementopara software y navegador.
• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo decontenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitiosweb amarillos.
El software es compatible con los navegadores Microsoft Internet Explorer, Mozilla Firefox y GoogleChrome.
Firefox no le permite verificar las descargas de archivos ni ocultar el botón de Web Control con elcomando Ver | Barras de herramientas .
Chrome no es compatible con la implementación de descarga de archivos ni la opción Mostrarglobo.
Véase también El botón Web Control identifica las amenazas durante la navegación en la página 78Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 79Los informes de sitio web proporcionan detalles en la página 79Modo de compilación de las clasificaciones de seguridad en la página 80
El botón Web Control identifica las amenazas durante lanavegaciónCuando usted navega a un sitio web, un botón codificado por color apareceen la esquina superior derecha del navegador. El color del botón corresponde a la calificación deseguridad del sitio web.
La ventana del navegador Chrome muestra un pequeño botón en la barra de dirección.
Verde McAfee SECURE™ prueba y certifica la seguridad de este sitioweb a diario.
Verde Este sitio web es seguro.
Amarillo Este sitio web podría presentar algunos problemas.
Rojo Este sitio web podría presentar serios problemas.
Gris No hay calificación disponible para el sitio web.
Naranja Se ha producido un error de comunicación con el servidor deMcAfee GTI que contiene información de calificación.
Azul No hay información disponible para calificar el sitio web. Elmotivo podría ser que se trata de un sitio web interno o unintervalo de direcciones IP privadas.
5 Usar Web ControlAcerca deWeb Control funciones
78 McAfee Endpoint Security 10 Guía del producto
Negro El sitio web es un sitio de phishing.
El phishing es un intento de adquirir información confidencial(por ejemplo, nombres de usuario, contraseñas o datos detarjetas de crédito). Los sitios de phishing se hacen pasar poruna entidad fiable en comunicaciones electrónicas.
Blanco Este sitio web está autorizado por una .
Plata Un ajuste de desactivó Web Control.
Véase también Acceder a las funciones mientras navega por Internet en la página 81Solucionar problemas de comunicación en la página 83
Los iconos de seguridad identifican las amenazas durante labúsquedaCuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!,Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página deresultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web.
Las pruebas no detectaron problemas importantes.
Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio haintentado cambiar los valores predeterminados de los analizadores para el navegador, hamostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correoelectrónico no considerados spam.
Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes deacceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correoelectrónico spam o adware incluido en las descargas.
Este sitio está bloqueado por una .
Este sitio web no tiene clasificación.
Véase también Ver informe de sitio web durante la búsqueda en la página 82
Los informes de sitio web proporcionan detallesUsted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazasconcretas.
Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienenla información indicada a continuación.
Usar Web ControlAcerca deWeb Control funciones 5
McAfee Endpoint Security 10 Guía del producto 79
Esteelemento...
Indica...
Descripcióngeneral
La calificación global del sitio web, determinada por estas pruebas:• Evaluación de las prácticas de correo electrónico y descarga del sitio web usando
nuestras técnicas patentadas de recopilación y análisis de datos.
• Examen del propio sitio web en busca de prácticas molestas como, por ejemplo,un exceso de ventanas emergentes o solicitudes para cambiar la página de iniciodel usuario.
• Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitiossospechosos.
• Combinación de la revisión de sitios sospechosos de McAfee con los comentariosde los servicios Threat Intelligence.
Afiliacionesonline
Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a losusuarios para que vayan a otros sitios web marcados con una calificación roja deMcAfee.Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. Lafinalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite elsitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo,cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Web Controlconsidera el sitio web rojo por asociación.
Pruebas despam a travésde la Web
La calificación global de las prácticas relacionadas con el correo electrónico de unsitio web en función de los resultados de las pruebas.McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibetras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam.Si alguna de estas medidas está por encima de lo que consideramos aceptable,McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellasparece especialmente notoria, McAfee le otorga una calificación roja.
Pruebas dedescarga
La calificación global del impacto que tiene el software descargable de un sitio weben el equipo de pruebas, en función de sus resultados.McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadascon virus o que agregan software no relacionado que podría considerarse adware ospyware. La calificación también considera los servidores de red con los quecontacta un programa descargado durante su funcionamiento, además de cualquiermodificación realizada a la configuración del navegador o los archivos de Registrode un equipo.
Véase también Ver informe de sitio web durante la búsqueda en la página 82Ver informes del sitio web en la página 82
Modo de compilación de las clasificaciones de seguridad Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criteriospara cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes.Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante lassiguientes acciones:
• Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidosen la descarga.
• Introducción de información de contacto en formularios de registro y comprobación del spamresultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio osus asociados.
• Comprobación del exceso de ventanas emergentes.
5 Usar Web ControlAcerca deWeb Control funciones
80 McAfee Endpoint Security 10 Guía del producto
• Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.
• Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web.
El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además,lo siguiente:
• Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de lasmedidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios.
• Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes dephishing o experiencias negativas de compra.
• Más análisis de los expertos de McAfee.
El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.
Acceder a las funciones de Web ControlAcceder a las funciones de Web Control desde el navegador.
Procedimientos• Acceder a las funciones mientras navega por Internet en la página 81
Acceda a las funciones Web Control desde el botón en el navegador. El botón funciona deforma distinta según el navegador empleado.
• Ver informe de sitio web durante la búsqueda en la página 82Use el icono de seguridad en la página de resultados de búsqueda para ver másinformación acerca del sitio web.
• Ver informes del sitio web en la página 82Para obtener más información acerca de la calificación de seguridad de un sitio web,consulte los informes del sitio web.
• Solucionar problemas de comunicación en la página 83En el equipo cliente, ejecute una prueba desde el navegador para determinar el motivo delos problemas de comunicación con el servidor de calificaciones de seguridad de McAfeeGTI.
Acceder a las funciones mientras navega por InternetAcceda a las funciones Web Control desde el botón en el navegador. El botón funciona de formadistinta según el navegador empleado.
Internet Explorer y Firefox
• Mantenga el cursor sobre este botón para mostrar un globo con un resumen del informe deseguridad para el sitio web.
• Haga clic en el botón para mostrar el informe de seguridad detallado.
• Haga clic en el botón junto al icono para mostrar un menú de funciones.
Chrome: haga clic en el botón para mostrar un menú de funciones.
En Chrome, no se pueden mostrar los globos de seguridad mediante el botón de menú. Los globos soloestán disponibles en las páginas de resultados de la búsqueda.
Usar Web ControlAcceder a las funciones de Web Control 5
McAfee Endpoint Security 10 Guía del producto 81
Procedimiento
1 Desde el menú, seleccione opciones.
Opción Para hacer esto... Notas
Ver informe delsitio
Vea el informe de seguridad para el sitio webactual.
También puede hacer clic en Leer informe desitio web en el globo del sitio web.
Disponible solo cuando WebControl está activado.
Mostrar globo Muestra el globo para el sitio web actual. Disponible solo cuando WebControl está activado, y solo paranavegadores que no seanChrome.
2 Si aparece el botón de error de comunicación, muestre el globo para elsitio web y haga clic en Solución de problemas.
La página de estado de conexión indica la posible causa del error de comunicación.
Véase también El botón Web Control identifica las amenazas durante la navegación en la página 78
Ver informe de sitio web durante la búsquedaUse el icono de seguridad en la página de resultados de búsqueda para ver más información acercadel sitio web.
Procedimiento
1 Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informede seguridad para el sitio web.
2 Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otraventana del navegador.
Véase también Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 79Los informes de sitio web proporcionan detalles en la página 79
Ver informes del sitio webPara obtener más información acerca de la calificación de seguridad de un sitio web, consulte losinformes del sitio web.
Procedimiento
• Ver el informe para un sitio web.
Desde esta ubicación... Haga lo siguiente...
Sitio web • Seleccione Ver informe del sitio desde el menú Web Control.
• Haga clic en el globo.
• Haga clic en Leer informe de sitio web en el globo.
Página de resultados debúsqueda
Haga clic en el icono de seguridad que sigue al vínculo de la páginaWeb.
5 Usar Web ControlAcceder a las funciones de Web Control
82 McAfee Endpoint Security 10 Guía del producto
Véase también Los informes de sitio web proporcionan detalles en la página 79
Solucionar problemas de comunicaciónEn el equipo cliente, ejecute una prueba desde el navegador para determinar el motivo de losproblemas de comunicación con el servidor de calificaciones de seguridad de McAfee GTI.
En la esquina superior derecha del navegador hay un botón anaranjado queindica problemas de comunicación con el servidor McAfee GTI.
La solución de problemas de comunicación no está disponible para Chrome. Para realizar estas pruebas,use Internet Explorer o Firefox.
Procedimiento1 En los navegadores Internet Explorer o Firefox, mantenga el cursor sobre el botón naranja para ver
el globo de seguridad.
2 Haga clic en Solución de problemas para ejecutar pruebas y ver los resultados.
Una página de estado de la conexión muestra el motivo del error de comunicación y posiblessoluciones una vez finalizadas las pruebas.
Prueba Comprueba... Una prueba fallida significa...
Acceso a Internet ¿El navegador tieneacceso a Internet?
El equipo no puede acceder a Internet. Estefallo podría indicar que la conexión de red nofunciona o que la configuración de proxy no escorrecta. Póngase en contacto con eladministrador.
Disponibilidad delservidor McAfee GTI
¿Está desconectado elservidor de McAfee GTI?
Los servidores de McAfee GTI no funcionan.
3 Compruebe los resultados cuando se muestren y siga las instrucciones para resolver el problema.
4 Vuelva a comprobar la conexión haciendo clic en Repetir pruebas.
El botón Repetir pruebas le permite ver si el error persiste o si se ha corregido mientras la página estáabierta.
Véase también El botón Web Control identifica las amenazas durante la navegación en la página 78
Administrar Web ControlComo administrador, puede especificar la configuración de Web Control para activar y personalizar laprotección, bloquear basándose en las categorías web y configurar el registro.
En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.
Véase también Configurar opciones de Web Control en la página 84Especifique acciones de calificación y bloquee el acceso a sitios web según la categoría web enla página 87
Usar Web ControlAdministrar Web Control 5
McAfee Endpoint Security 10 Guía del producto 83
Configurar opciones de Web ControlPuede activar y configurar las opciones de Web Control desde Endpoint Security Client.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Web Control en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Web Control en lapágina Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Opciones.
5 Seleccione Activar Web Control para activar Web Control y modificar sus opciones.
Para... Haga esto... Notas
Oculte la barra deherramientas de WebControl en el navegadorsin desactivar laprotección.
Seleccione Ocultar la barra deherramientas en el navegador del cliente. Use esta configuración para
resolver problemas decompatibilidad de terceros.
Rastrear eventos denavegador para usar enlos informes.
Ajustar la configuración en lasección Registro de eventos.
Configure los eventos de Web Controlenviados desde los sistemas clienteal servidor de administración parausar en consultas e informes.
Bloquear o avisar dedirecciones URLdesconocidas.
En Implementación de acciones,seleccione la acción (Bloquear,Permitir o Advertir) para los sitiosweb que aún no hayan sidoverificados por McAfee GTI.
Analizar archivos antesde su descarga.
Seleccione Permitir análisis de archivospara las descargas de archivos, luegoseleccione el nivel de riesgo deMcAfee GTI que bloquear.
Bloquear vínculos asitios peligrosos en losresultados de labúsqueda.
En Búsqueda segura, seleccioneActivar búsqueda segura, seleccioneel motor de búsqueda, y luegoespecifique si se deben bloquearlos vínculos a los sitios webpeligrosos.
Búsqueda segura filtraautomáticamente los sitios maliciososde los resultados de búsquedabasándose en su calificación deseguridad. Web Control usa Yahoocomo motor de búsquedapredeterminado.
Si cambia el motor de búsquedapredeterminado, reinicie elnavegador para que los cambiossurtan efecto.
6 Seleccione otras opciones según sea necesario.
7 Haga clic en Aplicar para guardar los cambios o en Cancelar.
5 Usar Web ControlAdministrar Web Control
84 McAfee Endpoint Security 10 Guía del producto
Véase también Cómo se analizan las descargas de archivos en la página 86Iniciar sesión como administrador en la página 24
Usar Web ControlAdministrar Web Control 5
McAfee Endpoint Security 10 Guía del producto 85
Cómo se analizan las descargas de archivosWeb Control envía solicitudes de descarga a Threat Prevention para su análisis antes de la descarga.
5 Usar Web ControlAdministrar Web Control
86 McAfee Endpoint Security 10 Guía del producto
Especifique acciones de calificación y bloquee el acceso a sitiosweb según la categoría web Configure la Acciones según contenido para especificar las acciones que desea aplicar a los sitios web y lasdescargas de archivos según las calificaciones de seguridad. También tiene la opción de bloquear opermitir sitios web en cada categoría web.
Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.
Web Control aplica las acciones de calificación a los sitios web en las categorías no bloqueadasespecificadas en la sección Bloqueo de categorías web, en Avanzado.
Use la configuración en Mensajes de implementación para personalizar el mensaje que se muestra a losusuarios para las descargas y sitios web bloqueados o con advertencia, y para los sitios de phishingbloqueados.
ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.
1 Abra Endpoint Security Client.
2 Haga clic en Web Control en la página Estado principal.
O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Web Control en lapágina Configuración.
3 Haga clic en Mostrar avanzado.
4 Haga clic en Acciones según contenido.
5 En la sección Bloqueo de categorías web, para cada Categoría web, active o desactive la opción Bloquear.
Para los sitios web en las categorías no bloqueadas, Web Control aplica las acciones de calificación.
6 En la sección Acciones de calificación, especifique las acciones a aplicar a cualquier sitio web y descargasegún la calificación de seguridad definida por McAfee.
Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoríaweb.
7 Haga clic en Aplicar para guardar los cambios o en Cancelar.
Véase también Uso de categorías web para el control de acceso en la página 87Uso de calificaciones de seguridad para controlar el acceso en la página 88Iniciar sesión como administrador en la página 24
Uso de categorías web para el control de accesoLas categorías web le permiten controlar el acceso a los sitios web según las categorías definidas porMcAfee. Puede especificar opciones para permitir o bloquear el acceso a sitios según la categoría de sucontenido.
Cuando active el bloqueo de categorías web en la configuración de Acciones según contenido, elsoftware bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas,Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105categorías web.
Usar Web ControlAdministrar Web Control 5
McAfee Endpoint Security 10 Guía del producto 87
De forma predeterminada, la mayoría de categorías web con calificación verde de McAfee se permiten,las amarillas van acompañadas de una advertencia y las rojas se bloquean. Pero también se puedenaplicar advertencias o bloqueos de forma predeterminada a categorías de contenido sin calificar, segúnlas recomendaciones de McAfee GTI. Use la configuración de de Acciones según contenido parabloquear o permitir categorías web. Use la configuración de Acciones según calificación paraespecificar las acciones para los sitios web y descargas en las categorías no bloqueadas.
Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitioweb pertenece a una de las categorías definidas, el acceso se bloquea o se permite según laconfiguración de la Acciones según contenido. A los sitios web y las descargas de archivos de lascategorías no bloqueadas se les aplican las Acciones de calificación especificadas.
Uso de calificaciones de seguridad para controlar el accesoConfigurar las acciones basadas en calificaciones de seguridad para determinar si los usuarios puedenacceder a un sitio web o a los recursos dentro de un sitio.
Para cada sitio web o descarga de archivo, especifique si se debe permitir, bloquear o advertir según lacalificación. Esto permite un mayor nivel de granularidad para proteger a los usuarios contra archivosque pueden presentar una amenaza para los sitios web con calificación global verde.
5 Usar Web ControlAdministrar Web Control
88 McAfee Endpoint Security 10 Guía del producto
6 Referencia a la interfaz de cliente
Los temas de ayuda de referencia de la interfaz proporcionan ayuda sensible al contexto para laspáginas de la interfaz de cliente.
Contenido página Registro de eventos Página Poner en cuarentena Common: Página Common: Tareas Página Threat Prevention — Protección de acceso Threat Prevention — Prevención de vulnerabilidades Página Threat Prevention — Análisis en tiempo real Página Threat Prevention — Análisis bajo demanda Ubicaciones de análisis McAfee GTI Acciones Agregar o Editar exclusiones La página Threat Prevention — Opciones Revertir AMCore content Firewall: Opciones Página Firewall, Reglas Web Control — Opciones Web Control: Acciones según contenido
página Registro de eventosMuestra los eventos de actividad y depuración en el Registro de eventos.
Opción Definición
Número de eventos Muestra el número de eventos que Endpoint Security haya registrado en elsistema en los últimos 30 días.
Actualiza la vista del Registro de eventos con cualquier información de eventoreciente.
