McAfee Endpoint Security 10 · Control web permite al administrador de sitios web bloquear el...

Guía del producto

McAfee Endpoint Security 10.5

COPYRIGHT

© 2016 Intel Corporation

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Endpoint Security 10.5 Guía del producto

Contenido

McAfee Endpoint Security 7

1 Introducción 9Módulos de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Cómo Endpoint Security protege su equipo . . . . . . . . . . . . . . . . . . . . . . . 10

Cómo se mantiene actualizada su protección . . . . . . . . . . . . . . . . . . . 11Interacción con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Acerca de los mensajes de notificación . . . . . . . . . . . . . . . . . . . . . . 14Acerca de Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . 15

2 Mediante Cliente de Endpoint Security 19Abra Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Responder a avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Responder a un aviso de detección de amenaza . . . . . . . . . . . . . . . . . . 20Responder a aviso de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Introduzca información sobre su protección . . . . . . . . . . . . . . . . . . . . . . . 21Tipos de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Actualización del contenido y el software de forma manual . . . . . . . . . . . . . . . . . 22Qué se actualiza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Visualización del Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . 23Nombres y ubicaciones de los archivos de registro de Endpoint Security . . . . . . . . . 24

Administrar Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Iniciar sesión como administrador . . . . . . . . . . . . . . . . . . . . . . . . 26Desbloqueo de la interfaz de cliente . . . . . . . . . . . . . . . . . . . . . . . 27Activación y desactivación de funciones . . . . . . . . . . . . . . . . . . . . . . 27Cambio de la versión de AMCore content . . . . . . . . . . . . . . . . . . . . . 28Utilice archivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Configurar parámetros comunes . . . . . . . . . . . . . . . . . . . . . . . . . 29Configurar el comportamiento de las actualizaciones . . . . . . . . . . . . . . . . 34

Referencia de la interfaz del Cliente de Endpoint Security: Ajustes generales . . . . . . . . . . 40Página Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Ajustes generales: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . 42Ajustes generales: Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

3 Mediante Prevención de amenazas 55Analizar el equipo en busca de malware . . . . . . . . . . . . . . . . . . . . . . . . 55

Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Ejecución de un Análisis completo o un Análisis rápido . . . . . . . . . . . . . . . . 56Analizar un archivo o carpeta . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Administrar detecciones de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . 59Administrar elementos en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . 60

Nombres de detecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

McAfee Endpoint Security 10.5 Guía del producto 3

Repetición de análisis de elementos en cuarentena . . . . . . . . . . . . . . . . . 63Administrar Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Configuración de exclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . 64Protección de los puntos de acceso del sistema . . . . . . . . . . . . . . . . . . . 66Bloqueo de vulnerabilidades de desbordamiento del búfer . . . . . . . . . . . . . . 74Detección de programas potencialmente no deseados . . . . . . . . . . . . . . . . 80Configurar parámetros de análisis de ajustes generales . . . . . . . . . . . . . . . 82Cómo funciona McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configure Análisis en tiempo real . . . . . . . . . . . . . . . . . . . . . . . . 83Configurar Análisis bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . 90Configure, planifique y ejecute tareas de análisis . . . . . . . . . . . . . . . . . . 95

Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas . . . . . . . 97Página Poner en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . . 97Prevención de amenazas: Protección de acceso . . . . . . . . . . . . . . . . . . 98Prevención de amenazas: Prevención de exploits . . . . . . . . . . . . . . . . . 110Prevención de amenazas: Análisis en tiempo real . . . . . . . . . . . . . . . . . 116Prevención de amenazas: Análisis bajo demanda . . . . . . . . . . . . . . . . . 120Ubicaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . 124McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Agregar exclusión o Editar exclusión . . . . . . . . . . . . . . . . . . . . . . 128Prevención de amenazas: Opciones . . . . . . . . . . . . . . . . . . . . . . 129Revertir contenido de AMCore . . . . . . . . . . . . . . . . . . . . . . . . . 131

4 Uso de Firewall 133Cómo funciona Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee . . . . . 133Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja delsistema de McAfee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Información acerca de los grupos sincronizados . . . . . . . . . . . . . . . . . . 134Administrar Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Modificar opciones de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 135Administración de directivas y grupos de Firewall . . . . . . . . . . . . . . . . . 139

Referencia de la interfaz del Cliente de Endpoint Security: Firewall . . . . . . . . . . . . . 149Firewall: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Firewall: Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

5 Uso de Control web 161Acerca de las funciones de Control web . . . . . . . . . . . . . . . . . . . . . . . . 161

Cómo Control web bloquea o advierte de un sitio web o descarga . . . . . . . . . . . 163El botón de Control web identifica las amenazas durante la navegación . . . . . . . . 163Los iconos de seguridad identifican las amenazas durante la búsqueda . . . . . . . . . 164Los informes de sitio web proporcionan detalles . . . . . . . . . . . . . . . . . . 165Modo de compilación de las clasificaciones de seguridad . . . . . . . . . . . . . . 166

Acceso a las funciones de Control web . . . . . . . . . . . . . . . . . . . . . . . . . 166Activar el complemento Control web en el navegador . . . . . . . . . . . . . . . . 166Ver información acerca de un sitio al navegar . . . . . . . . . . . . . . . . . . . 167Ver informe de sitio web durante la búsqueda . . . . . . . . . . . . . . . . . . . 168

Administrar Control web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Configuración de las opciones de Control web . . . . . . . . . . . . . . . . . . . 168Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

Referencia de la interfaz del Cliente de Endpoint Security: Control web . . . . . . . . . . . 173Control web: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Control web: Acciones según contenido . . . . . . . . . . . . . . . . . . . . . 176

Contenido


6 Utilización de Protección adaptable frente a amenazas 179Acerca de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . . 179

Ventajas de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . 179Componentes de Protección adaptable frente a amenazas . . . . . . . . . . . . . . 180Cómo funciona Protección adaptable frente a amenazas . . . . . . . . . . . . . . 182Cómo se determina una reputación . . . . . . . . . . . . . . . . . . . . . . . 183

Respuesta a un aviso de reputación de archivos . . . . . . . . . . . . . . . . . . . . . 185Administración de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . 186

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186Contención de aplicaciones de forma dinámica . . . . . . . . . . . . . . . . . . 189Configuración de las opciones de Protección adaptable frente a amenazas . . . . . . . 195

Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Protección adaptable frente a amenazas: Contención dinámica de aplicaciones . . . . . 197Protección adaptable frente a amenazas: Opciones . . . . . . . . . . . . . . . . 199

Índice 205

Contenido


Contenido


McAfee Endpoint Security

McAfee®

Endpoint Security es una exhaustiva solución de administración de la seguridad que seejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayudase explica cómo utilizar las funciones de seguridad básicas y solucionar problemas.

Para utilizar la ayuda de Endpoint Security en Internet Explorer, se debe activar Configuración de seguridad |Automatización | Active scripting en el navegador.

Introducción

• Módulos de Endpoint Security en la página 9

• Cómo Endpoint Security protege su equipo en la página 10

• Interacción con Endpoint Security en la página 12

Tareas frecuentes

• Abra Cliente de Endpoint Security en la página 19

• Actualización del contenido y el software de forma manual en la página 22

• Analizar el equipo en busca de malware en la página 55

• Desbloqueo de la interfaz de cliente en la página 27

Información adicional

Para acceder a información adicional sobre este producto, consulte:

• Guía de instalación de McAfee Endpoint Security

• Guía de migración de McAfee Endpoint Security

• Notas de la versión de McAfee Endpoint Security

• Ayuda de Prevención de amenazas de Endpoint Security

• Ayuda de Firewall de Endpoint Security

• Ayuda de Control web de Endpoint Security

• Ayuda de Protección adaptable frente a amenazas de Endpoint Security

• Soporte de McAfee


http://mysupport.mcafee.com

McAfee Endpoint Security


1 Introducción

Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en losequipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explicacómo utilizar las funciones de seguridad básicas y solucionar problemas.

Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno deestos servidores de administración:

• McAfee® ePolicy Orchestrator® (McAfee® ePO™)

• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)

Para obtener la información más reciente sobre la licencia de gestión y la autorización de EndpointSecurity, consulte KB87057.

Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePOCloud.

Si se trata de un equipo autogestionado (también denominado no gestionado), usted o suadministrador deben configurar el software mediante el Cliente de Endpoint Security.

Contenido Módulos de Endpoint Security Cómo Endpoint Security protege su equipo Interacción con Endpoint Security

Módulos de Endpoint SecurityEl administrador configura e instala uno o más módulos de Endpoint Security en los equipos cliente.

• Prevención de amenazas : comprueba la existencia de virus, spyware, programas no deseados yotras amenazas mediante el análisis de los elementos, bien automáticamente cuando los usuariosacceden a ellos, bien bajo demanda en cualquier momento.

• Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o Internet.Intercepta las comunicaciones sospechosas.

1


https://kc.mcafee.com/corporate/index?page=content&id=KB87057

• Control web : muestra calificaciones de seguridad e informes sobre sitios web durante lanavegación y la búsqueda online. Control web permite al administrador de sitios web bloquear elacceso a los sitios web basándose en su calificación de seguridad o contenido.

• Protección adaptable frente a amenazas : Analiza el contenido de su empresa y decide quéhacer en función de la reputación de los archivos, las reglas y los umbrales de reputación.

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponerde más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de ThreatIntelligence Exchange. Para obtener información, póngase en contacto con su reseller orepresentante de ventas.


Además, el módulo Ajustes generales proporciona la configuración para las funciones comunes, talescomo la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instalacualquier otro módulo.

Cómo Endpoint Security protege su equipoNormalmente, un administrador configura Endpoint Security, instala el software en los equipos cliente,supervisa el estado de seguridad y establece las reglas de seguridad, llamadas directivas.

Como usuario de un equipo cliente, usted interactúa con Endpoint Security a través del softwarecliente instalado en su equipo. Las directivas configuradas por el administrador determinan cómoactúan los módulos y las funciones en el equipo y si usted puede modificarlos o no.

Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y las funciones.Para determinar el tipo de administración, consulte la página Acerca de.

Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin deactualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que hayaencontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informespara el administrador sobre las detecciones y los problemas de seguridad del equipo.

Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. Noobstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posibleque desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca demalware. Dependiendo de las directivas configuradas por el administrador, es posible que usted puedapersonalizar la configuración de seguridad.

Si actúa como administrador, podrá administrar y configurar de manera centralizada el software clientemediante McAfee ePO o McAfee ePO Cloud.

Para obtener la información más reciente sobre la licencia de gestión y la autorización de EndpointSecurity, consulte KB87057.

Véase también Introduzca información sobre su protección en la página 21

1 IntroducciónCómo Endpoint Security protege su equipo



Cómo se mantiene actualizada su protecciónLas actualizaciones regulares de Endpoint Security le aseguran que su equipo siempre está protegidocontra las últimas amenazas.

Para realizar actualizaciones, el software cliente se conecta a McAfee ePO local o remotamente, odirectamente a un sitio web en Internet. Endpoint Security realiza las siguientes comprobaciones:

• Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos decontenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones seactualizan a medida que se descubren nuevas amenazas.

• Ampliaciones de los componentes de software, como parches y hotfixes.

Para simplificar la terminología, esta Ayuda denomina actualizaciones tanto a actualizaciones como aampliaciones.

Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar sihay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su

protección desde Cliente de Endpoint Security haciendo clic en .

Véase también Actualización del contenido y el software de forma manual en la página 22

Cómo funcionan los archivos de contenidoCuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esosarchivos con información sobre amenazas conocidas almacenada en los archivos de AMCore content.Prevención de exploits utiliza sus propios archivos de contenido para protegerse contra exploits.

McAfee Labs busca y agrega información sobre amenazas conocidas (firmas) a los archivos decontenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza yreparación del daño que el malware detectado pueda causar. Surgen nuevas amenazas, y McAfee Labspublica archivos de contenido actualizados con frecuencia.

Si la firma de una amenaza no se encuentra en los archivos de contenido instalados, el motor deanálisis no puede detectarla, lo que provoca que el sistema sea vulnerable a los ataques.

Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anterioresen la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puederestaurar una versión anterior.

Si se descubre nuevo malware y se necesita capacidad de detección extra aparte de la planificaciónhabitual de actualización de contenido, McAfee Labs publica un archivo Extra.DAT.

Paquete de contenido de AMCore

McAfee Labs publica paquetes de contenido de AMCore diariamente a las 7:00 de la tarde. (GMT/UTC).Si la aparición de una nueva amenaza así lo requiere, es posible que los archivos de contenido deAMCore diarios se publiquen antes y, a veces, que se retrase la publicación.

Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio denotificaciones de soporte (SNS, por sus siglas en inglés). Véase KB67828.

IntroducciónCómo Endpoint Security protege su equipo 1



El paquete de contenido de AMCore incluye estos componentes:

• AMCore: motor y contenido

Contiene actualizaciones del motor de análisis y las firmas de Prevención de amenazas basadas enlos resultados de la continua investigación sobre amenazas.

• Protección adaptable frente a amenazas: analizador y reglas

Contiene reglas para calcular dinámicamente la reputación de los archivos y los procesos de losendpoints.

McAfee publica nuevos archivos de contenido de Protección adaptable frente a amenazas cada dosmeses.

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponerde más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de ThreatIntelligence Exchange. Para obtener información, póngase en contacto con su reseller orepresentante de ventas.

• Real Protect: motor y contenido

Contiene actualizaciones del motor de análisis y las firmas de Real Protect basadas en losresultados de la continua investigación sobre amenazas.

Real Protect es un componente del módulo opcional Protección adaptable frente a amenazas.

Paquete de contenido de Prevención de exploit

El paquete de contenido de Prevención de exploits incluye:

• Firmas de protección de la memoria: protección genérica contra desbordamiento del búfer (GBOP),validación del autor de la llamada, Prevención genérica de la escalación de privilegios (GPEP) ysupervisión de API dirigida.

• Lista de protección de aplicaciones: procesos protegidos por Prevención de exploits.

El contenido de Prevención de exploits es similar a los archivos de contenido de McAfee Host IPS.Véase KB51504.

McAfee publica nuevos archivos de contenido de Prevención de exploits una vez al mes.

Interacción con Endpoint SecurityEndpoint Security proporciona componentes visuales para la interacción con el Cliente de EndpointSecurity.

• El icono de McAfee en la bandeja del sistema de Windows: le permite iniciar el Cliente de EndpointSecurity y ver el estado de seguridad.

• Mensajes de notificación: le alertan de las detección de intrusiones de análisis y firewall, y dearchivos con reputaciones desconocidas, y le solicitarán datos.

• Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo realdetecta una amenaza.

• Cliente de Endpoint Security: muestra el estado actual de la protección y proporciona acceso a lasfunciones.

Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar quécomponentes aparecen.

1 IntroducciónInteracción con Endpoint Security



Véase también Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfeeen la página 13Acerca de los mensajes de notificación en la página 14Administrar detecciones de amenazas en la página 59Acerca de Cliente de Endpoint Security en la página 15

Acceso a las tareas de Endpoint Security desde el icono de labandeja del sistema de McAfeeEl icono de McAfee en la bandeja del sistema de Windows proporciona acceso a Cliente de EndpointSecurity y a algunas tareas básicas.

Las opciones de configuración determinan si el icono de McAfee está disponible.

Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee para:

Comprobar el estado deseguridad.

Seleccione Ver estado de seguridad para acceder a la página Estado de seguridad deMcAfee.

Abrir Cliente deEndpoint Security.

Seleccione McAfee Endpoint Security.

Actualizar la proteccióny el softwaremanualmente.

Seleccione Actualizar seguridad.

Desactivar o activar elFirewall.

Seleccione Desactivar firewall de Endpoint Security en el menú Configuración rápida.Cuando el Firewall está desactivado, la opción es Activar Firewall de EndpointSecurity.

Activar, desactivar o vergrupos sincronizados deFirewall.

Seleccione una opción del menú Configuración rápida:• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante

un período determinado para permitir el acceso a Internet antes de quese apliquen las reglas que restringen el acceso. Cuando los grupossincronizados están activados, la que se muestra es Desactivar grupossincronizados de firewall.Cada vez que selecciona esta opción, se restablece el tiempo asignado alos grupos.

Dependiendo de la configuración, es posible que se le pida queproporcione al administrador un motivo para activar los grupossincronizados.

• Ver grupos sincronizados de firewall: muestra los nombres de los grupossincronizados y el tiempo restante de activación de cada grupo.

Estas opciones podrían no estar disponibles, dependiendo de cómo se hayadefinido la configuración.

Modo en que el icono indica el estado de Endpoint Security

El aspecto del icono cambia para indicar el estado de Endpoint Security. Coloque el cursor del ratónsobre el icono para ver un mensaje que describe el estado.

IntroducciónInteracción con Endpoint Security 1


Icono Indica...

Endpoint Security está protegiendo su sistema y no hay problemas.

Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnologíadesactivados.• Firewall está desactivado.

• Prevención de amenazas: Prevención de exploit, análisis en tiempo real o ScriptScan estándesactivados.

Endpoint Security informa de los problemas de forma distinta dependiendo del tipo deadministración.• Autogestionado:

• Una o más tecnologías están desactivadas.

• Una o más tecnologías no responden.

• Gestionado:

• Una o más tecnologías se han desactivado, no como resultado de la implementación dedirectivas desde el servidor de administración de Cliente de Endpoint Security.

• Una o más tecnologías no responden.

Cuando se detecta un problema, la página Estado de seguridad de McAfee indica qué tecnología omódulo está desactivado.

Véase también Qué se actualiza en la página 23

Acerca de los mensajes de notificaciónEndpoint Security usa dos tipos de mensajes para notificarle los problemas de su protección o parapedirle datos. Algunos mensajes podrían no aparecer, según se ajuste la configuración.

El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre los mensajes denotificación.

Endpoint Security envía dos tipos de notificaciones:

• Las alertas emergen del icono de McAfee durante cinco segundos y, después, desaparecen.

Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión deFirewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ningunaacción.

• Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta queseleccione una opción.

Por ejemplo:

• Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podríapedirle que aplace el análisis.

• Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a ladetección.

• Cuando Protección adaptable frente a amenazas detecta un archivo con una reputacióndesconocida, Endpoint Security puede preguntarle si desea permitir o bloquear el archivo.

Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas yavisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.



Véase también Responder a un aviso de detección de amenaza en la página 20Responder a aviso de análisis en la página 21Respuesta a un aviso de reputación de archivos en la página 185

Acerca de Cliente de Endpoint SecurityEl Cliente de Endpoint Security le permite comprobar el estado de la protección y las funciones deacceso de su ordenador.

• Las opciones en el menú Acción proporcionan acceso a las funciones.

Configuración Ajustar la configuración de las funciones.Esta opción de menú está disponible si se produce alguna de las siguientessituaciones:

• El modo de interfaz de cliente está configurado como Acceso total.

• Ha iniciado sesión como administrador.

Cargar Extra.DAT Le permite instalar un archivo descargado Extra.DAT.

Revertir AMCoreContent

Revierte AMCore content a una versión anterior.Esta opción de menú está disponible si existe en el sistema una versión previade AMCore Content y si se produce alguna de las siguientes situaciones:

• El modo de interfaz de cliente está configurado como Acceso total.

• Ha iniciado sesión como administrador.

Ayuda Muestra la Ayuda.

Asistencia técnica Muestra una página con vínculos a páginas útiles, como el McAfeeServicePortal y Centro de conocimiento.

Inicio de sesión deadministrador

Inicia sesión como administrador del sitio web. (Requiere credenciales deadministrador.)Esta opción del menú está disponible si el Modo de interfaz de cliente no estáestablecido en Acceso total. Si ya ha iniciado sesión como administrador, estaopción es Cerrar sesión de administrador.

Acerca de Muestra información sobre Endpoint Security.

Salir Permite salir de Cliente de Endpoint Security.

• Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareashabituales.

Analiza en busca de malware con un Análisis completo o Análisis rápido delsistema.

Este botón está disponible solo si el módulo Prevención de amenazas estáinstalado.

Actualiza los archivos de contenidos y componentes de software en elequipo.

Este botón podría no aparecer, según se ajuste la configuración.



• Los botones en la parte izquierda de la página ofrecen información acerca de la protección.

Estado Le devuelve a la página de Estado principal.

Registro de eventos Muestra el registro de todos los eventos de protección y de amenaza en esteequipo.

Poner en cuarentena Abre Administrador de cuarentena.

Este botón está disponible solo si el módulo Prevención de amenazas estáinstalado.

• El Resumen de amenazas proporciona información sobre las amenazas que Endpoint Security hadetectado en el equipo en los últimos 30 días.

Véase también Cargue un archivo Extra.DAT en la página 29Iniciar sesión como administrador en la página 26Analizar el equipo en busca de malware en la página 55Actualización del contenido y el software de forma manual en la página 22Visualización del Registro de eventos en la página 23Administrar elementos en cuarentena en la página 60Administrar Endpoint Security en la página 26Acerca del Resumen de amenazas en la página 16

Acerca del Resumen de amenazasLa página Cliente de Endpoint Security Estado le proporciona un resumen en tiempo real de cualquieramenaza detectada en su sistema en los últimos 30 días.

A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la informaciónen el área Resumen de amenazas en el panel inferior.

El Resumen de amenazas incluye:

• Fecha de la última amenaza eliminada

• Los dos principales vectores de amenazas, por categoría:

Web Amenazas procedentes de sitios web o descargas.

Dispositivo o soporteexterno

Amenazas procedentes de dispositivos externos, tales como USB, 1394firewire, eSATA, cintas, CD, DVD o discos.

Red Amenazas procedentes de la red (no de recursos compartido de red).

Sistema local Amenazas procedentes de los archivos de arranque de la unidad local(normalmente C:) o unidades distintas de las clasificadas comoDispositivo o soporte externo.

Recurso compartido dearchivos

Amenazas procedentes de los recursos compartidos de red.

Correo electrónico Amenazas procedentes de correos electrónicos.

Mensaje instantáneo Amenazas procedentes de mensajería instantánea.

Desconocido Amenazas para las cuales no se ha podido determinar el vector de ataque(debido a una condición de error u otro caso de error).

• Número de amenazas por vector de amenaza

Si Cliente de Endpoint Security no puede llegar al Administrador de eventosCliente de EndpointSecurity, muestra un mensaje de error. En ese caso, reinicie el sistema para ver Resumen de amenazas.



Cómo afecta la configuración al acceso al clienteLa configuración del Modo de interfaz de cliente asignada a su equipo determina a qué módulos yfunciones puede acceder.

Cambie el Modo de interfaz de cliente en la configuración de Ajustes generales.

En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir loscambios de la página Configuración.

Las opciones de Modo de interfaz de cliente son:

Acceso total Permite el acceso a todas las funciones, incluidas:• Activar o desactivar módulos y funciones individuales.

• Acceder a la página Configuración para ver o modificar la configuración de Cliente deEndpoint Security.