Ver directorio deregistros
Abre la carpeta que contiene los archivos de instalación de registro en elexplorador de Windows.
Mostrar todos loseventos
Elimina cualquier filtro.
6
McAfee Endpoint Security 10 Guía del producto 89
Opción Definición
Filtrar por gravedad Filtra los eventos por nivel de gravedad:
Crítico Muestra solo los eventos de nivel de gravedad 1.
Importante y crítico Muestra solo los eventos de nivel de gravedad 1 y 2.
Mínimo, importante y crítico Muestra solo los eventos de nivel de gravedad 1, 2 y3.
Advertencias y másimportantes
Muestra los eventos de nivel de gravedad 1, 2, 3 y 4.
Filtrar por módulo Filtra los eventos por módulo:
Common Muestra solo los eventos de Common.
Threat Prevention Muestra solo los eventos de Threat Prevention.
Firewall Muestra solo los eventos de Firewall.
Web Control Muestra solo los eventos de Web Control.
Las funciones que aparecen en el menú desplegable dependen de las funcionesinstaladas en el sistema en el momento en que abrió el Registro de eventos.
Buscar Busca una cadena en el Registro de eventos.
Eventos por página Seleccione el número de eventos que mostrar en una página. (De formapredeterminada, 20 eventos por página)
Página anterior Muestra la página anterior en el Registro de eventos.
Página siguiente Muestra la página siguiente en el Registro de eventos.
Página x de x Seleccione una página en el Registro de eventos a la que navegar.Introduzca un número en el campo Página y pulse Intro o haga clic en Ir paranavegar hasta la página.
Encabezados delas columnas
Ordena la lista de eventos por...
Fecha Fecha en la que ocurrió el evento.
Función Función que registró el evento.
6 Referencia a la interfaz de clientepágina Registro de eventos
90 McAfee Endpoint Security 10 Guía del producto
Encabezados delas columnas
Ordena la lista de eventos por...
Acción Acción que Endpoint Security tomó, si tomó alguna, en respuesta al evento.
La acción puede ajustarse en la configuración.
Permitido Ha permitido el acceso al archivo.
Acceso denegado Ha denegado el acceso al archivo.
Eliminado Ha eliminado el archivo automáticamente.
Continuar
Limpiado Ha quitado la amenaza del archivo detectadoautomáticamente.
Movido Ha movido el archivo a la cuarentena.
Bloqueado Ha bloqueado el acceso al archivo.
Bloquearía Una regla de protección de acceso habría bloqueado elacceso al archivo si la regla hubiera estado implementada.
Gravedad Nivel de gravedad del evento.
Crítico 1
Grave 2
Leve 3
Advertencia 4
Informativo 5
Véase también Ver el Registro de eventos en la página 21
Página Poner en cuarentenaAdministra los elementos en la cuarentena.
Opción Definición
Eliminar Elimina los eventos seleccionados de la cuarentena.
Los archivos eliminados no se pueden restaurar.
Restaurar Restaura elementos de la cuarentena.Endpoint Security restaura los elementos a su ubicación original y los quita de lacuarentena.
Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a lacuarentena inmediatamente.
Volver a analizar Vuelve a analizar elementos en la cuarentena.Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicaciónoriginal y lo quita de la cuarentena.
Referencia a la interfaz de clientePágina Poner en cuarentena 6
McAfee Endpoint Security 10 Guía del producto 91
Encabezados de las columnas Ordena la lista de cuarentena por...
Nombre de detección Nombre de la detección.
Tipo Tipo de amenaza; por ejemplo, Troyano o Adware.
Tiempo en cuarentena La cantidad de tiempo que el elemento ha estado en cuarentena.
Número de objetos El número de objetos en la detección.
Versión de AMCore Content El número de versión de AMCore content que identifica laamenaza.
Véase también Administrar elementos en cuarentena en la página 39Nombres de detecciones en la página 41
Common: PáginaConfigura parámetros de interfaz de Endpoint Security Client, autoprotección, registro de actividades ydepuración y servidor proxy.
Tabla 6-1
Sección Opción Definición
Modo de interfaz decliente
Acceso total Permite el acceso a todas las funciones.(Predeterminado para sistemas autogestionados)
Acceso estándar Muestra el estado de la protección y permite acceder a lamayoría de las funciones, como la ejecución de actualizaciones yanálisis.
El modo Acceso estándar requiere una contraseña para ver ymodificar la configuración de en la página Configuración deEndpoint Security Client.
La contraseña predeterminada es mcafee.
(Predeterminado para sistemas gestionados)
Bloquear interfaz decliente
Requiere una contraseña para acceder a Endpoint Security Client.
Establecer contraseñade administrador
Para Acceso estándar y Bloquear interfaz de cliente, especifica lacontraseña de administrador con que acceder a todas lasfunciones de la interfaz de Endpoint Security Client.
Contraseña Especifica la contraseña de administrador.
Confirmar contraseña Confirma la contraseña de administrador.
Desinstalación Requerir contraseñapara desinstalar elcliente
Solicita una contraseña para desinstalar Endpoint Security Clienty especifica la contraseña.(Desactivado de forma predeterminada para sistemasautogestionados)
La contraseña predeterminada es mcafee.
Contraseña Especifica la contraseña de desinstalación.
Confirmar contraseña Confirma la contraseña de desinstalación.
6 Referencia a la interfaz de clienteCommon: Página
92 McAfee Endpoint Security 10 Guía del producto
Tabla 6-2 Opciones avanzadas
Sección Opción Definición
Idioma de lainterfaz de cliente
Automático Selecciona automáticamente el idioma que usar en el texto de lainterfaz de Endpoint Security Client basándose en el idioma de lainterfaz del sistema cliente.
Idioma Especifica el idioma que usar en el texto de la interfaz de EndpointSecurity Client.En lo que se refiere a los sistemas gestionados, los cambiosrealizados en el sistema cliente afectan a la interfaz de EndpointSecurity Client. El cambio de idioma se aplicará después del reiniciode Endpoint Security Client.
El idioma del cliente no afecta a los archivos de registro. Losarchivos de registro siempre aparecen en el idioma especificado enla configuración regional predeterminada del sistema.
Autoprotección Activarautoprotección
Protege los recurso del sistema de Endpoint Security contraactividades maliciosas.
Acción Especifica la acción a realizar cuando ocurran actividades maliciosas:• Bloquear e informar: bloquea e informa a McAfee ePO.
(predeterminado)
• Solo bloquear: bloquea pero no informa a McAfee ePO.
• Solo informar: informa a McAfee ePO pero no bloquea la actividad.
Archivos y carpetas Previene la modificación o borrado de archivos de sistema y carpetasde McAfee.
Registro Previene la modificación o borrado de archivos de clave de Registro yvalores de McAfee.
Procesos Previene la detención de procesos McAfee.
Excluir estosprocesos
Permite el acceso a los procesos especificados.
Agregar Agrega un proceso a la lista de exclusiones.Haga clic en Agregar e introduzca el nombre exacto delrecurso, como por ejemplo avtask.exe.
Eliminar Quita un proceso de la lista de exclusiones.Seleccione el recurso y haga clic en Eliminar.
Registro decliente
Ubicación dearchivos de registro
Especifica la ubicación para los archivos de registro.La ubicación predeterminada es:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
Escriba la ubicación deseada o haga clic en Examinar para llegar a ella.
Registro deactividades
Activar registro deactividades
Activa el registro de todas las actividades de Endpoint Security.
Referencia a la interfaz de clienteCommon: Página 6
McAfee Endpoint Security 10 Guía del producto 93
Tabla 6-2 Opciones avanzadas (continuación)
Sección Opción Definición
Limitar tamaño(MB) de cada unode los archivos deregistro deactividades
Limita cada archivo de registro de actividades al tamaño máximoespecificado (entre 1 MB y 999 MB). El valor predeterminado es 10MB.Desactive esta opción para permitir que los archivos de registrotengan cualquier tamaño.
Si el archivo de registro supera este tamaño, los datos nuevossustituyen el 25 por ciento más antiguo de las entradas en elarchivo.
Registro dedepuración La activación del registro de depuración para cualquier módulo
también lo activa para las funciones del módulo Common, comoautoprotección.
Activar para ThreatPrevention
Activa el registro detallado de Threat Prevention y tecnologíasindividuales:
Activar para protección deacceso
Se conecta aAccessProtection_Debug.log
Activar para prevención deexploits
Se conecta aExploitPrevention_Debug.log
Activar para analizador entiempo real
Se conecta a OnAccessScan_Debug.log
Activar para analizador bajodemanda
Se conecta a OnDemandScan_Debug.log
La activación del registro de depuración para cualquier tecnología deThreat Prevention también lo activa para Endpoint Security Client.
Activar paraFirewall
Activa el registro detallado de actividades de Firewall.
Activar para WebControl
Activa el registro detallado de actividades de Web Control.
Limitar tamaño(MB) de cada unode los archivos deregistro dedepuración
Limita cada archivo de registro de depuración al tamaño máximoespecificado (entre 1 MB y 999 MB). El valor predeterminado es 50MB.Desactive esta opción para permitir que los archivos de registrotengan cualquier tamaño.
Si el archivo de registro supera este tamaño, los datos nuevossustituyen el 25 por ciento más antiguo de las entradas en elarchivo.
Registro deeventos
Enviar eventos aMcAfee ePO
Envía todos los eventos registrados en el Registro de eventos deEndpoint Security Client a McAfee ePO.
Esta opción solo se encuentra disponible en sistemas gestionadospor McAfee ePO o McAfee ePO Cloud.
Registrar eventosen el registro deaplicaciones deWindows
Envía todos los eventos registrados en el Registro de eventos deEndpoint Security Client al registro de aplicaciones de Windows.El registro de aplicaciones de Windows está accesible desde el Visor deeventos de Windows | Registros de Windows | Aplicación.
6 Referencia a la interfaz de clienteCommon: Página
94 McAfee Endpoint Security 10 Guía del producto
Tabla 6-2 Opciones avanzadas (continuación)
Sección Opción Definición
Niveles degravedad
Especifica el nivel de gravedad de los eventos que registrar en elRegistro de eventos en Endpoint Security Client:
Ninguno No se envían alertas
Solo crítico Envía alertas solo de nivel 1
Importante y crítico Envía alertas de nivel 1 y 2
Mínimo, importante y crítico Envía alertas de nivel 1–3
Todo excepto informativo Envía alertas de nivel 1–4
Todo Envía alertas de nivel 1–5
1 Crítico
2 Grave
3 Leve
4 Advertencia
5 Informativo
Eventos de ThreatPrevention aregistrar
Especifica el nivel de gravedad de los eventos para cada función deThreat Prevention que registrar:• Protección de acceso
• Prevención de vulnerabilidades
• Analizador en tiempo real
• Analizador bajo demanda
Eventos de Firewallque registrar
Especifica el nivel de gravedad de los eventos de Firewall queregistrar.
Eventos de WebControl queregistrar
Especifica el nivel de gravedad de los eventos de Web Control queregistrar.
Servidor proxypara McAfee GTI
Sin servidor proxy Especifica que los sistemas gestionados recuperan información sobrereputación de McAfee GTI directamente a través de Internet, en vezde a través de un servidor proxy. (Predeterminado)
Utilizarconfiguración deproxy del sistema
Especifica el uso de la configuración de proxy para el sistema cliente,y activa opcionalmente la autenticación de proxy HTTP.
Configurar servidorproxy
Personaliza la configuración de proxy.• Dirección: especifica la dirección IP o el nombre de dominio completo
del servidor proxy HTTP.
• Puerto: limita el acceso a través del puerto especificado.
• Excluir estas direcciones: no usar el servidor proxy HTTP para sitios webo direcciones IP que empiecen con las entradas especificadas.Haga clic en Agregar e introduzca la dirección que excluir.
Referencia a la interfaz de clienteCommon: Página 6
McAfee Endpoint Security 10 Guía del producto 95
Tabla 6-2 Opciones avanzadas (continuación)
Sección Opción Definición
Activarautenticación deproxy HTTP
Especifica que el servidor proxy HTTP requiere autenticación. (Estaopción solo está disponible cuando se ha seleccionado un servidorproxy HTTP.) Introduzca unas credenciales de proxy HTTP:• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para acceder al servidor proxy HTTP especificado.
• Contraseña: especifica la contraseña para el Nombre de usuario.
• Confirmar contraseña: confirma la contraseña especificada.
Actualización declientepredeterminado
Activar el botónActualizar ahora enel cliente
Activa el botón en la página principal deEndpoint Security Client.Haga clic en este botón para buscar y descargar manualmenteactualizaciones de archivos de contenido y componentes de softwareen el sistema cliente.
Solo puede configurar estos parámetros en sistemasautogestionados o gestionados mediante McAfee ePO.
Qué actualizar Especifica qué actualizar al hacer clic en el botón
.
Contenido deseguridad, hotfixes yparches
Actualiza a las versiones más recientes todo elcontenido de seguridad (ya sea contenido demotor, AMCore o prevención de exploits), asícomo cualquier hotfix y parche.
Contenido deseguridad
Actualiza únicamente contenido de seguridad(predeterminado).
Hotfixes y parches Actualiza únicamente hotfixes y parches.
Sitios de origenpara lasactualizaciones
Configura sitios desde los que obtener actualizaciones para archivosde contenido y componentes de software.
Solo puede configurar estos parámetros en sistemasautogestionados.
Agregar Agrega un sitio a la lista de sitios de origen.Consulte Agregar o Editar los sitios de origen en la página97para obtener información.
Importar Importa una lista de sitios desde un archivo XML.
Eliminar Elimina el sitio seleccionado de la lista de sitios de origen.
Indica elementos que pueden moverse en la lista.Seleccione elementos y arrástrelos hasta la nuevaubicación. Una línea azul aparece entre elementos allídonde pueda colocar los elementos arrastrados.
Puede activar o desactivar las dos copias de seguridadpredeterminadas de los dos sitios de origen (NAIFtp y NAIHttp), perono se pueden modificar, eliminar o mover en la lista.
Servidor proxypara sitios deorigen
Sin servidor proxy Especifica que los sistemas gestionados recuperan información sobrereputación de McAfee GTI directamente a través de Internet, en vezde a través de un servidor proxy. (Predeterminado)
6 Referencia a la interfaz de clienteCommon: Página
96 McAfee Endpoint Security 10 Guía del producto
Tabla 6-2 Opciones avanzadas (continuación)
Sección Opción Definición
Utilizarconfiguración deproxy del sistema
Especifica el uso de la configuración de proxy para el sistema cliente,y activa opcionalmente la autenticación de proxy HTTP o FTP.
Configurar servidorproxy
Personaliza la configuración de proxy.• Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del
servidor proxy HTTP o FTP.
• Puerto: limita el acceso a través del puerto especificado.
• Excluir estas direcciones: especifica las direcciones para sistemasEndpoint Security Client que no deben usar el servidor proxy paraobtener calificaciones McAfee GTI.Haga clic en Agregar e introduzca la dirección que excluir.
Activarautenticación deproxy HTTP/FTP
Especifica que el servidor proxy HTTP o FTP requiere autenticación.(Esta opción solo está disponible cuando se ha seleccionado unservidor proxy HTTP o FTP.) Introduzca unas credenciales de proxy:• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para acceder al servidor proxy.
• Contraseña: especifica la contraseña para el Nombre de usuarioespecificado.
• Confirmar contraseña: confirma la contraseña especificada.
Véase también Proteger recursos de Endpoint Security en la página 28Configurar parámetros de registro en la página 28Configurar parámetros para seguridad de interfaz cliente en la página 29Configuración del servidor proxy para McAfee GTI en la página 30Configure el comportamiento de actualización de en la página 31Configurar sitios de origen para actualizaciones de cliente en la página 32Agregar o Editar los sitios de origen en la página 97
Agregar o Editar los sitios de origenAgrega o edita un sitio en la lista de sitios de origen.
Tabla 6-3 Definiciones de opciones
Option Definición
Nombre Indica el nombre del sitio de origen que contiene los archivos de actualización.
Activar Activa o desactiva el uso del sitio de origen para descargar archivos de actualización.
Recuperararchivos desde
Especifica de dónde se han de recuperar los archivos.
Referencia a la interfaz de clienteCommon: Página 6
McAfee Endpoint Security 10 Guía del producto 97
Tabla 6-3 Definiciones de opciones (continuación)
Option Definición
RepositorioHTTP
Recupera los archivos desde la ubicación del repositorio HTTP designada.
HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red,pero admite un mayor nivel de conexiones simultáneas que FTP.
URL • Nombre DNS: indica que la URL es un nombre de dominio.
• IPv4: indica que la dirección URL es una dirección IPv4.