(Opción predeterminada)

Accesoestándar

Muestra el estado de la protección y permite acceder a la mayoría de las funciones:• Actualizar los archivos de contenido y componentes de software en el equipo (si el

administrador lo ha activado).

• Realizar una comprobación exhaustiva de todas las áreas de su sistema, recomendadosi sospecha que su equipo podría estar infectado.

• Ejecutar una comprobación rápida (2 minutos) de las áreas de su sistema que seanmás susceptibles de infectarse.

• Acceder al Registro de eventos.

• Administrar los elementos en cuarentena.

Desde la interfaz de Acceso estándar, puede iniciar sesión como administrador para accedera todas las funciones, incluidos todos los ajustes.

Bloquearinterfaz decliente

Requiere una contraseña para acceder al cliente.Una vez desbloquee la interfaz de cliente, podrá acceder a todas las funciones.

Si no puede acceder a Cliente de Endpoint Security o a tareas y funciones específicas que necesita parahacer su trabajo, hable con su administrador.

Véase también Control del acceso a la interfaz de cliente en la página 32

Cómo afectan al cliente los módulos instalados Algunos aspectos del cliente podrían no estar disponibles, dependiendo de los módulos instalados ensu equipo.

Estas funciones solo están disponibles si Prevención de amenazas está instalado:

•Botón

• Botón Poner en cuarentena



Las funciones que aparecen dependen de las funciones instaladas en el sistema:

• En la lista desplegable Filtrar por módulo del menú Registro de eventos.

• En la página Configuración.

Ajustes generales Aparece si hay algún módulo instalado.

Prevención de amenazas Aparece solo si Prevención de amenazas está instalado.

Firewall Aparece solo si Firewall está instalado.

Control web Aparece solo si Control web está instalado.

Protección adaptable frente aamenazas

Solo aparece si están instalados Protección adaptable frente a amenazasy Prevención de amenazas.

Protección adaptable frente a amenazas no es compatible con sistemasgestionados por McAfee ePO Cloud.

Dependiendo del Modo de interfaz de cliente y de cómo haya configurado su acceso el administrador, esposible que no estén disponibles algunas o ninguna de las funciones.

Véase también Cómo afecta la configuración al acceso al cliente en la página 17



2 Mediante Cliente de Endpoint Security

Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisisdel sistema y administración de elemento en cuarentena.

Contenido Abra Cliente de Endpoint Security Obtener ayuda Responder a avisos Introduzca información sobre su protección Actualización del contenido y el software de forma manual Visualización del Registro de eventos Administrar Endpoint Security Referencia de la interfaz del Cliente de Endpoint Security: Ajustes generales

Abra Cliente de Endpoint SecurityAbra Cliente de Endpoint Security para mostrar el estado de las funciones de protección instaladas enel equipo.

Si el modo interfaz está configurado en Bloquear interfaz de cliente, debe introducir la contraseña deadministrador para abrir el Cliente de Endpoint Security.

Procedimiento1 Use uno de estos métodos para mostrar Cliente de Endpoint Security:

• Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuaciónseleccione McAfee Endpoint Security.

• Seleccione Inicio | Todos los programas | McAfee | McAfee Endpoint Security.

• En Windows 8 y 10, inicie la aplicación McAfee Endpoint Security.1 Pulse la tecla Windows.

2 Introduzca McAfee Endpoint Security en el área de búsqueda y pulse o haga doble clic enla aplicaciónMcAfee Endpoint Security.

2 Si se le pide, introduzca la contraseña de administrador en la página Inicio de sesión de administrador, yluego haga clic en Iniciar sesión.

Cliente de Endpoint Security se abre en el modo interfaz que el administrador haya configurado.

Véase también Desbloqueo de la interfaz de cliente en la página 27

2


Obtener ayudaLos dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú y el icono ?.

Para utilizar la ayuda de Endpoint Security en Internet Explorer, se debe activar Configuración de seguridad |Automatización | Active scripting en el navegador.

Procedimiento1 Abra Cliente de Endpoint Security.

2 Dependiendo de la página en la que esté:

• Páginas Estado, Registro de eventos, y Cuarentena: desde el menú Acción , seleccione Ayuda.

• Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore Content y Cargar Extra.DAT: haga clic en ?en la interfaz.

Responder a avisosDependiendo de cómo se configuren las opciones, es posible que Endpoint Security solicite suintervención cuando detecte una amenaza o cuando un análisis bajo demanda planificado esté a puntode empezar.

Procedimientos• Responder a un aviso de detección de amenaza en la página 20

Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realiceuna entrada antes de continuar, dependiendo de cómo se haya realizado la configuración.

• Responder a aviso de análisis en la página 21Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Securitypodría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configurapara permitirle aplazar, pausar, resumir o cancelar el análisis.

Responder a un aviso de detección de amenazaCuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entradaantes de continuar, dependiendo de cómo se haya realizado la configuración.


ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.

• En la página Análisis en tiempo real, seleccione opciones para administrar las detecciones de amenazas.

Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio deEndpoint Security o el sistema.

Véase también Administrar detecciones de amenazas en la página 59

2 Mediante Cliente de Endpoint SecurityObtener ayuda


Responder a aviso de análisisCuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podríapedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirleaplazar, pausar, resumir o cancelar el análisis.

Si no selecciona una opción, el análisis empezará automáticamente.

Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipoestá inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si seconfigura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando estáinactivo.



• Cuando se le pida, seleccione una de estas opciones.

Las opciones que aparecen dependen de cómo está configurado el analizador.

Analizar ahora Iniciar el análisis inmediatamente.

Ver análisis Ver detecciones correspondientes a un análisis en curso.

Pausar análisis Pausa el análisis. Dependiendo de la configuración, si hace clic en Pausar análisispodría reconfigurar el análisis para ejecutarse solo cuando esté inactivo. Haga clicen Reanudar análisis para reanudar el análisis desde el punto en el que se detuvo.

Reanudar análisis Reanudar un análisis pausado.

Cancelar análisis Cancela el análisis.

Aplazar análisis Aplaza el análisis durante el número de horas especificado.

Las opciones de análisis planificado determinan cuántas veces puede aplazar elanálisis durante una hora. Es posible que no pueda aplazar el análisis más de unavez.

Cerrar Cierra la página de análisis.

Si el analizador detecta una amenaza, Endpoint Security puede pedirle que introduzca informaciónantes de continuar, dependiendo de cómo se haya realizado la configuración.

Introduzca información sobre su protecciónPuede encontrar más información sobre su protección Endpoint Security, incluidos el tipo de gestión,módulos de protección, funciones, estado, número de versión y licencias.


2 En el menú Acción , seleccione Acerca de.

Mediante Cliente de Endpoint SecurityIntroduzca información sobre su protección 2


3 Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acercade dicho elemento.

4 Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de.

Véase también Tipos de administración en la página 22Abra Cliente de Endpoint Security en la página 19

Tipos de administraciónEl tipo de administración indica cómo se administra Endpoint Security.


Tipo de administración Descripción

McAfee ePolicy Orchestrator Un administrador gestiona Endpoint Security mediante McAfee ePO(local).

McAfee ePolicy OrchestratorCloud

Un administrador gestiona Endpoint Security mediante McAfee ePOCloud.Para obtener la información más reciente sobre la licencia de gestión yla autorización de Endpoint Security, consulte KB87057.

Autogestionado Endpoint Security se gestiona localmente mediante el Cliente deEndpoint Security. Este modo también se llama no gestionado oindependiente.

Actualización del contenido y el software de forma manualPuede buscar y descargar de forma manual archivos de contenido y componentes de softwareactualizados desde el Cliente de Endpoint Security.

Las actualizaciones manuales se denominan actualizaciones bajo demanda.