• IPv6: indica que la dirección URL es una dirección IPv6.
http:// : especifica la dirección del servidor HTTP y de la carpeta en laque se encuentran los archivos de actualización.
Puerto: especifica el número de puerto para el servidor HTTP.
Utilizarautenticación
Se selecciona para usar autenticación y especificar las credenciales deacceso a la carpeta de archivos de actualización.• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuarioespecificado.
• Confirmar contraseña: confirma la contraseña especificada.
6 Referencia a la interfaz de clienteCommon: Página
98 McAfee Endpoint Security 10 Guía del producto
Tabla 6-3 Definiciones de opciones (continuación)
Option Definición
Repositorio FTP Recupera los archivos desde la ubicación del repositorio HTTP designada.
Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos deseguridad de red. Dado que el FTP es menos propenso a ataques de código no deseadosque HTTP, puede ofrece una mejor tolerancia.
URL • Nombre DNS: indica que la URL es un nombre de dominio.
• IPv4: indica que la dirección URL es una dirección IPv4.
• IPv6: indica que la dirección URL es una dirección Ipv6.
ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que seencuentran los archivos de actualización.
Puerto: especifica el número de puerto para el servidor HTTP.
Utilizar iniciode sesiónanónimo
Se selecciona para usar un FTP anónimo para acceder a la carpeta dearchivos de actualización.Anule la selección de esta opción para especificar las credenciales deacceso.
• Nombre de usuario: especifica el nombre de la cuenta de usuario conpermisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuario especificado.
• Confirmar contraseña: confirma la contraseña especificada.
Ruta UNC oRuta local
Recupera los archivos de la ubicación de ruta UNC o local designada.
Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entredominios requieren permisos de seguridad para cada dominio, lo que precisa mayorconfiguración para la actualización.
Ruta • Ruta UNC: especifica la ruta mediante la notación UNC (\\nombredeservidor\ruta\).
• Ruta local: especifica la ruta de una carpeta en una unidad local o de red.
Utilizarcuenta desesióniniciada
Los accesos a los archivos actualizados mediante la cuenta en la que seha iniciado sesión. Esta cuenta debe tener permisos de lectura para lascarpetas que contienen los archivos de actualización.Anule la selección de esta opción para especificar las credenciales deacceso.
• Dominio: especifica el dominio para la cuenta de usuario.
• Nombre de usuario: especifica el nombre de la cuenta de usuario conpermisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuario especificado.
• Confirmar contraseña: confirma la contraseña especificada.
Referencia a la interfaz de clienteCommon: Página 6
McAfee Endpoint Security 10 Guía del producto 99
Common: TareasPrograma las tareas de Endpoint Security Client.
Sección Option Definición
Tareas Indica las tareas actualmente definidas y planificadas.Haga doble clic en la fila de la tarea para editar una tarea existente.
Nombre Nombre de la tarea planificada.
Función Módulo o función con la que está asociada la tarea.
Planificación Cuando esté planificada la ejecución de la tarea y si estádesactivada.
Estado Estado de la última vez que se ejecutó la tarea:• (sin estado): No se ha ejecutado
• Ejecutar: actual en ejecución o pausada
• Pausado: pausado por el usuario (como por ejemplo unanálisis)
• Aplazado: aplazado por el usuario (como por ejemplo unanálisis)
• Finalizado: ejecución completada sin errores
• Finalizado (con errores): ejecución completada con errores
• Error: no se pudo completar
Última ejecución Fecha y hora en la que la tarea se ejecutó por última vez.
Ejecutarahora
Abre el cuadro de diálogo asociado con la tarea seleccionada.
Análisis rápido Abre el cuadro de diálogo Análisis rápido e inicia elanálisis.
Análisis completo Abre el cuadro de diálogo Análisis completo e inicia elanálisis.
Actualización de clientepredeterminado
Abre el cuadro de diálogo Actualizar e inicia laactualización.
Eliminar Elimina la tarea seleccionada.
Agregar Agrega una nueva tarea planificada.
Véase también Ejecutar un Análisis completo o Análisis rápido en la página 36Actualizar protección y software manualmente en la página 20Tareas Editar análisis completo o Editar análisis rápido en la página 100Tarea de Editar actualización cliente predeterminado en la página 102
Tareas Editar análisis completo o Editar análisis rápidoPlanifica y edita la tarea Análisis completo o Análisis rápido.
Consulte Configure Análisis bajo demanda en la página 55 para más información sobre la configuracióndelAnálisis completo y el Análisis rápido.
6 Referencia a la interfaz de clienteCommon: Tareas
100 McAfee Endpoint Security 10 Guía del producto
De forma predeterminada, tanto el Análisis completo como el Análisis rápido están planificados paraejecutarse cada día a las 23:59. Las planificaciones están desactivadas.
Solo puede configurar estos parámetros en sistemas autogestionados.
Tabla 6-4
Categoría Opción Definición
Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.(Desactivada de forma predeterminada)
Seleccione esta opción para planificar la tarea.
Repeticiones Especifica la frecuencia de la tarea.
Cada día Ejecuta la tarea cada día a la Hora de inicio especificada.
Semanal Ejecuta la tarea cada semana:• Las semanas especificadas en Frecuencia
• Los días especificados en Ejecutar en
Mensual Ejecuta la tarea cada mes en:• El día del mes especificado
• Los días de la semana especificados: el primero,segundo, tercero, cuarto o último
Hora de inicio Especifica la hora para empezar la tarea.
Ejecutar una vez aesa hora
Ejecuta la tarea una vez a la Hora de inicioespecificada.
Ejecutar a esa hora yrepetir hasta
Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta la horade finalización especificada.
Ejecutar a esa hora yrepetir durante
Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta que sehaya ejecutado durante la duraciónespecificada.
Tiempo de espera Detener la tarea si seejecuta durante másde
Detenga la tarea transcurrido el número de Horas y Minutos indicado.
Si la tarea se interrumpe antes de completarse, la siguiente vezque comience se reanudará desde donde lo dejó.
Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.
Si no se especifican credenciales, la tarea se ejecuta como cuentalocal del administrador del sistema.
Nombre de usuario Especifica la cuenta de usuario.
Password Especifica la contraseña para la cuenta de usuario especificada.
Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.
Domain Especifica el dominio para la cuenta de usuario especificada.
Referencia a la interfaz de clienteCommon: Tareas 6
McAfee Endpoint Security 10 Guía del producto 101
Véase también Configure Análisis bajo demanda en la página 55Ejecutar un Análisis completo o Análisis rápido en la página 36Planifique las tareas Análisis completo y Análisis rápido en la página 60
Tarea de Editar actualización cliente predeterminadoPlanifica y edita la tarea Actualización cliente predeterminado.
Consulte Configure el comportamiento de actualización de en la página 31 para más información acercade la configuración de Actualización de cliente predeterminado.
De forma predeterminada, la tarea Actualización cliente predeterminado se ejecuta cada día a las 01:00 y serepite cada cuatro horas hasta las 23:59.
Solo puede configurar estos parámetros en sistemas autogestionados.
Tabla 6-5
Categoría Opción Definición
Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.(Activada de forma predeterminada)
Seleccione esta opción para planificar la tarea.
Repeticiones Especifica la frecuencia de la tarea.
Cada día Ejecuta la tarea cada día a la Hora de inicio especificada.
Semanal Ejecuta la tarea cada semana el:• Las semanas especificadas en Frecuencia
• Los días especificados en Ejecutar en
Mensual Ejecuta la tarea cada mes en:• El día del mes especificado
• Los días de la semana especificados: el primero,segundo, tercero, cuarto o último
Hora de inicio Especifica la hora para empezar la tarea.
Ejecutar una vez aesa hora
Ejecuta la tarea una vez a la Hora de inicioespecificada.
Ejecutar a esa hora yrepetir hasta
Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta la horade finalización especificada.
Ejecutar a esa hora yrepetir durante
Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta que sehaya ejecutado durante la duraciónespecificada.
Tiempo de espera Detener la tarea si seejecuta durante másde
Detenga la tarea transcurrido el número de Horas y Minutos indicado.
Si la tarea se interrumpe antes de completarse, la siguiente vezque comience se reanudará desde donde lo dejó.
6 Referencia a la interfaz de clienteCommon: Tareas
102 McAfee Endpoint Security 10 Guía del producto
Tabla 6-5 (continuación)
Categoría Opción Definición
Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.
Si no se especifican credenciales, la tarea se ejecuta como cuentalocal del administrador del sistema.
Nombre de usuario Especifica la cuenta de usuario.
Password Especifica la contraseña para la cuenta de usuario especificada.
Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.
Domain Especifica el dominio para la cuenta de usuario especificada.
Véase también Configure el comportamiento de actualización de en la página 31Planifique la tarea Actualización cliente predeterminado en la página 33Common: Tareas en la página 100
Página Threat Prevention — Protección de accesoProtege los puntos de acceso del sistema acorde con las reglas configuradas.
Consulte la configuración de Common: Página en la página 92 para la configuración del registro.
La protección de acceso compara una acción solicitada con una lista de reglas configuradas, y actúasegún la regla.
Tabla 6-6
Sección Opción Definición
PROTECCIÓN DE ACCESO Activar protección de acceso Activa la función Protección de acceso.
Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso 6
McAfee Endpoint Security 10 Guía del producto 103
Tabla 6-7 Opciones avanzadas
Sección Opción Descripción
Exclusiones Excluir estos procesospara todas las reglas
Permite el acceso a los procesos especificados para todas las reglas.
Agregar Agrega un proceso a la lista de exclusiones.Haga clic en Agregar e introduzca el nombre exacto delproceso, como por ejemplo avtask.exe.
Eliminar Elimina un proceso de la lista de exclusiones.Seleccione el proceso y haga clic en Eliminar.
Reglas Especifica acciones para las reglas de protección de acceso.
(Solo) Bloquear Bloquea los intentos de acceso sin registro.
(Solo) Informar Advierte sin bloquear intentos de acceso.Esta configuración resulta útil cuando sedesconocen las consecuencias completas de unaregla. Supervise los registros e informes paradecidir si bloqueará el acceso.
Bloquear eInformar
Bloquea y registra los intentos de acceso.
Para bloquear o informar de todo, seleccione Bloquear o Informar en laprimera fila.
Para desactivar la regla, deseleccione tanto Bloquear como Informar.
Excluir estos procesospara la regla seleccionada
Modifica las exclusiones para la regla seleccionada.Seleccione una regla, haga clic en Agregar e introduzca un procesoque excluir de la regla seleccionada. Para eliminar una exclusión,selecciónela y haga clic en Eliminar.
Instalación de nuevosCLSID, APPID y TYPELIB
Impide la instalación o el registro de nuevos servidores COM.Esta regla protege contra los programas de adware y spyware quese instalan como complementos COM en Internet Explorer o enaplicaciones de Microsoft Office.
Para impedir el bloqueo de aplicaciones legítimas que registrancomplementos COM, incluidas algunas comunes como MacromediaFlash, agréguelas a la lista de exclusiones.
Desactivación del Editordel registro y de TaskManager
Protege las entradas de Windows, con lo que evita la desactivacióndel Editor del registro y de Task Manager.
En caso de un brote, desactive esta regla para poder cambiar elregistro, o abra Task Manager para detener los procesos activos.
Alteración de lasdirectivas de derechos deusuario
Protege los valores de registro que contienen información deseguridad de Windows.Esta regla impide que los gusanos alteren cuentas que poseenderechos de administrador.
6 Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso
104 McAfee Endpoint Security 10 Guía del producto
Tabla 6-7 Opciones avanzadas (continuación)
Sección Opción Descripción
Alteración de todos losregistros de extensionesde archivos
Protege las claves de Registro en HKEY_CLASSES_ROOT donde seregistran las extensiones de archivo.Esta regla impide que el malware modifique los registros deextensiones de archivos y se ejecute en modo silencioso.
Desactive la regla al instalar aplicaciones válidas que modifican losregistros de extensiones de archivos en el registro.
Esta regla es una alternativa más restrictiva que Hijacking .EXE y otrasextensiones ejecutables.
Creación o modificaciónremota de archivos detipo portable ejecutable(PE), .INI, .PIF yubicaciones de núcleo delsistema
Impide que otros equipos realicen una conexión y alterenejecutables, como los archivos en la carpeta Windows. Esta reglaafecta solo a los tipos de archivo normalmente infectados por losvirus.Esta regla protege contra los gusanos o virus que se extiendenrápidamente y atraviesan un red mediante los recursos compartidosabiertos o administrativos.
Esta regla es una alternativa menos segura que hacer de solo lecturatodos los recursos compartidos.
Creación remota dearchivos de ejecuciónautomática
Impide que otros equipos realicen una conexión y creen o alterenarchivos de ejecución automática (autorun.inf).Los archivos de ejecución automática se utilizan para iniciarautomáticamente archivos de programa, generalmente archivos deconfiguración de CD.
Esta regla impide que se ejecuten el spyware y adware distribuidosen CD.
Esta regla está seleccionada de manera predeterminada para Bloqueare Informar.
Ejecución de archivosdesde cualquier carpetatemporal
Bloquea el inicio de cualquier ejecutable desde cualquier carpetacuyo nombre contenga la palabra "temp".
Esta regla protege contra el malware que se guarda y ejecuta desdela carpeta temp del usuario o del sistema, como los datos adjuntosejecutables en el correo electrónico y los programas descargados.
Aunque esta regla proporciona la mayor protección, podría bloquearla instalación de aplicaciones legítimas.
Ejecución de scriptsdesde Windows ScriptHost (CScript.exe oWscript.exe) desdecualquier carpetatemporal
Impide que el host de scripts en Windows ejecute scripts VBScript yJavaScript en cualquier carpeta cuyo nombre contenga la palabra"temp".
Esta regla protege contra muchos troyanos y mecanismos deinstalación web cuestionables, utilizados por aplicaciones de adwarey spyware.
Esta regla podría bloquear la ejecución o instalación de scripts yaplicaciones de terceros legítimas.
Esta regla está seleccionada de manera predeterminada paraInformar.
Acceso o modificación dearchivos de la Libreta dedirecciones de accesoremoto
Impide que el malware lea las listas de contactos de los usuarios,que se almacenan en archivos rasphone.pbk en las carpetas de perfilde usuarios.
Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso 6
McAfee Endpoint Security 10 Guía del producto 105
Tabla 6-7 Opciones avanzadas (continuación)
Sección Opción Descripción
Ejecución y lectura detftp.exe
Impide el uso de TFTP (Trivial File Transfer Protocol), un protocolode transferencia de archivos sin autenticación de usuarios.Esta regla bloquea el malware para que no use TFTP para descargarmás malware al sistema, con lo que se evita una mayor infección.
Como Windows requieres acceso a tftp.exe para instalar los ServicePack de Windows, desactive esta regla cuando instale parches yService Pack.
Lectura de archivos de lacaché de Internet Explorer
Limita el acceso a elementos en la caché de Internet Explorer aInternet Explorer únicamente.Esta regla impide que el malware busque en la caché de InternetExplorer direcciones de correo electrónico y contraseñas de sitiosweb.
Un proceso que utilice la biblioteca WinInet o que aloje un controlde Internet Explorer en una ventana puede acceder a la caché. Sise activa, puede que necesite agregar procesos a esta regla.
Acceso remoto a archivoso carpetas locales
Impide el acceso de lectura y escritura al equipo desde equiposremotos.Esta regla impide que se extienda un gusano entre los recursoscompartidos.
En un entorno típico, esta regla es útil para estaciones de trabajo,pero no servidores, y solo cuando los equipos están activamentebajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, estaregla impide la instalación de actualizaciones o parches. Esta reglano afecta a las funciones gestionadas de McAfee ePO.
Creación o modificaciónremota de archivos ocarpetas
Bloquea el acceso de escritura a todos los recursos compartidos.Esta regla resulta útil en un brote al prevenir el acceso de escrituray limitar que se extienda la infección. La regla bloquea malware quede otro modo limitaría seriamente el uso del equipo o la red.
En un entorno típico, esta regla es útil para estaciones de trabajo,pero no servidores, y solo cuando los equipos están activamentebajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, estaregla impide la instalación de actualizaciones o parches. Esta reglano afecta a las funciones gestionadas de McAfee ePO.
Hijacking .EXE y otrasextensiones ejecutables
Protege, entre otras, las claves de registro ejecutables .EXE, .BAT enHKEY_CLASSES_ROOT.Esta regla impide que el malware modifique las claves de Registro yse ejecute el virus junto con otro ejecutable.
La regla es una alternativa menos restrictiva a Alteración de todos losregistros de extensiones de archivos.
Ejecución de ejecutablespotencialmentemaliciosos por Svchost
Impide que svchost.exe cargue .DLL que no sean las de servicio deWindows.Esta regla impide que el malware utilice svchost.exe pararegistrar .DLL que no forman parte de Windows.
6 Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso
106 McAfee Endpoint Security 10 Guía del producto
Tabla 6-7 Opciones avanzadas (continuación)
Sección Opción Descripción
Modificación de procesoscentrales de Windows
Impide que se creen o ejecuten archivos con los nombres que másse falsifican.Esta regla impide que los virus y troyanos se ejecuten con el nombrede un proceso de Windows. Esta regla excluye con archivosauténticos de Windows.
Modificación de archivosy configuraciones deMozilla
Bloquea los procesos para que no modifiquen los favoritos ni laconfiguración de Firefox.Esta página impide que los troyanos, el adware y el spyware depáginas de inicio modifiquen la configuración del explorador, como lapágina de inicio o los favoritos.
Modificación deconfiguraciones deInternet Explorer
Bloquea los procesos para que no modifiquen la configuración deInternet Explorer.Esta página impide que los troyanos, el adware y el spyware depáginas de inicio modifiquen la configuración del explorador, como lapágina de inicio o los favoritos.
Instalación de objetosauxiliares del exploradoro extensiones de shell
Impide que el adware, el spyware y los troyanos que se instalancomo objetos auxiliares del explorador se instalen en el equipo host.
Esta regla impide que el adware y spyware se instalen en lossistemas.
Para permitir que las aplicaciones personalizadas o de terceros quesean legítimas instalen estos objetos, agréguelos a la lista deexclusiones. Tras la instalación, puede volver a activar la reglaporque no impide el funcionamiento de los objetos auxiliares delexplorador.
Ejecución de lasdirecciones URL deAyuda de Windows yCentro de ayuda enInternet Explorer oWindows Media Player
Impide que Internet Explorer y Media Player ejecuten URL de HelpCenter and Support (HCP) (hcp://).Esta regla impide que un atacante utilice una URL hcp:// paraejecutar código arbitrario en el equipo, con los permisos del usuario.
Modificación de laconfiguración o losfavoritos de InternetExplorer
Bloquea los procesos para que no modifiquen la configuración y losarchivos de Internet Explorer.Esta página impide que los troyanos, el adware y el spyware depáginas de inicio modifiquen la configuración del explorador, como lapágina de inicio o los favoritos.
Véase también Configure la Protección de acceso en la página 46
Threat Prevention — Prevención de vulnerabilidadesActiva y configura Prevención de vulnerabilidades para impedir que las vulnerabilidades dedesbordamiento del búfer ejecuten código arbitrario en el equipo.
Consulte la configuración de Common: Página en la página 92 para la configuración del registro.
Referencia a la interfaz de clienteThreat Prevention — Prevención de vulnerabilidades 6
McAfee Endpoint Security 10 Guía del producto 107
Tabla 6-8
Sección Opción Definición
PREVENCIÓN DEVULNERABILIDADES
Activar Prevención devulnerabilidades
Activa la función Prevención devulnerabilidades.
Si no se activa esta función, el sistemaquedará desprotegido ante los ataques demalware.
Tabla 6-9 Opciones avanzadas
Sección Opción Definición
Prevención deejecución dedatos deWindows
Utilizar laPrevención deejecución dedatos deWindows
Activar la Prevención de ejecución de datos de Windows. (Desactivada deforma predeterminada)
La desactivación de esta opción no afecta a ningún proceso que tenga laPrevención de ejecución de datos activada como resultado de estadirectiva de Windows.
Nivel deprotección
Especifica el nivel de protección de Prevención de vulnerabilidades.
Estándar Detecta y bloquea solo exploits de desbordamiento del búfer de gravedadalta identificados en el archivo de contenido de prevención de exploits ydetiene la amenaza detectada.Use la función en el modo Estándar durante un tiempo breve. Revise elarchivo de registro durante este tiempo para determinar si quierecambiar a un nivel de protección Máximo.
Máximo Detecta y bloquea los exploits de desbordamiento del búfer de gravedadalta y mediana que se han identificado en el archivo de contenido deprevención de exploits y detiene la amenaza detectada.
Este parámetro puede producir falsos positivos.
Exclusiones Excluir estosprocesos
Especifica el nombre del proceso al que pertenece la memoria deescritura que está realizando la llamada.Introduzca el nombre del proceso que excluir. La prevención de exploitsexcluye el proceso, sea cual sea su ubicación.
Las exclusiones no distinguen entre mayúsculas y minúsculas, y no sepermiten caracteres comodín.
Agregar Agrega un proceso a la lista deexclusiones.Introduzca el nombre del proceso o estenombre con su ruta.
Eliminar Quita el proceso seleccionado de la listade exclusiones.
Véase también Configurar Prevención de exploit en la página 49
6 Referencia a la interfaz de clienteThreat Prevention — Prevención de vulnerabilidades
108 McAfee Endpoint Security 10 Guía del producto
Página Threat Prevention — Análisis en tiempo realActiva ya configura el análisis en tiempo real.
Consulte la configuración de Common: Página en la página 92 para la configuración del registro.
Tabla 6-11
Sección Opción Definición
ANÁLISIS ENTIEMPOREAL
Activar análisis entiempo real
Activa la función Análisis en tiempo real. Activada de formapredeterminada.
Activar análisis entiempo real al iniciar elsistema
Activa la función Análisis en tiempo real cada vez que inicie elequipo. Activada de forma predeterminada.
Especificar el númeromáximo de segundospara el análisis de losarchivos
Limita el análisis de cada archivo al número especificado desegundos. Activada de forma predeterminada.Si un análisis excede el límite temporal, se detiene y registra unmensaje.
Analizar sectores dearranque
Analiza el sector de arranque del disco. Activada de formapredeterminada.
Cuando un disco contenga un sector de arranque único o pococomún que no pueda analizarse, desactive el análisis del sector dearranque.
Analizar procesos alactivar
Vuelve a analizar todos los procesos que se encuentran en memoriacada vez:• Usted desactiva y vuelve a activar los análisis en tiempo real.
• El sistema se inicia.
Como algunos programas o ejecutables se inicianautomáticamente al iniciarse el sistema, la activación de estaopción puede ralentizar el sistema y aumentar el tiempo de iniciodel sistema.
Desactivada de forma predeterminada.
Cuando se activa el analizador en tiempo real, siempre analiza todoslos procesos al ejecutarse estos.
Analizar instaladoresde confianza
Analiza archivos MSI (instalados por msiexec.exe y firmados porMcAfee o Microsoft) o los archivos del servicio Instalador deconfianza de Windows. Desactivada de forma predeterminada.
Desactive esta opción para mejorar el rendimiento de losinstaladores de aplicaciones de Microsoft de gran tamaño.
Analizar al copiar entrecarpetas locales
Analiza archivos cuando el usuario copia de una carpeta local a otra.Si esta opción está:• Desactivada: solo se analizan los elementos de la carpeta de
destino.
• Desactivada: se analizan los elementos tanto en la carpeta deorigen (lectura) como en la de destino (escritura).
Desactivada de forma predeterminada.
McAfee GTI Consulte McAfee GTI en la página 117para obtener información.
Referencia a la interfaz de clientePágina Threat Prevention — Análisis en tiempo real 6
McAfee Endpoint Security 10 Guía del producto 109
Tabla 6-12 Opciones avanzadas
Sección Opción Definición
Mensajería deusuario deThreatDetection
Mostrar la ventana deanálisis en tiempo real alos usuarios cuando sedetecta una amenaza
Muestra la página de Análisis en tiempo real con el mensajeespecificado a los usuarios cliente cuando se produce unadetección. Activada de forma predeterminada.Cuando se selecciona esta opción, los usuarios pueden abrir estapágina desde la página Analizar ahora en cualquier momento en quela lista de detecciones incluya al menos una amenaza.
La lista de detecciones del análisis en tiempo real se borracuando se reinicia el servicio de Endpoint Security o el sistema.
Mensaje Especifica el mensaje que se mostrará a los usuarios clientecuando se produzca una detección.El mensaje predeterminado es: McAfee Endpoint Security ha detectadouna amenaza.
Configuraciónde procesos
Usar la configuraciónEstándar para todos losprocesos
Aplica la misma configuración a todos los procesos cuando serealiza un análisis en tiempo real.
Configurar opcionesdistintas para procesos deriesgo alto y de riesgobajo
Configura diferentes parámetros de análisis para cada tipo deproceso que se identifique.• Estándar: procesos que no se identifican como de riesgo alto o
bajo. Activada de forma predeterminada.
• Riesgo alto: procesos que son de riesgo alto.
• Bajo riesgo — Procesos que son de bajo riesgo.
Agregar Agrega un proceso a la lista Riesgo alto o Riesgo bajo.
Eliminar Quita un proceso de la lista Riesgo alto o Riesgo bajo.
Análisis Especificar cuándo se realizará el análisis
Al escribir en el disco Analiza todos los archivos a medida que se escriban o semodifiquen en el equipo o en otro dispositivo de almacenamientode datos.
Al leer del disco Analiza todos los archivos a medida que se lean en el equipo oen otro dispositivo de almacenamiento de datos. McAfeerecomienda encarecidamente la activación de esta opción.
Dejar que McAfee decida Permite que McAfee decida si se debe analizar un archivomediante la lógica de confianza para optimizar el análisis. Lalógica de confianza mejora la seguridad y aumenta elrendimiento al evitar análisis innecesarios.
No analizar al leer oescribir en el disco
Especifica que no se analicen procesos de Riesgo bajo.
En unidades de red Analiza recursos en unidades de red asignadas.
El análisis de los recursos de red podría afectar al rendimiento.
Abierto para copia deseguridad
Analiza archivos que están abiertos para operaciones de copia deseguridad.
Tipos de archivos a analizar
6 Referencia a la interfaz de clientePágina Threat Prevention — Análisis en tiempo real
110 McAfee Endpoint Security 10 Guía del producto
Tabla 6-12 Opciones avanzadas (continuación)
Sección Opción Definición
Todos los archivos Analiza todos los archivos, independientemente de su extensión.McAfee recomienda encarecidamente la activación de estaopción.
Si no se activa esta opción, el sistema quedará desprotegidoante los ataques de malware.
Tipos de archivopredeterminados yespecificados
Análisis:• Lista predeterminada de extensiones en el archivo de AMCore
content actual.
• (Opcional) Amenazas de macros conocidas.
• Las extensiones adicionales que especifique.
• (Opcional) Archivos sin extensión.
Solo tipos de archivosespecificados
Analiza solo los archivos con las extensiones que especifique y,opcionalmente, archivos sin extensión.
Configurar qué analizar
Archivos dealmacenamientocomprimidos
Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.Como analizar archivos comprimidos afecta negativamente alrendimiento del sistema, McAfee recomienda el análisis dentro dearchivos cuando el sistema no está en uso.
Archivos comprimidoscodificados medianteMIME
Detecta, descodifica y analiza archivos cifrados con extensionesMultipurpose Internet Mail Extensions (MIME).
Detectar programas nodeseados
Especifica que el analizador en tiempo real detecta programaspotencialmente no deseados.
El analizador utiliza la información configurada en Opcionespara detectar programas potencialmente no deseados.
Acciones Consulte Acciones en la página 118para obtener información.
Exclusiones Especifica archivos, carpetas y unidades que excluir del análisis.Consulte Agregar o Editar exclusiones en la página 120paraobtener información.
Agregar Agrega un elemento a la lista de exclusionesPredeterminado, Riesgo alto o Riesgo bajo.
Eliminar Quita un elemento de la lista de exclusionesPredeterminado, Riesgo alto o Riesgo bajo.
Referencia a la interfaz de clientePágina Threat Prevention — Análisis en tiempo real 6
McAfee Endpoint Security 10 Guía del producto 111
Tabla 6-12 Opciones avanzadas (continuación)
Sección Opción Definición
ScriptScan Activar ScriptScan Activa el análisis de scripts JavaScript y VBScript para impedirque se ejecuten scripts no deseados. Activada de formapredeterminada.
Si se desactiva ScriptScan al iniciar Internet Explorer y acontinuación se activa, no detectará scripts maliciosos en esainstancia de Internet Explorer.
Deberá reiniciar Internet Explorer tras activar ScriptScanpara que pueda detectar scripts maliciosos.
Anule la selección de esta opción para que el equipocliente utilice tanto las exclusiones especificadas aquícomo las especificadas localmente en el cliente.
Excluir estas URL Especifica exclusiones ScriptScan por URL.
Agregar Agrega una URL a la lista de exclusiones.
Eliminar Quita una URL de la lista de exclusiones
Las URL no pueden incluir caracteres comodines. Sin embargo,cualquier URL que contenga una cadena de una URL excluidatambién se excluirá. Por ejemplo, si se excluye la URLmsn.com, también se excluirán las siguientes URL:
• http://weather.msn.com
• http://music.msn.com
En Windows Server 2008, las exclusiones de URL de ScriptScanno funcionan con Windows Internet Explorer a menos que seseleccione Habilitar extensiones de explorador de terceros y reinicie elsistema. Para obtener más información, consulte el artículo de labase de conocimientos Exclusiones de URL de ScriptScan.
Véase también Configure Análisis en tiempo real en la página 50McAfee GTI en la página 117Acciones en la página 118Agregar o Editar exclusiones en la página 120
Página Threat Prevention — Análisis bajo demandaConfigura los parámetros de Análisis bajo demanda para los análisis preconfigurados que se ejecutanen su sistema.
Consulte la configuración de Common: Página en la página 92 para ver la configuración del registro.
Estos parámetros especifican el comportamiento del analizador al:
• Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Endpoint Security Client.
• Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca deamenazas en el menú emergente.
6 Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda
112 McAfee Endpoint Security 10 Guía del producto
Tabla 6-14
Sección Opción Definición
Tipo deanálisis
Analizar sectores dearranque
Analiza el sector de arranque del disco.
Cuando un disco contenga un sector de arranque único o pococomún que no pueda analizarse, puede ser convenientedesactivar el análisis del sector de arranque.
Detectar programas nodeseados
Permite que el analizador detecte programas potencialmente nodeseados.El analizador utiliza la información configurada en Common paradetectar programas potencialmente no deseados.
Descodificar archivosMIME codificados
Detecta, descodifica y analiza archivos cifrados con extensionesMultipurpose Internet Mail Extensions (MIME).
Analizar dentro dearchivos
Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.
Puesto que el análisis de archivos comprimidos puede afectarnegativamente al rendimiento del sistema, McAfee recomienda eluso de esta opción en análisis durante horas extraordinariascuando el sistema no está en uso.
Analizar archivos que sehan migrado alalmacenamiento
Analiza archivos que gestiona el Almacenamiento remoto.Cuando el analizador se encuentra un archivo con contenidomigrado, restaura el archivo al sistema local antes del análisis.
Buscar amenazas deprograma desconocidos
Utiliza McAfee GTI para detectar archivos ejecutables que tengancódigo similar al malware.
Encontrar amenazas demacros desconocidas
Utiliza McAfee GTI para detectar virus de macros desconocidos.
Analizar subcarpetas Examina todas las subcarpetas de la carpeta especificada.
Esta opción se aplica solo a la configuración de Análisis con el botónderecho del ratón.
Ubicaciones deanálisis
Consulte Ubicaciones de análisis en la página 116para obtenerinformación.
Estas opciones se aplican solo a Análisis completo y Análisis rápido.
Tipos dearchivos aanalizar
Todos los archivos Analiza todos los archivos, independientemente de su extensión.McAfee recomienda encarecidamente la activación de Todos losarchivos.
Si no se activa esta opción, el sistema quedará desprotegido antelos ataques de malware.
Tipos de archivopredeterminados yespecificados
Análisis:• Lista predeterminada de extensiones en el archivo de AMCore
content actual.
• (Opcional) Amenazas de macros conocidas.
• Las extensiones adicionales que especifique.
• (Opcional) Archivos sin extensión.
Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda 6
McAfee Endpoint Security 10 Guía del producto 113
Tabla 6-14 (continuación)
Sección Opción Definición
Solo tipos de archivosespecificados
Analiza solo los archivos con las extensiones que especifique y,opcionalmente, archivos sin extensión.
McAfee GTI Consulte McAfee GTI en la página 117para obtener información.
Exclusiones Especifica archivos, carpetas y unidades que excluir del análisis.Consulte Agregar o Editar exclusiones en la página 120paraobtener información.
Agregar Agrega un elemento a la lista de exclusión.
Eliminar Quita un elemento de la lista de exclusión.Seleccione el elemento de la lista y, a continuación, hagaclic en Eliminar.
Acciones Consulte Acciones en la página 118para obtener información.
Rendimiento Usar caché de análisis Permite que el analizador utilice los resultados de análisisexistentes.Seleccione esta opción para reducir la duplicación de los análisis ymejorar el rendimiento.