También puede ejecutar actualizaciones manuales desde el icono de la bandeja del sistema de McAfee.

Endpoint Security no es compatible con la recuperación y copia de forma manual de los archivos decontenido actualizados en el sistema cliente. Si necesita ayuda para actualizar una versión de contenidoespecífica, póngase en contacto con el Soporte de McAfee .


2 Haga clic en Actualizar ahora.

Si no aparece en el cliente, puede activarlo en la configuración.

Cliente de Endpoint Security comprueba si hay actualizaciones.

La página Actualización muestra información acerca de la última actualización: Nunca, Hoy o la fechay hora de la última actualización si no corresponde a la fecha actual.

2 Mediante Cliente de Endpoint SecurityActualización del contenido y el software de forma manual



http://mysupport.mcafee.com

Para cancelar la actualización, haga clic en Cancelar.

• Si la actualización finaliza correctamente, la página muestra el mensaje Ha finalizado la actualización yla última actualización como Hoy.

• Si la actualización no se completa correctamente, aparece un error en el área Mensajes.Consulte los registros PackageManager_Activity.log o PackageManager_Debug.log para obtenermás información.

3 Haga clic en Cerrar para cerrar la página Actualización.

Véase también Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfeeen la página 13Cómo se mantiene actualizada su protección en la página 11Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24Qué se actualiza en la página 23Configure el comportamiento predeterminado de las actualizaciones en la página 36Abra Cliente de Endpoint Security en la página 19

Qué se actualizaEndpoint Security actualiza el contenido de seguridad y el software (hotfixes y parches) de maneradiferente, dependiendo del método y la configuración de la actualización.

Es posible configurar la visibilidad y el comportamiento del botón Actualizar ahora.

Método de actualización Actualizaciones

Opción Actualizar seguridad del menú del icono de la bandejadel sistema de McAfee

Contenido y software.

Botón Actualizar ahora en el Cliente de Endpoint Security Contenido o software, o ambos,dependiendo de la configuración.

Véase también Actualización del contenido y el software de forma manual en la página 22

Visualización del Registro de eventos Los registros de actividades y depuración almacenan datos de eventos que se producen en el sistemaprotegido por McAfee. Puede ver el Registro de eventos desde Cliente de Endpoint Security.

Procedimiento

Para obtener ayuda, en el menú Acción , seleccione Ayuda.

1 Abra Cliente de Endpoint Security.

2 Haga clic en Registro de eventos en la parte izquierda de la página.

Esta página muestra todos los eventos que Endpoint Security haya registrado en el sistema durantelos últimos 30 días.

Si el Cliente de Endpoint Security no puede acceder al Administrador de eventos, muestra unmensaje de error de comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos.

Mediante Cliente de Endpoint SecurityVisualización del Registro de eventos 2


3 Seleccione un evento en el panel superior para ver los detalles en el panel inferior.

Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante yarrástrelo entre los paneles.

4 En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos.

Las opciones que aparecen dependen de cómo esté configurado el análisis.

Para... Pasos

Ordenar los eventos porfecha, funciones, acciónrealizada y gravedad.

Haga clic en el encabezado de columna.

Buscar en el registro deeventos.

Introduzca el texto de búsqueda en el campo Buscar y pulse Introo haga clic en Buscar.En la búsqueda no se distingue entre mayúsculas y minúsculas, yel texto buscado se comprueba en todos los campos del registrode eventos. La lista de eventos incluye todos los elementos contexto coincidente.

Para cancelar la búsqueda y mostrar todos los eventos, haga clicen x en el campo Buscar.

Filtrar los eventos porgravedad o módulo.

En la lista desplegable de filtros, seleccione una opción.Para eliminar el filtro y mostrar todos los eventos, seleccioneMostrar todos los eventos de la lista desplegable.

Actualizar el Registro de eventoscon los eventos nuevos.

Haga clic en .

Abrir la carpeta que contienelos archivos de registro.

Haga clic en Ver directorio de registros.

5 Navegue por el Registro de eventos.

Para... Pasos

Mostrar la página de eventos anterior. Haga clic en Página anterior.

Mostrar la página de eventos siguiente. Haga clic en Página siguiente.

Mostrar una página concreta del registro. Introduzca un número de página y pulse Intro o hagaclic en Ir.

De manera predeterminada, el Registro de eventos muestra 20 eventos por página. Para queaparezcan más eventos por página, seleccione una opción de la lista desplegable Eventos por página.

Véase también Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24Abra Cliente de Endpoint Security en la página 19

Nombres y ubicaciones de los archivos de registro de EndpointSecurityLos archivos de registro de actividades, errores y depuración reflejan los eventos que se producen enlos sistemas en los que está activado Endpoint Security. Configure el registro en las opciones deAjustes generales.

Los archivos de registro de actividades siempre aparecen en el idioma especificado en la configuraciónregional predeterminada del sistema.

Todos los archivos de registro de actividades y depuración se almacenan aquí:

2 Mediante Cliente de Endpoint SecurityVisualización del Registro de eventos


%ProgramData%\McAfee\Endpoint Security\Logs

Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivoindependiente. Los módulos almacenan los registros de errores en un solo archivo,EndpointSecurityPlatform_Errors.log.

La activación del registro de depuración para cualquier módulo también lo activa para las funciones delmódulo Ajustes generales, como por ejemplo Autoprotección.

Tabla 2-1 Archivos de registro

Módulo Función o tecnología Nombre del archivo

Ajustes generales EndpointSecurityPlatform_Activity.log

EndpointSecurityPlatform_Debug.log

Autoprotección SelfProtection_Activity.log

SelfProtection_Debug.log

Actualizaciones PackageManager_Activity.log

PackageManager_Debug.log

Errores EndpointSecurityPlatform_Errors.logContiene registros de errores de todos losmódulos.

Cliente de EndpointSecurity

MFEConsole_Debug.log

Prevención deamenazas

La activación del registro dedepuración para cualquiertecnología de Prevención deamenazas también lo activapara Cliente de EndpointSecurity.

ThreatPrevention_Activity.log

ThreatPrevention_Debug.log

Protección de acceso AccessProtection_Activity.log

AccessProtection_Debug.log

Prevención de exploits ExploitPrevention_Activity.log

ExploitPrevention_Debug.log

Análisis en tiempo real OnAccessScan_Activity.log

OnAccessScan_Debug.log

Análisis bajo demanda• Análisis rápido

• Análisis completo

• Análisis con el botónderecho del ratón

OnDemandScan_Activity.log

OnDemandScan_Debug.log

Firewall Firewall_Activity.log

Firewall_Debug.log

FirewallEventMonitor.logRegistra eventos de tráfico bloqueado y permitido,si así está configurado.

Control web WebControl_Activity.log

WebControl_Debug.log

Mediante Cliente de Endpoint SecurityVisualización del Registro de eventos 2


Tabla 2-1 Archivos de registro (continuación)

Módulo Función o tecnología Nombre del archivo

Protecciónadaptable frente aamenazas

AdaptiveThreatProtection_Activity.log

AdaptiveThreatProtection_Debug.log

Contención dinámica deaplicaciones

DynamicApplicationContainment_Activity.log

DynamicApplicationContainment_Debug.log

De manera predeterminada, los archivos de registro de instalación se almacenan aquí:

%TEMP%\McAfeeLogs, que es la carpeta TEMP de usuario de Windows.

Administrar Endpoint SecurityComo administrador, puede gestionar Endpoint Security desde Cliente de Endpoint Security, mediantetareas como activar y desactivar funciones, administrar archivos de contenido, especificar cómo secomporta la interfaz de cliente y ajustar la configuración común.


Véase también Iniciar sesión como administrador en la página 26Desbloqueo de la interfaz de cliente en la página 27Activación y desactivación de funciones en la página 27Cambio de la versión de AMCore content en la página 28Utilice archivos Extra.DAT en la página 28Configurar parámetros comunes en la página 29

Iniciar sesión como administradorInicie sesión en Cliente de Endpoint Security como administrador para activar y desactivar funciones, yconfigurar opciones.

Antes de empezarEl modo de interfaz para Cliente de Endpoint Security se debe establecer en Acceso estándar.

Procedimiento



2 En el menú Acción , seleccione Inicio de sesión de administrador.

3 En el campo Contraseña, introduzca la contraseña de administrador y haga clic en Iniciar sesión.

Ahora podrá acceder a todas las funciones del Cliente de Endpoint Security.

Para cerrar sesión, seleccione Acción | Cerrar sesión de administrador. El cliente regresa al modo de interfazAcceso estándar.

2 Mediante Cliente de Endpoint SecurityAdministrar Endpoint Security


Desbloqueo de la interfaz de clienteSi la interfaz de Cliente de Endpoint Security está bloqueada, puede desbloquearla mediante lacontraseña de administrador a fin de acceder a toda la configuración.

Antes de empezarEl modo de interfaz para Cliente de Endpoint Security se debe establecer en Bloquear interfazde cliente.


2 En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campoContraseña y, a continuación, haga clic en Iniciar sesión.

Cliente de Endpoint Security se abre y se puede acceder a todas las funciones del cliente.

3 Para cerrar sesión y cliente, en el menú Acción , seleccione Cerrar sesión de administrador.

Activación y desactivación de funcionesComo administrador, puede activar y desactivar las funciones de Endpoint Security desde Cliente deEndpoint Security.

Antes de empezarEl modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debehaber iniciado sesión como administrador.

La página Estado muestra el estado activado del módulo, que puede no reflejar el estado real de lasfunciones. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si la opción deconfiguración Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: desactivado).



2 Haga clic en el nombre del módulo (por ejemplo, Prevención de amenazas o Firewall) en la página deEstado principal.

En el menú Acción, seleccione Configuración y haga clic en el nombre del módulo en la páginaConfiguración.

3 Seleccione o anule la selección de la opción Activar módulo o Función.

Activar cualquiera de las funciones Prevención de amenazas activa también el módulo Prevención deamenazas.

Véase también Iniciar sesión como administrador en la página 26

Mediante Cliente de Endpoint SecurityAdministrar Endpoint Security 2


Cambio de la versión de AMCore content Utilice Cliente de Endpoint Security para cambiar la versión de AMCore content en el sistema cliente.


Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anterioresen la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puederestaurar una versión anterior.

Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.



2 En el menú Acción , seleccione Revertir contenido de AMCore.

3 Seleccione la versión para cargar del elemento desplegable.

4 Haga clic en Aplicar.

Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente.

Véase también Cómo funcionan los archivos de contenido en la página 11Iniciar sesión como administrador en la página 26

Utilice archivos Extra.DATPuede instalar un archivo Extra.DAT para proteger los su equipo contra un brote de malwareimportante hasta que se publique la próxima actualización de AMCore content.

Procedimientos• Descargar archivos Extra.DAT en la página 29

Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado porMcAfee Labs.

• Cargue un archivo Extra.DAT en la página 29Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.

Véase también Acerca de archivos Extra.DAT en la página 28

Acerca de archivos Extra.DATSi se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfeeLabs facilita un archivo Extra.DAT. Los archivos Extra.DAT contienen información que Prevención deamenazas utiliza para manejar el nuevo malware.

Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud deExtra.DAT de McAfee Labs.

Prevención de amenazas solo admite el uso de un archivo Extra.DAT.



https://www.webimmune.net/extra/getextra.aspx

https://www.webimmune.net/extra/getextra.aspx

Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivoExtra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instaladoen el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha decaducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. ElExtra.DAT se elimina del sistema en la siguiente actualización.

Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT.

Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Program Files\Common Files\McAfee\Engine\content\avengine\extradat.

Descargar archivos Extra.DATPara descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfeeLabs.

Procedimiento1 Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT

y haga clic en Guardar.

2 Si es preciso, descomprima el archivo EXTRA.ZIP.

3 Cargue el archivo Extra.DAT con Cliente de Endpoint Security.

Cargue un archivo Extra.DAT Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.




2 En el menú Acción, seleccione Cargar Extra.dat.

3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, acontinuación, haga clic en Abrir.

4 Haga clic en Aplicar.

Las nuevas detecciones en el Extra.DAT se aplican inmediatamente.


Configurar parámetros comunesConfigure parámetros aplicables a todos los módulos y las funciones de Endpoint Security en elmódulo Ajustes generales. Estos parámetros incluyen seguridad de interfaz y configuración de idioma



para Cliente de Endpoint Security, inicio de sesión, servidor proxy para McAfee GTI y configuración dela actualización.

Procedimientos• Proteger recursos de Endpoint Security en la página 30

Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar elsoftware de seguridad de su sistema. Configure la Autoprotección en las opciones deAjustes generales para evitar que se detengan o modifiquen los servicios y archivos deEndpoint Security.

• Configurar parámetros de registro en la página 31Configure el registro Endpoint Security en los parámetros del Ajustes generales.

• Permitir autenticación mediante certificados en la página 31Los certificados permiten que un proveedor ejecute código en los procesos de McAfee.

• Control del acceso a la interfaz de cliente en la página 32Controle el acceso al Cliente de Endpoint Security estableciendo una contraseña en laconfiguración de Ajustes generales.

• Configuración del servidor proxy para McAfee GTI en la página 33Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI enla configuración de Ajustes generales.

Proteger recursos de Endpoint SecurityUna de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el softwarede seguridad de su sistema. Configure la Autoprotección en las opciones de Ajustes generales paraevitar que se detengan o modifiquen los servicios y archivos de Endpoint Security.


Si se desactiva la Autoprotección de Endpoint Security, el sistema será vulnerable a los ataques.



2 En el menú Acción , seleccione Configuración.

3 Haga clic en Mostrar avanzado.

4 Desde Autoprotección, verifique que Autoprotección está activado.

5 Especifique la acción para cada uno de los siguientes recursos de Endpoint Security:

• Archivos y carpetas: impide que los usuarios modifiquen la base de datos, los binarios, los archivosde búsqueda segura y los archivos de configuración de McAfee.

• Registro: impide que los usuarios modifiquen el subárbol del Registro de McAfee y loscomponentes COM, así como que lleven a cabo desinstalaciones mediante el valor de Registro.

• Procesos: impide que se detengan los procesos de McAfee.

6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.




Configurar parámetros de registroConfigure el registro Endpoint Security en los parámetros del Ajustes generales.






4 Configure los parámetros de Registro de cliente en la página.


Véase también Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24Iniciar sesión como administrador en la página 26

Permitir autenticación mediante certificadosLos certificados permiten que un proveedor ejecute código en los procesos de McAfee.

Cuando se detecta un proceso, se completa la tabla de certificados con el Proveedor, Asunto y Hash dela clave pública asociada.

Esta configuración puede acarrear problemas de compatibilidad y una reducción de la seguridad.

Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.




4 En la sección Certificados, seleccione Permitir.


La información de certificado se muestra en la tabla.



Control del acceso a la interfaz de clienteControle el acceso al Cliente de Endpoint Security estableciendo una contraseña en la configuración deAjustes generales.


Modo de interfaz de cliente está establecido como Acceso total de forma predeterminada, lo que permite a losusuarios cambiar la configuración de seguridad, ya que los sistemas se pueden quedar sin proteccióncontra ataques de malware.




3 Defina la configuración de Modo de interfaz de cliente en la página.

Procedimiento recomendado: Para mejorar la seguridad, cambie el Modo de interfaz de cliente aEstándar o Bloquear interfaz de cliente. Ambas opciones requieren una contraseña de administrador paraacceder a la configuración de Cliente de Endpoint Security.