Utilización del sistema Permite al sistema operativo especificar la cantidad de tiempo deCPU que el analizador recibe durante el análisis.
Cada tarea se ejecuta independientemente, sin tener en cuentalos límites de otras tareas.
Normal Permite que el análisis finalice más rápido.Seleccione esta opción para sistemas que tienengrandes volúmenes y poca actividad del usuariofinal.
Por debajo delo normal
Establece la utilización del sistema para el análisisen el predeterminado de McAfee ePO.
Bajo Proporciona un rendimiento mejorado del resto delas aplicaciones en ejecución.Seleccione esta opción para sistemas con actividaddel usuario final.
Opciones del análisis planificadoEstas opciones se aplican solo a Análisis completo y Análisis rápido.
6 Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda
114 McAfee Endpoint Security 10 Guía del producto
Tabla 6-14 (continuación)
Sección Opción Definición
Analizar solo cuando elsistema está inactivo
Ejecuta el análisis solo cuando el sistema está inactivo.Threat Prevention pausa el análisis cuando detecta actividad deldisco o del usuario, como acceso mediante el teclado o el ratón.Threat Prevention reanuda el análisis si el usuario no accede alsistema durante tres minutos.
McAfee recomienda desactivar esta opción solo en los sistemasservidor y en los sistemas en que los usuarios acceden medianteuna conexión de escritorio remoto (RDP). Threat Preventiondepende de McTray para determinar si el sistema está inactivo. Ensistemas a los que solo se accede mediante escritorio remoto,McTray no se inicia y el analizador bajo demanda no se ejecuta.
Para evitar este problema, los usuarios pueden iniciarMcTray (de manera predeterminada en C:\Program Files\McAfee\Agent\mctray.exe) manualmente cuando iniciesesión en el escritorio remoto.
Analizar en cualquiermomento
Ejecuta el análisis incluso si el usuario está activo y especificaopciones para el análisis.
Es posible que el usuario aplace los análisis planificados: permite al usuarioaplazar análisis planificados y especificar opciones de aplazamientode análisis.
Número máximo deveces que el usuariopuede aplazar elanálisis en una hora
Especifica el número de veces (de 1 a 23)que el usuario puede aplazar el análisis enuna hora.
Mensaje de usuario Especifica el mensaje que aparecerá cuandoun análisis está a punto de comenzar.El mensaje predeterminado es: McAfeeEndpoint Security va a analizar el sistema.
Duración del mensaje(segundos)
Especifica cuánto tiempo (en segundos)aparece el mensaje de usuario cuando unanálisis está a punto de comenzar. Elintervalo válido de duración es entre 30 y300; la duración predeterminada es 45segundos.
No analizar si el sistema está en modo de presentación: pospone el análisismientras el sistema está en modo de presentación.
No analizar si el sistemafunciona mediante labatería
Pospone el análisis cuando el sistema está alimentándose conbatería.
Véase también Configure Análisis bajo demanda en la página 55Ejecutar un Análisis completo o Análisis rápido en la página 36Analizar un archivo o carpeta en la página 38Ubicaciones de análisis en la página 116McAfee GTI en la página 117Acciones en la página 118Agregar o Editar exclusiones en la página 120
Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda 6
McAfee Endpoint Security 10 Guía del producto 115
Ubicaciones de análisisEspecifica las ubicaciones que analizar.
Estas opciones se aplican solo a Análisis completo y Análisis rápido.
Tabla 6-15
Sección Opción Definición
Ubicaciones deanálisis
Analizar subcarpetas Examina todas las subcarpetas en los volúmenes especificadoscuando se selecciona alguna de estas opciones:• Carpeta de inicio • Carpeta Temp
• Carpeta de perfil del usuario • Unidad o carpeta
• Carpeta Archivos de programa
Cancele la selección de esta opción para analizar solo el nivel raízde los volúmenes.
Especificar ubicaciones Especifica las ubicaciones que analizar.
Agregar Agrega una ubicación al análisis.Haga clic en Agregar y seleccione la ubicación en el menúdesplegable.
Eliminar Quita una ubicación del análisis.Seleccione la ubicación y haga clic en Eliminar.
Memoria para rootkits Analiza la memoria del sistema para buscar rootkits instalados,procesos ocultos y otros comportamientos que puedan sugerir queun malware está intentando ocultarse. Este análisis se produceantes que los demás análisis.
Si no se activa esta opción, el sistema quedará desprotegido antelos ataques de malware.
Procesos en ejecución Analiza la memoria de todos los procesos en ejecución.Las Acciones que no sean Limpiar archivos se tratan como Continuaranalizando.
Si no se activa esta opción, el sistema quedará desprotegido antelos ataques de malware.
Archivos registrados Analiza archivos a los que hace referencia el Registro de Windows.El analizador busca nombres de archivo en el registro, determina siel archivo existe, crea una lista de archivos para analizar y analizalos archivos.
Mi equipo Analiza todas las unidades conectadas físicamente al equipo oasignadas de forma lógica a una letra de unidad en el equipo.
Todas las unidadeslocales
Analiza todas las unidades y las subcarpetas del equipo.
Todas las unidades dedisco duro
Analiza todas las unidades conectadas físicamente al equipo.
Todas las unidadesextraíbles
Analiza todas las unidades extraíbles o demás dispositivos dealmacenamiento conectados al equipo.
6 Referencia a la interfaz de clienteUbicaciones de análisis
116 McAfee Endpoint Security 10 Guía del producto
Tabla 6-15 (continuación)
Sección Opción Definición
Todas las unidadesasignadas
Analiza las unidades de red asignadas lógicamente a una unidad dered del equipo.
Carpeta de inicio Analiza la carpeta de inicio del usuario que inicie el análisis.
Carpeta de perfil delusuario
Analiza el perfil del usuario que empieza el análisis, incluida lacarpeta Mis documentos del usuario.
Carpeta Windows Analiza el contenido de la carpeta Windows.
Carpeta Archivos deprograma
Analiza el contenido de la carpeta Archivos de programa.
Carpeta Temp Analiza el contenido de la carpeta Temp.
Papelera de reciclaje Analiza el contenido de la papelera de reciclaje.
Archivo o carpeta Analiza el archivo o carpeta especificados.
Véase también Página Threat Prevention — Análisis bajo demanda en la página 112
McAfee GTIActiva y configura parámetros de McAfee GTI.
Tabla 6-16
Sección Opción Definición
ActivarMcAfee GTI
Activa y desactiva las comprobaciones heurísticas.• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a
McAfee Labs para determinar si se trata de malware. Al enviar hashes, ladetección podría estar disponible antes que la próxima publicación dearchivos de AMCore content, cuando McAfee Labs publique la actualización.
• Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs.
Nivel desensibilidad
Configure el nivel de sensibilidad que se debe utilizar para determinar si unamuestra detectada es malware.
Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitir más detecciones, tambiénpodrían obtenerse más resultados falsos positivos.
Nivel de riesgo
Muy bajo Las detecciones y el riesgo de falsos positivos son iguales que con archivos deAMCore content normales. Puede disponer de una detección para ThreatPrevention cuando McAfee Labs la publique en lugar de esperar a la siguienteactualización de archivos de AMCore content.Utilice esta configuración para equipos de sobremesa y servidores conderechos de usuario restringidos y un espacio de utilización con un nivel altode seguridad.
Esta configuración da lugar a una media de entre 10 y 15 consultas al día porequipo.
Referencia a la interfaz de clienteMcAfee GTI 6
McAfee Endpoint Security 10 Guía del producto 117
Tabla 6-16 (continuación)
Sección Opción Definición
Bajo Esta configuración es la recomendación mínima para portátiles o equipos desobremesa y para servidores con un espacio de utilización con un nivel alto deseguridad.Esta configuración da lugar a una media de entre 10 y 15 consultas al día porequipo.
Medio Utilice este nivel cuando el riesgo normal de exposición a malware sea mayorque el riesgo de un falso positivo. McAfee Labs realiza comprobacionesheurísticas propias que producen detecciones de probable malware. Sinembargo, algunas detecciones podrían producir un falso positivo. Con esteparámetro, McAfee Labs comprueba que las aplicaciones habituales y losarchivos del sistema operativo no produzcan falsos positivos.Esta configuración es la recomendación mínima para portátiles o equipos desobremesa y para servidores.
Esta configuración da lugar a una media de entre 20 y 25 consultas al día porequipo.
Alto Utilice esta configuración para el despliegue en sistemas o áreas que seinfectan con frecuencia.Esta configuración da lugar a una media de entre 20 y 25 consultas al día porequipo.
Muy alto McAfee recomienda utilizar este nivel solamente para analizar volúmenes ydirectorios que no admitan la ejecución de programas ni sistemas operativos.
Las detecciones encontradas con este nivel son supuestamentemalintencionadas, pero no se han comprobado totalmente para confirmar queno se trata de falsos positivos.
Utilice esta configuración para análisis bajo demanda en volúmenes desistemas que no se encuentren en funcionamiento.
Esta configuración da lugar a una media de entre 20 y 25 consultas al día porequipo.
Véase también Página Threat Prevention — Análisis en tiempo real en la página 109Página Threat Prevention — Análisis bajo demanda en la página 112Web Control — Opciones en la página 130
AccionesEspecifica cómo responde el analizador al detectar una amenaza.
Tabla 6-17
Sección Opción Definición Tipo de análisis
Análisis entiempo real
Análisis bajodemanda
Primera respuesta al detectar unaamenaza
Especifica la primera acción que desea que realice el analizador aldetectarse una amenaza.
Negar el acceso alos archivos
Impide que los usuarios accedan aarchivos con amenazas potenciales.
X
6 Referencia a la interfaz de clienteAcciones
118 McAfee Endpoint Security 10 Guía del producto
Tabla 6-17 (continuación)
Sección Opción Definición Tipo de análisis
Análisis entiempo real
Análisis bajodemanda
Continuar con elanálisis
Continúa con el análisis de archivoscuando se detecta una amenaza. Elanalizador no pone elementos encuarentena.
X
Limpiar archivos Quita la amenaza del archivodetectado, si es posible.
X X
Eliminar archivos Elimina los archivos con amenazaspotenciales.
X X
Si la primera respuesta falla Especifica la acción que desea que realice el analizador al detectarse unaamenaza si la primera acción no resuelve el problema.
Negar el acceso alos archivos
Impide que los usuarios accedan aarchivos con amenazas potenciales.
X
Continuar con elanálisis
Continúa con el análisis de archivoscuando se detecta una amenaza. Elanalizador no pone elementos encuarentena.
X
Eliminar archivos Elimina los archivos con amenazaspotenciales.
X X
Primera respuesta al detectarprograma no deseado
Especifica la primera acción que el analizador debe realizar al detectarseun programa potencialmente no deseado.
Esta opción solo está disponible si se ha seleccionado Detectar programas nodeseados.
Negar el acceso alos archivos
Impide que los usuarios accedan aarchivos con amenazas potenciales.
X
Permitir el accesoa los archivos
Permite que los usuarios accedan aarchivos con amenazas potenciales.
X
Continuar con elanálisis
Continúa con el análisis de archivoscuando se detecta una amenaza. Elanalizador no pone elementos encuarentena.
X
Limpiar archivos Quita la amenaza del archivo deprograma potencialmente nodeseado, si es posible.
X X
Eliminar archivos Quita archivos de programaspotencialmente no deseados.
X X
Si la primera respuesta falla Especifica la acción que el analizador debe realizar al detectarse unprograma potencialmente no deseado si la primera acción no resuelve elproblema.
Esta opción solo está disponible si se ha seleccionado Detectar programas nodeseados.
Negar el acceso alos archivos
Impide que los usuarios accedan aarchivos con amenazas potenciales.
X
Permitir el accesoa los archivos
Permite que los usuarios accedan aarchivos con amenazas potenciales.
X
Referencia a la interfaz de clienteAcciones 6
McAfee Endpoint Security 10 Guía del producto 119
Tabla 6-17 (continuación)
Sección Opción Definición Tipo de análisis
Análisis entiempo real
Análisis bajodemanda
Continuar con elanálisis
Continúa con el análisis de archivoscuando se detecta una amenaza. Elanalizador no pone elementos encuarentena.
X
Eliminar archivos Elimina automáticamente archivosde programas potencialmente nodeseados.
X X
Véase también Página Threat Prevention — Análisis en tiempo real en la página 109Página Threat Prevention — Análisis bajo demanda en la página 112
Agregar o Editar exclusionesAgrega o edita una definición de exclusión.
Tabla 6-18
Sección Opción Definición Tipo de análisis
En tiemporeal
Bajo demanda
Qué excluir Especifica el tipo de exclusión y los detalles de la misma.
Patrón Especifica el patrón que excluir.Seleccione Excluir también subcarpetas si esnecesario.
X X
Tipo de archivo Especifica tipos de archivo(extensiones de archivo) que excluir.
X X
Antigüedad delarchivo
Especifica el tipo de acceso (Modificado,Acceso realizado o Creado) de los archivosque excluir y la Antigüedad mínima en días.
X X
Cuándoexcluir
Especifica cuándo excluir el elemento seleccionado.
Al escribir o leerdel disco
Excluye del análisis cuando los archivosse escriban o lean en el disco u otrodispositivo de almacenamiento dedatos.
X
Al leer del disco Excluye del análisis cuando los archivosse lean en el equipo u otro dispositivode almacenamiento de datos.
X
Al escribir en eldisco
Excluye del análisis cuando los archivosse escriban o modifiquen en el disco uotro dispositivo de almacenamiento dedatos.
X
Véase también Página Threat Prevention — Análisis en tiempo real en la página 109Página Threat Prevention — Análisis bajo demanda en la página 112
6 Referencia a la interfaz de clienteAgregar o Editar exclusiones
120 McAfee Endpoint Security 10 Guía del producto
La página Threat Prevention — OpcionesConfigura los parámetros que se aplican a la función Threat Prevention, como cuarentena, programaspotencialmente no deseados y exclusiones.
Consulte la configuración de Common: Página en la página 92 para ver la configuración del registro.
Esta secciónsolo incluye opciones avanzadas.
Tabla 6-19
Sección Opción Definición
Administrador decuarentena
Directorio decuarentena
Especifica la ubicación de la carpeta de cuarentena o acepta laubicación predeterminada:c:\En cuarentena
Especifique el númeromáximo de días que seguardarán los datos encuarentena
Especifica el número de días (entre 1 y 999) que se guardan loselementos en cuarentena antes de eliminarlosautomáticamente. El valor predeterminado es 30 días.
Exclusiones pornombre dedetección
Excluir estos nombresde detección
Especifica exclusiones de detección por nombre de detección.Por ejemplo, para especificar que los analizadores en tiemporeal y bajo demanda no detecten amenazas de Comprobaciónde instalación, introduzca Comprobación de instalación.
Agregar Agrega un nombre de detección a la lista deexclusión.Haga clic en Agregar, a continuación introduzca elnombre de detección.
Eliminar Quita un nombre de detección de la lista deexclusiones.Seleccione el nombre y haga clic en Eliminar.
Detecciones deprogramaspotencialmente nodeseados
Excluir los programasno deseadospersonalizados
Especifica los archivos o programas individuales que seconsideran programas potencialmente no deseados.
Los analizadores detectan tanto los programas que especifiquecomo los especificados en los archivos de AMCore content.
El analizador no detecta un programa no deseado de cerobytes definido por el usuario.
Agregar Define un programa no deseado personalizado.Haga clic en Agregar, introduzca el nombre y pulse latecla Tab para introducir la descripción.
• Nombre Especifica el nombre de archivo delprograma potencialmente no deseado.
• Descripción: especifica la información que semostrará como nombre de detección cuando seproduzca una detección.
Eliminar Quita de la lista un programa potencialmente nodeseado.Seleccione el programa de la lista y haga clic enEliminar.
Referencia a la interfaz de clienteLa página Threat Prevention — Opciones 6
McAfee Endpoint Security 10 Guía del producto 121
Véase también Configurar parámetros de análisis comunes en la página 60
Revertir AMCore contentCambia AMCore content a una versión anterior.
Opción Definición
Seleccione la versiónque cargar
Especifica el número de versión de un archivo de AMCore content anterior quehay que cargar.Endpoint Security conserva las dos versiones previas en el sistema cliente.
Cuando cambia a una versión anterior, Endpoint Security elimina la versión actualde AMCore content del sistema.
Véase también Cambiar versión de AMCore content en la página 25
Firewall: OpcionesActiva y desactiva el módulo Firewall y configura las opciones de protección.
Consulte la configuración de Common: Página en la página 92 para ver la configuración del registro.
El modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o se debe haberiniciado sesión como administrador.
Tabla 6-21
Sección Opción Definición
Activar Firewall Activa y desactiva el módulo Firewall.