Procedimiento recomendado: Cambie las contraseñas de administrador con regularidad.


Véase también Efectos del establecimiento de una contraseña de administrador en la página 32Iniciar sesión como administrador en la página 26

Efectos del establecimiento de una contraseña de administradorCuando se configura el modo de interfaz como Acceso estándar o Bloquear interfaz de cliente, se debeconfigurar también una contraseña de administrador. El administrador también puede generar unacontraseña temporal que pueden usar los usuarios para acceder temporalmente al Cliente de EndpointSecurity.

Si se configura el modo de interfaz como Acceso estándar o Bloquear interfaz de cliente, se veránafectados los siguientes usuarios:



Todos los usuarios En el modo Bloquear interfaz de cliente, los usuarios deben introducir lacontraseña de administrador o provisional para acceder al Cliente deEndpoint Security.Una vez que se haya introducido, el usuario dispondrá de acceso a toda lainterfaz, incluidas las opciones de configuración de la página Configuración.

No administradores(usuarios sin derechosde administrador)

En el modo Acceso estándar, los no administradores pueden:• Obtener información sobre qué módulos de Endpoint Security están

instalados, incluyendo su versión y estado.

• Ejecutar análisis.

• Comprobar si hay actualizaciones (en caso de estar activada estafunción).

• Ver y administrar los elementos de la Cuarentena.

• Ver el Registro de eventos.

• Obtener ayuda y acceso a las páginas de Preguntas frecuentes y Soporte.

En el modo Acceso estándar, los no administradores no pueden:

• Ver o cambiar las opciones de configuración de la página Configuración.

• Revertir contenido de AMCore.

• Cargar archivos Extra.DAT.

Administradores(usuarios con derechosde administrador)

En el modo Acceso estándar, los administradores deben introducir lacontraseña de administrador o provisional.Una vez que se haya introducido, el administrador dispondrá de acceso atoda la interfaz, incluidas las opciones de configuración de la páginaConfiguración.

Configuración del servidor proxy para McAfee GTI Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en laconfiguración de Ajustes generales.






4 Establezca la configuración de Servidor proxy para McAfee GTI en la página.

Procedimiento recomendado: Excluya las direcciones de McAfee GTI del servidor proxy. Paraobtener información, consulte KB79640 y KB84374.







Configurar el comportamiento de las actualizacionesEspecifique el comportamiento de las actualizaciones iniciadas desde Cliente de Endpoint Security enla configuración de Ajustes generales.

Procedimientos• Configurar sitios de origen para actualizaciones en la página 34

Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos deseguridad actualizados en la configuración del módulo Ajustes generales.

• Configure el comportamiento predeterminado de las actualizaciones en la página 36Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de EndpointSecurity en el módulo Ajustes generales.

• Configure, planifique y actualice tareas de análisis en la página 37Puede configurar tareas de actualización personalizadas o cambiar la planificación de latarea Actualización de cliente predeterminada desde Cliente de Endpoint Security en laconfiguración del módulo Ajustes generales.

• Configure, planifique y ejecute tareas de duplicación en la página 38Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en laconfiguración del Ajustes generales .

Configurar sitios de origen para actualizaciones Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de seguridadactualizados en la configuración del módulo Ajustes generales.






4 En Ajustes generales, haga clic en Opciones.

5 Ajuste la configuración de Sitios de origen para las actualizaciones en la página.

Puede activar y desactivar el sitio de origen de copia de seguridad predeterminado, McAfeeHttp, y elservidor de gestión (para sistemas gestionados), pero no podrá modificarlos ni eliminarlos.

El orden de los sitios determina el orden que Endpoint Security utiliza para buscar el sitio deactualización.



Para... Siga estos pasos

Agregar un sitio a la lista. 1 Haga clic en Agregar.

2 Especifique la configuración del sitio y haga clic en Aceptar.

El sitio aparece al principio de la lista.

Modificar un sitioexistente.

1 Haga clic en el nombre del sitio.

2 Modifique las opciones y haga clic en Aceptar.

Eliminar un sitio. Seleccione el sitio y haga clic en Eliminar.

Importar sitios desde unarchivo de lista de sitiosde origen.

1 Haga clic en Importar.

2 Seleccione el archivo para importar y haga clic en Aceptar.

El archivo de lista de sitios reemplaza la lista de sitios de origenactual.

Exportar la lista de sitiosde origen al archivoSiteList.xml.

1 Haga clic en Exportar todo.

2 Seleccione la ubicación en la que guardar el archivo de lista desitios de origen y haga clic en Aceptar.

Cambiar el orden de lossitios en la lista.

Para mover elementos:1 Seleccione los elementos que mover.

El control de ajuste aparece a la izquierda de los elementos quepuedan moverse.

2 Arrastre y coloque los elementos en su nueva ubicación.Aparecerá una línea azul entre elementos en los puntos en los quese pueden colocar los elementos arrastrados.


Véase también Qué contiene la lista de repositorios en la página 35Cómo funciona la tarea Actualización cliente predeterminada en la página 37Iniciar sesión como administrador en la página 26Configure, planifique y actualice tareas de análisis en la página 37

Qué contiene la lista de repositoriosLa lista de repositorios especifica información acerca de los repositorios que McAfee Agent utiliza paraactualizar productos de McAfee, incluidos archivos DAT y de motor.

La lista de repositorios incluye:

• Información y ubicación de repositorios

• Orden de preferencia de repositorios

• Configuración del servidor proxy, si se requiere

• Credenciales cifradas necesarias para el acceso a cada repositorio

La tarea cliente de actualización de producto de McAfee Agent se conecta al primer repositorioactivado (sitio de actualización) en la lista de repositorios. Si este repositorio no está disponible, latarea establece contacto con el siguiente sitio de la lista, hasta que consigue conectarse o llega al finalde la lista.



Si la red utiliza un servidor proxy, puede especificar qué configuración de proxy utilizar, la dirección delservidor proxy y si se utilizará autenticación. La información de proxy se almacena en la lista derepositorios. La configuración de proxy especificada se aplicará a todos los repositorios de la lista.

La ubicación de la lista de repositorios depende del sistema operativo:

Sistema operativo Ubicación de lista de repositorios

Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml

Microsoft Windows 7

Versiones anteriores C:\Documents and Settings\All Users\Datos de programa\McAfee\CommonFramework\SiteList.xml

Configure el comportamiento predeterminado de las actualizaciones Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de Endpoint Security en elmódulo Ajustes generales.


Utilice esta configuración para:

•Mostrar u ocultar el botón en el cliente.

• Especificar qué actualizar cuando el usuario hace clic en el botón o ejecuta la tarea Actualización decliente predeterminada.

De forma predeterminada, la tarea Actualización de cliente predeterminado se ejecuta cada día a la1:00 de la madrugada y se repite cada cuatro horas hasta las 23:59 h.

En sistemas autogestionados, la tarea Actualización de cliente predeterminado actualiza todo elcontenido y el software. En sistemas gestionados, esta tarea solo actualiza el contenido.





4 Defina la configuración de Actualización de cliente predeterminado en la página.


Véase también Iniciar sesión como administrador en la página 26Configurar sitios de origen para actualizaciones en la página 34Configure, planifique y actualice tareas de análisis en la página 37



Cómo funciona la tarea Actualización cliente predeterminadaLa tarea Actualización cliente predeterminada descarga la protección más reciente a Cliente deEndpoint Security.

Endpoint Security incluye la tarea Actualización de cliente predeterminada que se ejecuta cada día a la1:00. y se repite cada cuatro horas hasta las 23:59 h.

La tarea Actualización de cliente predeterminada:

1 Conecta al primer sitio de origen activado en la lista.

Si el sitio no está disponible, la tarea contacta el siguiente sitio hasta que logra establecer unaconexión o alcanza el final de la lista.