Opciones deprotección
Permitir tráfico deprotocolosincompatibles
Permite el tráfico que usa protocolos no admitidos. Si esta opciónestá desactivada, todo el tráfico que use protocolos no admitidos sebloqueará.
Permitir tráfico salientehasta que los serviciosde firewall se hayaniniciado
Permite el tráfico saliente, pero no el tráfico entrante, hasta que elservicio Firewall se haya iniciado.Si se desactiva esta opción, Firewall permite todo el tráfico antes deiniciar los servicios.
Permitir tráficomediante puentes
Permite el tráfico con una dirección MAC local.La dirección MAC es una dirección en la lista VM que es compatiblecon Firewall, no la dirección MAC del sistema local. Use esta opciónpara permitir el tráfico a través de un entorno de puente conmáquinas virtuales.
Activar la proteccióncontra falsificación dedirecciones IP
Bloquea el tráfico de red de direcciones IP no locales del host, o delos procesos locales que intenten falsificar sus direcciones IP.
6 Referencia a la interfaz de clienteRevertir AMCore content
122 McAfee Endpoint Security 10 Guía del producto
Tabla 6-21 (continuación)
Sección Opción Definición
Activar alertas deintrusión de firewall
Muestra las alertas automáticamente cuando Firewall detecta unataque potencial.
Bloqueo deDNS
Nombre de dominio Define nombres de dominio a bloquear.Cuando se la aplica, esta configuración de agrega una regla cerca dela parte superior de las reglas de firewall que bloquea las conexionesa las direcciones IP que se resuelven en los nombres de dominio.
Agregar Agrega un nombre de dominio a la lista de bloqueados.Puede usar los caracteres comodín * y ?. Por ejemplo,*dominio.com.
Separe las direcciones URL entre sí con una coma (,) oretorno de carro.
Las entradas duplicadas se eliminan automáticamente.
Eliminar Elimina el nombre de dominio seleccionado de la lista debloqueados.
Tabla 6-22 Opciones avanzadas
Sección Opción Definición
Opciones deajuste
Activar el modo deadaptación
Crea reglas automáticamente para permitir el tráfico.
Active esta opción temporalmente cuando esté configurando undespliegue.
Registrar todo el tráficobloqueado
Incluye todo el tráfico bloqueado en el registro de eventos deFirewall (FirewallEventMonitor.log) en el Endpoint Security Client.(Activada de forma predeterminada)
Registrar todo el tráficopermitido
Incluye todo el tráfico permitido en el registro de eventos deFirewall (FirewallEventMonitor.log) en el Endpoint Security Client.(Desactivada de forma predeterminada)
Activar esta opción puede tener un efecto negativo en elrendimiento.
Reputación dered McAfee GTI
Enviar eventos deMcAfee GTI al servidor
Envía eventos al servidor McAfee ePO si la configuración delumbral de bloqueo McAfee GTI para el tráfico entrante o salienteregistra coincidencias.(Desactivada de forma predeterminada)
Cualquier dirección IP de una red de confianza queda excluida dela búsqueda de McAfee GTI.
Referencia a la interfaz de clienteFirewall: Opciones 6
McAfee Endpoint Security 10 Guía del producto 123
Tabla 6-22 Opciones avanzadas (continuación)
Sección Opción Definición
Umbral de reputación dered saliente/entrante
Especifica el umbral de riesgo de McAfee GTI a partir del cual debebloquearse el tráfico entrante o saliente desde una conexión dered.
No bloquear Este sitio web es una fuente o destino legítimo decontenido/tráfico.
Alto riesgo Este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que McAfeeconsidera de riesgo.
Riesgo medio Este origen/destino muestra un comportamientoque McAfee considera sospechoso. Cualquiercontenido/tráfico procedente del sitio web requiereun escrutinio especial.
Sin verificar Este sitio web parece ser una fuente o destinolegítimo de contenido/tráfico, pero también muestraalgunas propiedades que sugieren la necesidad deuna inspección adicional.
Firewall conseguimiento deestado
Número de segundos (1a 240) antes de que laconexión TCP agote eltiempo de espera
Especifica el tiempo en segundos en el que sigue activa unaconexión TCP no establecida si no se envían ni reciben máspaquetes que coincidan con la conexión. El valor predeterminadoes 30; el intervalo válido es de 1 a 240.
Número de segundos (1a 300) antes de que lasconexiones virtuales deeco UDP e ICMP agotenel tiempo de espera
Especifica el tiempo en segundos en el que sigue activa unaconexión virtual de eco UDP o IMCP si no se envían ni reciben máspaquetes que coincidan con la conexión. Esta opción restablece elvalor configurado cada vez que se envía o recibe un paquete quecoincida con la conexión virtual. El valor predeterminado es 30; elintervalo válido es de 1 a 300.
Véase también Configurar Firewall opciones en la página 64
Página Firewall, ReglasAdministra reglas y grupos de firewall.
Solo puede agregar y eliminar reglas y grupos en el grupo Usuario agregado.
Tabla 6-23
Sección Opción Definición Regla Grupo
REGLAS Agregar regla Agrega una regla de firewall.Consulte PáginaAgregar o Editar reglas y grupos en la página125 para obtener más información.
X
Agregar grupo Agrega un grupo de firewall. X
Duplicar Crea una copia del elemento seleccionado. X X
Eliminar Elimina un elemento de firewall seleccionado. X X
Indica elementos que pueden moverse en la lista.Seleccione elementos y arrástrelos hasta la nueva ubicación.Una línea azul aparece entre elementos allí donde puedacolocar los elementos arrastrados.
X X
6 Referencia a la interfaz de clientePágina Firewall, Reglas
124 McAfee Endpoint Security 10 Guía del producto
Véase también Creación y administración de directivas y grupos de Firewall en la página 72PáginaAgregar o Editar reglas y grupos en la página 125
PáginaAgregar o Editar reglas y gruposAgrega o edita reglas y grupos de firewall.
Tabla 6-24
Sección Opción Definición Regla Grupo
Descripción Nombre Especifica el nombre descriptivo del elemento (obligatorio). X X
Estado Activa o desactiva el elemento. X X
Especificaracciones
Permitir: permite el tráfico a través del firewall si el elementocoincide.
X
Bloquear: impide el tráfico a través del firewall si el elementocoincide.
X
Tratar la coincidencia como una intrusión: el tráfico que coincide conla regla se trata como un ataque y se genera un evento quese envía al servidor McAfee ePO. Para que se genere unevento, se debe seleccionar la acción Bloquear.
X
Registrar el tráfico coincidente: guarda un registro del tráficocoincidente en el registro de actividades de Firewall enEndpoint Security Client.
X
Dirección Especifica la dirección:• En: supervisa el tráfico entrante.
• Salida: supervisa el tráfico saliente.
• Cualquiera: supervisa tanto el tráfico entrante como elsaliente.
X X
Notas Proporciona más información sobre el elemento. X X
Ubicación Activardetección deubicación
Activa o desactiva la información de ubicación para el grupo. X
Nombre Especifica el nombre de la ubicación (obligatorio). X
Referencia a la interfaz de clientePágina Firewall, Reglas 6
McAfee Endpoint Security 10 Guía del producto 125
Tabla 6-24 (continuación)
Sección Opción Definición Regla Grupo
Activaraislamiento deconexión
Bloquea el tráfico en los adaptadores de red que no coincidancon el grupo cuando haya un adaptador que sí coincida conél.
La configuración de Transporte y Ejecutables no está disponiblepara grupos de aislamiento de conexión.
Uno de los usos de esta opción consiste en bloquear el tráficogenerado por fuentes potencialmente no deseadas fuera de lared corporativa y evitar que acceda a ella. Solo se puedebloquear el tráfico de esta manera si no hay una reglaanterior al grupo en el firewall que sí le permita el acceso.
Cuando el aislamiento de conexión se activa y una tarjeta deinterfaz de red coincide con el grupo, el tráfico se permiteúnicamente en estos casos:
• El tráfico coincide con una regla Permitir anterior al grupo.
• El tráfico que se mueve por una tarjeta de interfaz de redcoincide con el grupo y hay una regla en dicho grupo (oposterior a este) que permite el tráfico.
Si no hay ninguna tarjeta de interfaz de red que coincida conel grupo, este se omitirá y se proseguirá con la coincidenciade reglas.
X
Requerir queePolicyOrchestratorsea accesible
Permite al grupo que coincida solamente si hay comunicacióncon el servidor McAfee ePO y se ha resuelto el nombre dedominio completo del servidor.
X
Criterios deubicación Sufijo DNS específico
de conexiónEspecifica un sufijo DNS específico de laconexión en el formato: ejemplo.com.
Gatewaypredeterminada
Especifica una dirección IP única parauna gateway predeterminada enformato IPv4 o IPv6.
Servidor DHCP Especifica una dirección IP única paraun servidor DHCP en formato IPv4 oIPv6.
Servidor DNS Especifica una dirección IP única paraun servidor de nombre de dominio enformato IPv4 o IPv6.
WINS principal Especifica una dirección IP única paraun servidor WINS principal en formatoIPv4 o IPv6.
WINS secundario Especifica una dirección IP única paraun servidor WINS en formato IPv4 oIPv6.
Accesibilidad deldominio
Comprueba si el dominio especificadoes accesible.
Por ejemplo:
• IPv4: 123.123.123.123• IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7
6 Referencia a la interfaz de clientePágina Firewall, Reglas
126 McAfee Endpoint Security 10 Guía del producto
Tabla 6-24 (continuación)
Sección Opción Definición Regla Grupo
Clave deRegistro
Especifica la clave de Registro y el valor de Registro.1 En el primer campo, introduzca una clave de Registro con el
formato:<ROOT>\<KEY>\[VALUE_NAME]• En <ROOT>, debe utilizar el nombre completo de la raíz,
como por ejemplo HKEY_LOCAL_MACHINE y no laabreviación HKLM.
• <KEY> es el nombre de clave bajo la raíz.
• [VALUE_NAME] es el nombre del valor de clave. Si nose incluye el nombre del valor, se presupone que tiene elvalor predeterminado.
2 En el segundo campo después del signo igual introduzca losdatos del valor de clave.
Para copiar una clave de Registro para pegar, haga clic conel botón derecho sobre una clave del Editor del registro(ejecute regedit) y seleccione Copiar nombre de clave.
X
Redes Especifica las opciones de host de red host que se aplican alelemento.
X X
Protocolo dered
Especifica el protocolo de red que se aplica al elemento. X X
Cualquierprotocolo
Permite tanto protocolo IP como protocolo distinto de IP.
Si se especifica un protocolo de transporte o una aplicación,solo se admiten protocolos IP.
X X
Protocolo IP Excluye cualquier protocolo distinto de IP.• Protocolo IPv4
• Protocolo IPv6
Si no se activa ninguna casilla, se aplica cualquier protocoloIP. Se puede seleccionar tanto IPv4 como IPv6.
X X
Protocolodistinto de IP
Solo incluye protocolos distintos de IP.• Seleccionar etherType de la lista: especifica un etherType.
• Especificar etherType personalizado: especifica los cuatrocaracteres de valor hexadecimal Ethertype del protocolodistinto de IP. Consulte los números de Ethernet para verlos valores EtherType. Por ejemplo, escriba 809B paraAppleTalk, 8191 para NetBEUI u 8037 para IPX.
X X
Tipos deconexión
Indica si se aplica uno o todos los tipos de conexión:• Con cable
• Inalámbrico
• Virtual
Una conexión de tipo Virtual es un adaptador presentadopor un VPN o una aplicación de máquina virtual, comoVMware, en lugar de un adaptador físico.
X X
Referencia a la interfaz de clientePágina Firewall, Reglas 6
McAfee Endpoint Security 10 Guía del producto 127
Tabla 6-24 (continuación)
Sección Opción Definición Regla Grupo
Especificarredes
Especifica las redes que se aplican al elemento.• Agregar: crea y agrega una red.
Consulte Agregar redes Página en la página 129 paraobtener más información.
• Importar: importa una lista de nombres de red de un archivoxml.
• Eliminar: elimina la red de la lista.
X X
Transporte Especifica las opciones de transporte que se aplican alelemento.
Protocolo detransporte
Especifica el protocolo de transporte asociado al elemento.Seleccione el protocolo, haga clic en Agregar para agregarpuertos.
Todos losprotocolos
Permite protocolos IP, distintos de IP y noadmitidos.
TCP y UDP Seleccione en el elemento desplegable:• Puerto local: especifica el puerto o servicio de
tráfico local al que se aplica el elemento.
• Puerto remoto: especifica el puerto o serviciode tráfico en otro equipo al que se aplica elelemento.
Puerto local y Puerto remoto pueden ser:
• Un único servicio. Por ejemplo, 23.
• Un intervalo. Por ejemplo, 1–1024.
• Una lista separada por comas con lospuertos individuales y los intervalos depuertos. Por ejemplo, 80, 8080, 1–10, 8443(hasta cuatro elementos).
De manera predeterminada, las reglas seaplican a todos los servicios y puertos.
ICMP eICMPv6
En el elemento desplegable Tipo de mensaje,especifique un tipo de mensaje ICMP:• ICMP
• ICMPv6
Otros Selecciona de una lista de protocolos menoscomunes.
X X
Ejecutables Especifica las ejecutables que se aplican a la regla.• Agregar: crea y agrega una ejecutable.
Consulte Agregar o Editar ejecutables Página en la página129 para obtener información.
• Importar: importa una lista de nombres de ejecutables de unarchivo xml.
• Eliminar: elimina una ejecutable de la lista.
6 Referencia a la interfaz de clientePágina Firewall, Reglas
128 McAfee Endpoint Security 10 Guía del producto
Véase también Creación y administración de directivas y grupos de Firewall en la página 72Agregar redes Página en la página 129Agregar o Editar ejecutables Página en la página 129
Agregar o Editar ejecutables PáginaAgrega y edita un ejecutable asociado a una regla o grupo, o agrega un ejecutable al Catálogo deFirewall.
Tabla 6-25
Opción Definición Regla Grupo
Nombre Especifica el nombre que le da al ejecutable. X X
Ruta de archivo Especifica la ruta de archivo del ejecutable que agregar o editar.Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
X X
Descripción del archivo Indica la descripción del archivo.
Este campo se completa automáticamente al seleccionar unejecutable.
X X
Huella digital Indica el hash MD5 del proceso.
Este campo se completa automáticamente al seleccionar unejecutable.
X X
Activar comprobaciónde firma digital
Activa o desactiva la comprobación de firma digital que garantizaque el código no se ha alterado o dañado desde que se firmó conun hash criptográfico.Si está activado, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquierfirmante de proceso.
• Firmado por: permite solo los archivos firmados por el firmante deproceso especificado.
X X
Agregar redes PáginaAgrega o edita una red asociada a una regla o grupo, o agrega una red al Catálogo de Firewall.
Tabla 6-26
Opción Definición Regla Grupo
Nombre Especifica el nombre de la dirección de la red (obligatorio). X X
Tipo Selecciona una de esta opciones:• Red local: crea y agrega una red local.
• Red remota: crea y agrega una red remota.
X X
Agregar Agrega un tipo de red a la lista de redes. X X
Eliminar Elimina el elemento seleccionado. X X
Referencia a la interfaz de clientePágina Firewall, Reglas 6
McAfee Endpoint Security 10 Guía del producto 129
Tabla 6-26 (continuación)
Opción Definición Regla Grupo
Tipo de red Especifica el origen o destino del tráfico. Seleccione en la lista desplegableTipo de dirección.Consulte Tipo de dirección en la página 130 para la lista de tipos dedirección.
X X
Dirección Especifica la dirección IP que agregar a la red.
Se aceptan caracteres comodín.
X X
Véase también Tipo de dirección en la página 130
Tipo de direcciónEspecifica el tipo de dirección.
Tabla 6-27 Definiciones de opciones
Opción Definición
Dirección IP única Especifica una dirección IP concreta. Por ejemplo:• IPv4: 123.123.123.123• IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Subred Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo:• IPv4: 123.123.123.0/24• IPv6: 2001:db8::0/32
Subred local Especifica la dirección de subred del adaptador local.
Intervalo Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final delintervalo. Por ejemplo:• IPv4: 123.123.1.0 – 123.123.255.255• IPv6: 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff
Nombre de dominiocompleto
Especifica el nombre de dominio completo. Ejemplo: www.ejemplo.com.
Web Control — OpcionesEstablece la configuración general de Web Control, que incluye activar, especificar implementación deacciones, Búsqueda segura, y anotaciones de correo electrónico.
Consulte la configuración de Common: Página en la página 92 para ver la configuración del registro.
6 Referencia a la interfaz de clienteWeb Control — Opciones
130 McAfee Endpoint Security 10 Guía del producto
Tabla 6-28
Sección Opción Definición
OPCIONES Activar para Web Control Activa o desactiva Web Control. (Activada de formapredeterminada)
Ocultar la barra deherramientas en elnavegador del cliente
Oculta la barra de herramientas de Web Control en elnavegador sin desactivar su funcionalidad. (Desactivada deforma predeterminada)Use esta opción para resolver problemas de compatibilidad deterceros.
Registro deeventos
Registrar categorías webpara sitios web concalificación verde
Registra categorías de contenido para todos los sitios web concalificación verde.
Activar esta función podría afectar negativamente alrendimiento del servidor McAfee ePO.
Registrar eventos deiFrame de Web Control
Registra cuando se bloquea el acceso a sitios web maliciosos(rojos) y advierte de sitios web (amarillos) que aparecen en uniframe de HTML.
Implementaciónde acciones
Aplicar esta acción a sitiosaún no verificados porMcAfee GTI
Especifica la acción predeterminada que aplicar a sitios web queMcAfee GTI todavía no ha calificado.
Use la configuración de Mensajes de implementación parapersonalizar el mensaje.
Permitir(Predeterminado)
Permite que los usuarios tengan accesoal sitio web.
Advertir Muestra una advertencia que informa alos usuarios sobre los peligrospotenciales asociados con el sitio web.Los usuarios deben descartar laadvertencia antes de continuar.
Bloquear Evita que los usuarios tengan acceso alsitio web y muestra un mensaje queindica que las descargas estánbloqueadas.
Permitir compatibilidadcon iframe de HTML
Bloquea el acceso a sitios web maliciosos (rojos) y advierte desitios web (amarillos) que aparecen en un iframe HTML.(Activada de forma predeterminada)
Bloquea sitios de formapredeterminada si elservidor de calificacionesMcAfee GTI no estáaccesible
Bloquea el acceso a sitios web de forma predeterminada si WebControl no puede acceder al servidor McAfee GTI.
Bloquear páginas dephishing para todos lossitios
Bloquea todas las página de phishing, independientemente delas acciones de calificaciones de contenido. (Activada de formapredeterminada)
Referencia a la interfaz de clienteWeb Control — Opciones 6
McAfee Endpoint Security 10 Guía del producto 131
Tabla 6-28 (continuación)
Sección Opción Definición
Permitir análisis dearchivos para lasdescargas de archivos
Analiza todos los archivos (incluidos archivos .zip) antes dedescargar. (Activada de forma predeterminada)Esta opción impide que los usuarios accedan a un archivodescargado hasta que Threat Prevention lo marque comolimpio.
Los archivos descargados se envían a Threat Prevention para elanálisis. Threat Prevention realiza una búsqueda McAfee GTIdel archivo. Si un archivo descargado se identifica como unaamenaza, Endpoint Security realiza una acción en el archivo yalerta al usuario.
Especificar nivel McAfeeGTI de riesgo quebloquear
Especifica el nivel de riesgo de McAfee GTI que bloquearcuando la función de análisis bajo demanda de ThreatPrevention no está instalada y activada.Consulte McAfee GTI en la página 117para obtener información.
Web Control usa el nivel de riesgo para calcular la calificacióncuando recupera la reputación de suma de comprobación deMcAfee GTI.
Intervalo de direcciones IPprivadas
Configura Web Control para que no califique o actúe en elintervalo de direcciones IP privadas especificado.
Agregar Agrega una dirección IP privada a la lista dedirecciones que excluir de la calificación o el bloqueo.
Eliminar Elimina una dirección IP de la lista de direcciones aexcluir de la calificación o el bloqueo.
Búsqueda segura Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente lossitios web maliciosos de los resultados de búsqueda según sucalificación de seguridad.
Establezca el motor debúsqueda predeterminadoen los navegadorescompatibles
Especifica el motor de búsqueda predeterminado en losnavegadores compatibles:• Yahoo
• Bing
• Ask
Bloquear vínculos a sitiospeligrosos en losresultados de la búsqueda
Evita que los usuarios hagan clic en vínculos a sitios webpeligrosos en los resultados de la búsqueda.
Tabla 6-29 Opciones avanzadas
Sección Opción Definición
Anotaciones de correoelectrónico
Activar anotaciones en correoelectrónico basado en navegador
Anota direcciones URL en clientes de correoelectrónico basados en el navegador (p. ej. YahooMail y Gmail).
Activar anotaciones en clientes decorreo electrónico no basados en Web
Anota direcciones URL en herramientas deadministración de correo electrónico de 32 bits,como Microsoft Outlook o Outlook Express.
Véase también Configurar opciones de Web Control en la página 84McAfee GTI en la página 117
6 Referencia a la interfaz de clienteWeb Control — Opciones
132 McAfee Endpoint Security 10 Guía del producto
Web Control: Acciones según contenidoDefine las acciones a tomar para los sitios web calificados y las categorías de contenido web.
Para los sitios web y descargas de archivos en las categorías no bloqueadas, Web Control aplica lasacción de calificación.
Tabla 6-31
Sección Opción Definición
Acciones decalificación
Acciones decalificación parasitios
Especifica acciones para sitios web que estén calificados como rojo,amarillo o sin calificar.
Los sitios web y las descargas con calificación verde se permitenautomáticamente.
Permitir Permite que los usuarios tengan acceso al sitio web.(Predeterminado para sitios web Sin calificar)
Advertir Muestra una advertencia que informa a los usuarios sobrelos peligros potenciales asociados con el sitio web. Losusuarios deben descartar la advertencia antes de poderacceder al sitio web o cancelar el acceso. (Predeterminadopara sitios web Amarillos)
Bloquear Evita que los usuarios tengan acceso al sitio web y muestraun mensaje que indica que el sitio web está bloqueado.(Predeterminado para sitios web Rojos)
Acciones decalificación paradescargas dearchivos
Especifica acciones para sitios web que estén calificados como rojo,amarillo o sin calificar.
Permitir Permite que los usuarios continúen con la descarga.(Predeterminado para sitios web Sin calificar)
Advertir Muestra una advertencia que informa a los usuarios sobrelos peligros potenciales asociados con la descarga delarchivo. Los usuarios deben descartar la advertencia parafinalizar o continuar la descarga. (Predeterminado parasitios web Amarillos)
Bloquear Evita que los usuarios descarguen el archivo y muestra unmensaje que indica que la descarga se ha bloqueado.(Predeterminado para sitios web Rojos)
Use la configuración de Mensajes de implementación para personalizarel mensaje.
Tabla 6-32 Opciones avanzadas
Sección Opción Definición
Bloqueo decategorías web
Activar bloqueo decategorías web
Activa el bloqueo de sitios web basado en la categoría decontenido.Las primeras 7 categorías se consideran de alto riesgo y seactivan de forma predeterminada. Las categorías subsiguientesaparecen en orden alfabético y se desactivan de formapredeterminada.
Bloquear Evita que los usuarios tengan acceso a cualquier sitio web en estacategoría y muestra un mensaje que indica que el sitio web estábloqueado.
Categorías web Lista las categorías web, de la de mayor riesgo a la de menor.
Referencia a la interfaz de clienteWeb Control: Acciones según contenido 6
McAfee Endpoint Security 10 Guía del producto 133
Véase también Especifique acciones de calificación y bloquee el acceso a sitios web según la categoría web enla página 87Uso de calificaciones de seguridad para controlar el acceso en la página 88Uso de categorías web para el control de acceso en la página 87
6 Referencia a la interfaz de clienteWeb Control: Acciones según contenido
134 McAfee Endpoint Security 10 Guía del producto
Índice
Aacciones, Threat Prevention
especificar qué sucede cuando se descubre una amenaza50, 55
permitir que los usuarios limpien y eliminen archivosinfectados 50, 55
programas no deseados 45
realizar en elementos en cuarentena 39
actualizacionesBotón Actualizar ahora, Endpoint Security Client 20
cancelar 20
configurar sitios para las actualizaciones 32
actualizaciones bajo demanda, véase actualizaciones manuales,ejecutar
actualizaciones de productosbuscar manualmente 20
programación 33
actualizaciones de softwarebuscar manualmente 20
programación 33
actualizaciones manuales, ejecutar 20
actualizaciones, Endpoint Securityconfigurar el comportamiento 31
planificar desde el cliente 33
actualizaciones, Threat Preventionarchivos de contenido 8archivos Extra.DAT 26
buscar manualmente 20
descripción general 9planificación automática 33
tarea Actualización de cliente predeterminado, acerca de 33
Actualizar página 20
adaptadores de red, permitir conexión 68
administradorescontraseña 24
contraseña predeterminada 11
definición 8iniciar sesión en Endpoint Security Client 24
adware, acerca de 41
alertas, Firewall 10
alertas, Threat Preventiondescripción general de análisis bajo demanda 55
descripción general de análisis en tiempo real 51
amenazasadministrar detecciones 39
aplicaciones de la Tienda Windows 51, 55
archivos de AMCore content 9Carpeta de cuarentena 39
detecciones durante el análisis 38
infracciones de puntos de acceso 48
obtener información adicional de McAfee Labs 39
proceso de Protección de acceso 48
responder a detecciones 18
tipos 41
y calificaciones de seguridad 80
ampliaciones, componentes de software cliente 8análisis
análisis con el botón derecho del ratón 38
aplazar, pausar, reanudar y cancelar 19
ejecución desde Endpoint Security Client 36
parámetros comunes para análisis en tiempo real y bajodemanda 60
planificación con Endpoint Security Client 60
responder a avisos 19
tipos 35
usar caracteres comodín en exclusiones 44
Web Control 86
análisis bajo demandaacerca de 35
análisis con el botón derecho del ratón 38
Análisis de Almacenamiento remoto 59
analizar archivos o carpetas 38
aplazar 57
archivos de registro 22
configurar 60
descripción general 55
ejecutar Análisis completo o Análisis rápido 36
excluir elementos 42
impacto cero 57
programas potencialmente no deseados, activar detección45
responder a avisos 19
utilización del sistema 59
Análisis completoacerca de 35
configurar 55
ejecución desde Endpoint Security Client 36
planificación en el cliente 60
McAfee Endpoint Security 10 Guía del producto 135
Análisis con el botón derecho del ratónacerca de 35
analizar desde el Explorador de Windows 38
configurar 55
análisis de Almacenamiento remoto, descripción general 59
análisis de impacto cero 57
análisis del sistema, tipos 35
análisis en tiempo realacerca de 35
análisis de scripts 51
archivos de registro 22
configurar 50, 60
descripción general 51
detecciones de tareas 18
escribir en disco frente a leer en el disco 51
excluir elementos 42
número de directivas de análisis 54
optimización con lógica de confianza 51
programas potencialmente no deseados, activar detección45
ScriptScan 51
análisis incrementales 57
análisis manualesacerca de tipos de análisis 35
ejecución desde Endpoint Security Client 36, 38
Análisis rápidoconfigurar 55
ejecución desde Endpoint Security Client 36
planificación en el cliente 60
tipos de análisis 35
análisis reanudables, véase análisis incrementales análisis, bajo demanda
Análisis de Almacenamiento remoto 59
aplazar 57
configurar 55
descripción general 57
detección de amenazas en las aplicaciones de la TiendaWindows 55
ejecutar solo cuando el sistema esté inactivo 57
excluir elementos 42
impacto cero 57
planificación en el cliente 60
utilización del sistema 59
análisis, en tiempo realconfigurar 50
descripción general 51
detección de amenazas en las aplicaciones de la TiendaWindows 51
detecciones de tareas, responder a 18
excluir elementos 42
número de directivas 54
optimización con lógica de confianza 51
ScriptScan 51
analizar página, mostrar 18, 36
aplazamiento de análisis, descripción general 57
aplicaciones de la Tienda Windows, detección de amenazas 51,55
aplicaciones, Tienda Windows 51, 55
archivosadministración en la cuarentena 39
archivos de registro 22
caracteres comodín en exclusiones de análisis 44
configuración para cuarentena 60
configurar archivos de registro 28
ejecución de análisis 38
excluir de análisis tipos específicos 42
impedir que se modifiquen 28
registros de Endpoint Security Client 21
archivos de AMCore contentacerca de firmas y actualizaciones 9archivos Extra.DAT 26
descripción general de análisis bajo demanda 55
descripción general de análisis en tiempo real 51
Archivos de AMCore contentacerca de 8cambio de versión 25
archivos de contenidoacerca de 8archivos Extra.DAT 26
cambio de versión de AMCore 25
comprobar si hay actualizaciones de forma manual 20
descripción general de análisis bajo demanda 55
descripción general de análisis en tiempo real 51
planificar actualizaciones 33
y detecciones 18
archivos de definiciones de detección, véase archivos decontenido
archivos de registroconfigurar 28
errores de actualización 20
ubicaciones 22
ver 21
archivos Extra.DATacerca de 26
archivos de AMCore content 9cargar 27
descargar 26
descripción general de análisis bajo demanda 55
descripción general de análisis en tiempo real 51
usar 26
archivos, contenidoarchivos Extra.DAT 26
cambio de versión de AMCore content 25
cargar archivos Extra.DAT 27
descripción general de análisis bajo demanda 55
descripción general de análisis en tiempo real 51
Extra.DAT y AMCore 9firmas y actualizaciones 9Prevención de exploits 9uso de archivos Extra.DAT 26
archivos, especificar opciones de análisis 50, 55
Índice
136 McAfee Endpoint Security 10 Guía del producto
ataques basados en montón, vulnerabilidades dedesbordamiento del búfer 49
ataques basados en pila, vulnerabilidades de desbordamientodel búfer 49
ataques, vulnerabilidades de desbordamiento del búfer 49
autogestionado, acerca de 20
Autoprotección, configurar 28
avisos, Endpoint Securityacerca de 10
responder a análisis 19
Windows 8 18
Ayuda, mostrar 11, 18
BBloquear interfaz de cliente
al abrir Endpoint Security Client 17
desbloquear la interfaz 24
y configuración de directiva 13
botónAnalizar ahora 36
Ver análisis 36
Ver detecciones 39
Botón Analizar ahora 36
Botón Ver análisis 36
Botón Ver detecciones 39
botones, Web Control 78
bromas, acerca de 41
Búsqueda segura, configurar Web Control 84
búsquedasbloquear vínculos a sitios peligrosos en los resultados 84
iconos de seguridad 79
Ccaché de análisis
análisis bajo demanda 55
análisis en tiempo real 51
caché de análisis globalanálisis bajo demanda 55
análisis en tiempo real 51
caché, análisis globalanálisis bajo demanda 55
análisis en tiempo real 51
calificación, Web Control, véase calificaciones de seguridad calificaciones de seguridad
configurar acciones para sitios web y descargas 87
controlar el acceso a sitios web 88
iconos de seguridad 79
Web Control y 77
calificaciones, seguridad, véase calificaciones de seguridad caracteres comodín
usar en reglas de firewall 73
utilización en exclusiones de análisis 44
carpetasadministración en la cuarentena 39
caracteres comodín en exclusiones de análisis 44
carpetasconfiguración para cuarentena 60
ejecución de análisis 38
categorías de contenido, véase categorías web categorías web, bloqueo o advertencia de acceso según 87
Chromebotones de Web Control 78
mostrar menú de opciones de Web Control 81
navegadores compatibles 77, 81
clasificaciones de seguridadcómo se obtienen las clasificaciones de sitios web 80
cliente, véase Endpoint Security Client cliente de protección de McAfee, véase Endpoint Security Client cliente McAfee, véase Endpoint Security Client colores, botones de Web Control 78
configuraciónactualizaciones, configuración para 31
sitios de origen, configurar 32
configuración de acción según contenidoWeb Control 87, 88
configuración de procesos, análisis bajo demanda 59
configuración, Threat Preventionanálisis bajo demanda 45
análisis en tiempo real 45
configurar programas potencialmente no deseados 45
función Protección de acceso 46
configuración, Web Controlcontrol de acceso con calificaciones de seguridad 88
control de acceso con categorías web 87
controlar acceso a sitios web 87
contraseña predeterminada, Endpoint Security Client 11
contraseñasadministrador 24
administrador predeterminado 11
configurar seguridad cliente 29
controlar acceso al cliente 29
copias de seguridad, especificar opciones de análisis 50, 55
crackers de contraseñas, acerca de 41
credenciales, administrador predeterminado 11
Cuarentena, Threat Preventionconfigurar parámetros de ubicación y retención 60
cuentas de usuario, controlar acceso al cliente 29
Ddescargas de archivos
análisis con Threat Prevention 86
bloquear desde sitios web desconocidos 84
bloqueo o advertencia de acceso según calificaciones 87
deteccionesadministrar 36, 39
excluir por nombre 60
informar a un servidor de administración 8mostrar mensajes a usuarios 50, 55
nombres 41
responder a 18
Índice
McAfee Endpoint Security 10 Guía del producto 137
detecciones (continuación)tipos 36, 38
direcciones IPgrupos de reglas 68
grupos que detectan la ubicación 68
direcciones URLexcluir del análisis de secuencia de comandos 50
Direcciones URLbloquear desconocidos 84
directivasacceso a Endpoint Security Client 13
definición 8funciones cliente 9
directivas, Commonconfigurar 27
directivas, Threat Preventionanálisis bajo demanda, aplazar 57
análisis en tiempo real 54
parámetros de análisis comunes 60
dominios, bloqueo 64
EEndpoint Security
administrar 24
Endpoint Security Clientabrir 10, 17
acerca de 11
actualizar protección 20
administrar detecciones de amenazas 39
Análisis completo y Análisis rápido, planificación 60
análisis del sistema 35
analizar en busca de malware 35
configuración de directiva 13
configuración de seguridad 29
configurar sitios para las actualizaciones 32
desbloquear la interfaz 24
ejecución de análisis 36
iniciar sesión como administrador 24
interacción con 9módulos 14
mostrar Ayuda 18
mostrar información de protección 19
proteger con una contraseña 29
registros, acerca de 22
Resumen de amenazas 12
tarea Actualización de cliente predeterminado, acerca de 33
tarea Actualización de cliente predeterminado, configurar31
tarea Actualización de cliente predeterminado, planificación33
tipo de administración 8, 19
ver el Registro de eventos 21
Endpoint Security, cómo protege su equipo 8errores, actualización 20
Escritorio remoto, y función de análisis durante inactividad 57
estado, Endpoint Security, mostrar con icono de McAfee de labandeja del sistema 10
eventos, rastrear eventos de navegador de Web Control 84
evitar análisis 51
exclusionesanálisis bajo demanda, especificar 55
análisis en tiempo real, especificar archivos, carpetas yunidades 50
especificar URL para ScriptScan 50
nombre de detección 60
usar caracteres comodín 44
exploitsbloquear desbordamientos del búfer 49
cómo se producen los exploits de desbordamiento del búfer49
FFirefox
mostrar menú de opciones de Web Control 81
navegadores compatibles 77, 81
probar problemas de comunicación 83
Firewallacerca de 7administración de directivas y grupos 72
administrar 63
alertas de intrusos 10
archivos de registro 22
bloqueo del tráfico DNS 64
cómo funciona 63
cómo funcionan las reglas de firewall 66
desactivar y activar protección 64
Endpoint Security Client 14
grupos con detección de ubicación, acerca de 68
grupos con reconocimiento de ubicación, crear 74
modificar opciones 64
registro de actividades 22
registro de depuración 22
reglas, véase reglas de firewallfirmas, información sobre amenazas conocidas 9función de análisis durante inactividad 19, 57
funcionesAcceso a Endpoint Security Client basado en directivas 13
desactivar y activar 25
Gglobos, Web Control 79, 82
GoogleChrome 77
iconos de seguridad 79
motores de búsqueda compatibles 79
grupo de firewall, véase grupos de reglas de firewall Grupo de reglas agregado por el usuario 72
Grupo de reglas de adaptación 72
grupo de reglas, Firewall, véase grupos de reglas de firewall
Índice
138 McAfee Endpoint Security 10 Guía del producto
grupos con reconocimiento de ubicaciónacerca de 68
crear 74
grupos de firewallconfigurar 66
grupos de reglas de firewallcómo funciona el Firewall 63
prioridad 68
reconocimiento de ubicación, acerca de 68
reconocimiento de ubicación, crear 74
y aislamiento de conexión 69
grupos que detectan la ubicaciónaislamiento de conexión 69
grupos, firewall, véase grupos de reglas de firewall
Hhashes, acerca de 30
herramientas de administración remota, acerca de 41
Iicono de la bandeja del sistema, McAfee 9, 10, 29
abrir Endpoint Security Client 17
configurar acceso a Endpoint Security 29
definición 10
Icono McAfee, véase icono de la bandeja del sistema, McAfee iconos, McAfee, véase icono de la bandeja del sistema, McAfee iconos, Web Control 79
independiente, véase autogestionado, acerca de información, mostrar protección 19
informes de seguridad, véase informes, Web Control informes del sitio, véase informes, Web Control informes, Web Control 79, 80
seguridad 77
seguridad de sitios web 79
visualización 82
visualizar 82
instaladores de confianza, analizar 50
instaladores, analizar de confianza 50
Internet Explorermostrar menú de opciones de Web Control 81
navegadores compatibles 77, 81
probar problemas de comunicación 83
y comportamiento de ScriptScan 51
intrusiones, activar alertas de Firewall 64
Llógica de confianza, optimización de análisis en tiempo real 51
Mmalware
analizar en busca de 35
detecciones durante el análisis 36, 38
responder a detecciones 18
marcadores, acerca de 41
McAfee Endpoint Security Client, véase Endpoint Security Client
McAfee ePOactualizar protección 8recuperación de archivos de AMCore content 9y tipos de administración 20
McAfee GTIanálisis bajo demanda, cómo funcionan 55
análisis bajo demanda, configurar 55
análisis en tiempo real, cómo funcionan 51
análisis en tiempo real, configurar 50
analizar archivos antes de su descarga 86
calificaciones de seguridad de Web Control 80
configurar nivel de sensibilidad 60
descripción general 30
enviar eventos de bloqueo al servidor 64
especificar configuración del servidor proxy 30
informes de sitio web de Web Control 79
opciones del firewall, configuración 64
preguntas frecuentes 65
problema de comunicación de Web Control 78
reputación de red para firewall, configurar 64
scanning files before downloading 84
solucionar problemas de comunicación 83
y categorías web 87
McAfee LabsActualizaciones de archivos de AMCore content 9descarga de Extra.DAT 26
Extra.DAT 26
obtener información adicional sobre amenazas 39
y McAfee GTI 30
McAfee SECURE, botón de Web Control 78
McTray, iniciar 57
mensajes de error, estados del icono de la bandeja del sistema10
mensajes de notificaciónacerca de 10
interacción con Endpoint Security Client 9Windows 8 10
mensajes emergentes, y calificaciones de seguridad 80
mensajes, Endpoint Securityacerca de 10
mostrar al detectar amenaza 50, 55
Menú Acción, acerca de 11
Menú Inicio, abrir Endpoint Security Client 17
menúsAcción 11, 25
Acerca de 19
Ayuda 11, 18
Configuración 11, 13, 14, 64, 72
Microsoft Internet Explorer, véase Internet Explorer modo Acceso estándar
configuración de seguridad cliente 29
Modo Acceso estándaradministrar reglas y grupos de firewall 72
efectos de definir una contraseña 29
Índice
McAfee Endpoint Security 10 Guía del producto 139
Modo Acceso estándar (continuación)iniciar sesión como administrador 24
y configuración de directiva 13
modo de Acceso totalconfiguración de directiva 13
modificar opciones de firewall 64
Modo de adaptaciónconfigurar en Firewall 64
prioridad de reglas 66
Modo de interfaz de cliente, opciones 13
Modo escritorio, Windows 8respuesta a los avisos de detección de amenazas 18
Windows 8 10
Modo Metro, Windows 8mensajes de notificación 10
respuesta a los avisos de detección de amenazas 18
modos de acceso, Endpoint Security Client 13
modos de interfazAcceso estándar 24, 29
configuración de seguridad cliente 29
módulo Common, configurarAutoprotección 28
configuración 27
configuración de actualización 31
Configuración del servidor proxy para McAfee GTI 30
registro 28
seguridad de interfaz cliente 29
Módulo Common, configurarsitios de origen para actualizaciones de cliente 32
Módulo Common, Endpoint Security Client 7, 14
módulosAcceso a Endpoint Security Client basado en directivas 13
acerca de Endpoint Security 7instalado en Endpoint Security Client 14
muestra información acerca de 19
módulos, CommonAutoprotección, configurar 28
cómo funciona McAfee GTI 30
configuración de actualización de cliente, configuración 31
configuración de actualización, configurar 31
configurar sitios de origen para actualizaciones de cliente32
registro, configurar 28
seguridad de interfaz cliente, configurar 29
servidor proxy para McAfee GTI, configurar 30
motor de análisis, información general sobre archivos deAMCore content 9
Motores de búsqueda Ask, e iconos de seguridad 79
Motores de búsquedas Bing, e iconos de seguridad 79
Mozilla Firefox, véase Firefox
Nnavegadores
compatible 77, 81
desactivar el complemento Web Control 84
navegadoresmostrar menú de opciones de Web Control 81
solucionar problemas de comunicación 83
nivel de sensibilidad, McAfee GTI 30
no gestionadas, véase autogestionado, acerca de notificaciones de alerta, Windows 8 modo Metro 10, 18
Oopciones
analizar en busca de malware 35
configurar análisis bajo demanda 55
configurar análisis en tiempo real 50
opciones de Firewallmodificación 64
opciones de utilización del sistema, descripción general 59
Opciones, CommonAutoprotección, configurar 28
configuración de actualización, configurar 31
configuración del servidor proxy, configurar 30
configurar 27
parámetros de registro, configurar 28
programación de análisis bajo demanda 35
seguridad de interfaz cliente, configurar 29
sitios de origen para actualizaciones de cliente, configurar32
Opciones, Threat Preventionparámetros de análisis comunes 60
programas no deseados 45
PPágina Acerca de 8, 19
Página Análisis en tiempo real 39
Página Analizar en busca de amenazas 38
Página Analizar sistema 36, 39
página ConfiguraciónAutoprotección, configurar 28
configuración de actualización, configurar 31
configuración del servidor proxy, configurar 30
registro, configurar 28
Página Configuraciónadministrar reglas y grupos de firewall 72
modificar opciones de firewall 64
parámetros de análisis bajo demanda, configurar 55
parámetros de análisis en tiempo real, configurar 50
seguridad de interfaz cliente, configurar 29
sitios de origen para actualizaciones de cliente, configurar32
y modo de interfaz de cliente 13
Página de estado de seguridad de McAfee, mostrar 10
Página de estado, ver Resumen de amenazas 12
Página de iniciar sesión como administradoral abrir Endpoint Security Client 17
desbloqueo de la interfaz del cliente 24
Página Poner en cuarentena 39
página Reversión de AMCore content 25
Índice
140 McAfee Endpoint Security 10 Guía del producto
páginasAcerca de 8, 19
Actualizar 20
Análisis en tiempo real 18, 39
análisis, mostrar 36
Analizar en busca de amenazas 38
Analizar sistema 36, 39
Configuración 13, 28–32, 55, 64
Cuarentena 39
Estado de seguridad de McAfee 10
Registro de eventos 21
Revertir AMCore content 25
parámetro Windows Set Priority 59
phishing, informes enviados por usuarios del sitio web 80
planificaciones, análisis bajo demanda, aplazar 57
preguntas frecuentes, McAfee GTI 65
Prevención de exploitsactualizaciones de archivos de contenido 9
Prevención de vulnerabilidadesacerca de 49
archivos de registro 22
configurar 49
prioridadgrupo de firewall 68
reglas de firewall 66
prioridades, análisis en tiempo real 59
problemas de comunicación, Web Control 83
procesos de alto riesgo, especificar 50
procesos de bajo riesgo, especificar 50
procesos, Threat Preventionanálisis 50, 51
especificar alto y bajo riesgo 50
incluir y excluir en protección de acceso 46
programas potencialmente no deseadosacerca de 41
activar detección 45, 50, 55
caracteres comodín en exclusiones de análisis 44
configurar detección 44
detecciones durante el análisis 36, 38
especificar 45
especificar programas que detectar 60
programas, activar detección de potencialmente no deseados50, 55
protecciónconfigurar autoprotección 28
interacción con 9mantener actualizado 8muestra información acerca de 19
Protección de accesoacerca de 47
archivos de registro 22
configurar 46
ejemplos 48
procesos, incluir y excluir 46
protocolo FTP 74
protocolo FTP en modo activo 74
protocolo FTP en modo pasivo 74
puertos, conexiones FTP 74
Rregistradores de pulsaciones de teclado, acerca de 41
registro de cliente 28
registros de actividades, Endpoint Security Client 22
registros de depuración, Endpoint Security Client 22
registros de errores, Endpoint Security Client 22
registros de eventoserrores de actualización 20
ver página Registro de eventos 21
registros de eventos, Endpoint Security Client 22
reglas de firewallcómo funciona el Firewall 63
cómo funcionan 66
configurar 66
orden y prioridad 66
para permitir conexiones FTP 74
permitir y bloquear 66
usar caracteres comodín 73
reglas, firewall, véase Firewall reglas, Threat Prevention
cómo funciona la protección de acceso 48
configurar 46
regulación, configurar 59
respuestas, configurar para detección de programas nodeseados 45
Resumen de amenazas, acerca de 12
SScriptScan
acerca de 51
activar 50
sectores de arranque, analizar 50, 55
seguridadconfigurar seguridad de interfaz cliente 29
servidor proxycómo funciona McAfee GTI 30
configurar para McAfee GTI 30
sigiloso, acerca de 41
sistemas servidor, y función de análisis durante inactividad 57
sitios de origen, configurar para actualizaciones de cliente 32
sitios webclasificaciones de seguridad 80
protección de navegación 78
protección durante la búsqueda 79
ver informe de sitio web de Web Control 82
sitios web, advertenciasegún calificaciones 87
según las calificaciones de seguridad 88
sitios web, bloquearsegún calificaciones 87
según categoría web 87
Índice
McAfee Endpoint Security 10 Guía del producto 141
sitios web, bloquear (continuación)según las calificaciones de seguridad 88
sin calificar o desconocidos 84
sitios peligrosos en resultados de búsqueda 84
sitios web, control de accesocon calificaciones de seguridad 88
con categorías web 87
sitios web, controlar el accesocon calificaciones de seguridad 88
con categorías web 87
sitios, advertenciasegún calificaciones 87
según las calificaciones de seguridad 88
sitios, bloqueosegún calificaciones 87
según categoría web 87
según las calificaciones de seguridad 88
software cliente, definición 8solicitudes de descarga, véase descargas de archivos spyware, acerca de 41
subprocesos, prioridad 59
Ttarea Actualización cliente predeterminado
acerca de 33
tarea Actualización de cliente predeterminadoconfigurar 31
planificación con Endpoint Security Client 33
Tarea de actualización cliente predeterminadoconfigurar sitios para las actualizaciones 32
tareas, Threat PreventionActualización de cliente predeterminado, acerca de 33
Actualización de cliente predeterminado, planificación 33
Análisis completo y Análisis rápido, planificación 60
Análisis completos y rápidos, acerca de 35
Threat Preventionacerca de 7administrar 42
análisis bajo demanda, acerca de 55
análisis bajo demanda, configurar 55
análisis en tiempo real, acerca de 51
análisis en tiempo real, configurar 50
analizar archivos antes de su descarga 84, 86
Endpoint Security Client 14
función Protección de acceso 46
Opciones, programas no deseados 45
Prevención de vulnerabilidades, función 49
programas potencialmente no deseados, detecciones 44
tiempo de CPU, análisis bajo demanda 59
tipo de administraciónacerca de 20
visualización 19
Tipo de administración de McAfee ePO Cloud 20
Tipo de administración de SecurityCenter 20
tráficoanalizados por Firewall 63
permitir saliente hasta inicio de servicios de firewall 64
Tráfico de DNS, bloqueo 64
troyanosacerca de 41
detecciones durante el análisis 36, 38
Uunidades de red, especificar opciones de análisis 50
Vvirus
acerca de 41
detecciones durante el análisis 36, 38
firmas 9responder a detecciones 18
vulnerabilidadesVéase también amenazas
bloquear desbordamientos del búfer 49
vulnerabilidades de desbordamiento del búfer, acerca de 49
WWeb Control
acerca de 7activar 84
administrar 83
archivos de registro 22
botones, descripción 78
cómo se analizan las descargas de archivos 86
configurar 84
Endpoint Security Client 14
funciones 77
globos e iconos 82
iconos, descripción 79
informes del sitio 79
menú 78
mostrar opciones del menú en el navegador 81
motores de búsqueda e iconos de seguridad 79
registro de actividades 22
registro de depuración 22
solucionar problemas de comunicación 83
visualizar informes de sitio web 82
Windows 8abrir Endpoint Security Client 17
acerca de los mensajes de notificación 10
respuesta a los avisos de detección de amenazas 18
YYahoo
iconos de seguridad 79
motor de búsqueda compatible 79
motor de búsqueda predeterminado 84
Índice
142 McAfee Endpoint Security 10 Guía del producto
0-02