2 Se descarga un archivo CATALOG.Z codificado desde el sitio.

El archivo contiene información necesaria para llevar a cabo la actualización, incluyendo archivosdisponibles y actualizaciones.

3 Compara las versiones de software contenidas en el archivo con las versiones existentes en elequipo y descarga cualquier actualización de software disponible.

Si la tarea Actualización de cliente predeterminada se interrumpe durante la actualización:

Actualización desde Si se interrumpe

HTTP, UNC o un sitio local Se reanuda desde donde se interrumpió la actualización lapróxima vez que se inicie la tarea de actualización.

Sitio FTP (descarga de un solo archivo) No se reanuda si se interrumpe.

Sitio FTP (descarga de varios archivos) Se reanuda antes del archivo que se estaba descargando enel momento de la interrupción.

Véase también Configurar sitios de origen para actualizaciones en la página 34Configure, planifique y actualice tareas de análisis en la página 37Qué contiene la lista de repositorios en la página 35

Configure, planifique y actualice tareas de análisis Puede configurar tareas de actualización personalizadas o cambiar la planificación de la tareaActualización de cliente predeterminada desde Cliente de Endpoint Security en la configuración del móduloAjustes generales.


Utilice esta configuración para definir desde el cliente cuándo se debe ejecutar la tarea Actualización decliente predeterminada. También puede configurar el comportamiento predeterminado de actualizaciones decliente iniciadas desde Cliente de Endpoint Security.







4 En Ajustes generales, haga clic en Tareas.

5 Configure los ajustes de la tarea de actualización en la página.


Crear una tarea deactualizaciónpersonalizada.

1 Haga clic en Agregar.

2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea,seleccione Actualizar.

3 Configure los ajustes y haga clic en Aceptar para guardar la tarea.

Cambiar una tarea deactualización.

• Haga doble clic en la tarea, efectúe los cambios y haga clic enAceptar para guardarla.

Eliminar una tarea deactualizaciónpersonalizada.

• Seleccione la tarea y haga clic en Eliminar.

Crear una copia de unatarea de actualización.

1 Seleccione la tarea y haga clic en Duplicar.

2 Introduzca el nombre, configure los ajustes y haga clic en Aceptarpara guardar la tarea.

Cambiar la planificación deuna tarea de Actualización decliente predeterminada.

1 Haga doble clic en Actualización de cliente predeterminada.

2 Haga clic en la ficha Planificación, modifique la planificación y hagaclic en Aceptar para guardar la tarea.

También puede configurar el comportamiento predeterminado deactualizaciones de cliente iniciadas desde Cliente de EndpointSecurity.

Ejecutar una tarea deactualización.

• Seleccione la tarea y haga clic en Ejecutar ahora.

Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, elbotón cambia a Ver.

Si ejecuta una tarea antes de aplicar los cambios, Cliente de EndpointSecurity le pide confirmación para guardar la configuración.


Véase también Cómo funciona la tarea Actualización cliente predeterminada en la página 37Configurar sitios de origen para actualizaciones en la página 34Configure el comportamiento predeterminado de las actualizaciones en la página 36

Configure, planifique y ejecute tareas de duplicación Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en laconfiguración del Ajustes generales .









5 Configure los ajustes de la tarea de duplicación en la página.


Crear una tarea deduplicación.


2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea,seleccione Duplicar.

3 Configure los ajustes y haga clic en Aceptar.

Cambiar una tarea deduplicación.

• Haga doble clic en la tarea de duplicación, efectúe los cambios y hagaclic en Aceptar.

Eliminar una tarea deduplicación.


Crear una copia de unatarea de duplicación.


2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar.

Planificar una tarea deduplicación.

1 Haga doble clic en la tarea.

2 Haga clic en la ficha Planificación, modifique la planificación y haga clicen Aceptar para guardar la tarea.

Ejecutar una tarea deduplicación.





Cómo funcionan las tareas de duplicaciónLas tareas de duplicación replican los archivos de actualización del primer repositorio accesible,definido en la lista de repositorios, hasta un sitio de duplicación ubicado en su red.El uso más habitual de estas tareas es el de duplicar el contenido del sitio de descarga de McAfee enun servidor local.

Una vez replicado el sitio de McAfee que contiene los archivos de actualización, los equipos de la redpueden descargar los archivos del sitio de duplicación. Esto permite actualizar cualquier ordenador dela red, tanto si tiene acceso a Internet como si no. El uso de un sitio replicado es más eficaz porque losistemas se comunican con un servidor más próximo al sitio de McAfee en Internet, lo que ahorratiempo de acceso y descarga.

Endpoint Security depende de un directorio para actualizarse. Por lo tanto, al duplicar un sitio, esimportante replicar toda la estructura de directorios.



Referencia de la interfaz del Cliente de Endpoint Security:Ajustes generales

Proporciona ayuda contextual para las páginas de la interfaz del Cliente de Endpoint Security.

Contenido Página Registro de eventos Ajustes generales: Opciones Ajustes generales: Tareas

Página Registro de eventosMuestra los eventos de actividad y depuración en el Registro de eventos.

Tabla 2-2 Opciones

Opción Definición

Número de eventos Muestra el número de eventos que Endpoint Security haya registrado en elsistema en los últimos 30 días.

Actualiza la vista del Registro de eventos con cualquier información de eventoreciente.

Ver directorio deregistros

Abre la carpeta que contiene los archivos de instalación de registro en elexplorador de Windows.

Mostrar todos loseventos

Quita cualquier filtro.

Filtrar por gravedad Filtra los eventos por nivel de gravedad:

Alerta Muestra solo los eventos de nivel de gravedad 1.

Crítico y más grave Muestra solo los eventos de nivel de gravedad 1 y 2.

Advertencias y másimportantes

Muestra solo los eventos de nivel de gravedad 1, 2 y3.

Aviso y más grave Muestra los eventos de nivel de gravedad 1, 2, 3 y 4.

Filtrar por módulo Filtra los eventos por módulo:

Ajustes generales Muestra solo los eventos de Ajustes generales.

Prevención de amenazas Muestra solo los eventos de Prevención deamenazas.

Firewall Muestra solo los eventos de Firewall.

Control web Muestra solo los eventos de Control web.

Protección adaptable frente aamenazas

Muestra solo los eventos de Protección adaptablefrente a amenazas.

Las funciones que aparecen en el menú desplegable dependen de las funcionesinstaladas en el sistema en el momento en que abrió el Registro de eventos.

Buscar Busca una cadena en el Registro de eventos.

Eventos por página Seleccione el número de eventos que mostrar en una página. (De formapredeterminada, 20 eventos por página)

Página anterior Muestra la página anterior en el Registro de eventos.

2 Mediante Cliente de Endpoint SecurityReferencia de la interfaz del Cliente de Endpoint Security: Ajustes generales


Tabla 2-2 Opciones (continuación)

Opción Definición

Página siguiente Muestra la página siguiente en el Registro de eventos.

Página x de x Seleccione una página en el Registro de eventos a la que navegar.Introduzca un número en el campo Página y pulse Intro o haga clic en Ir paranavegar hasta la página.

Encabezados delas columnas

Ordena la lista de eventos por...

Fecha Fecha en la que se produjo el evento.

Función Función que registró el evento.

Acción realizada Acción que Endpoint Security llevó a cabo, si realizó alguna, en respuesta alevento.La acción puede ajustarse en la configuración.

Acceso denegado Ha denegado el acceso al archivo.

Permitido Ha permitido el acceso al archivo.

Bloqueado Ha bloqueado el acceso al archivo.

Limpiado Ha quitado la amenaza del archivo detectadoautomáticamente.

Contenido Ha ejecutado el archivo en un contenedor en función de sureputación.

Continuar con elanálisis

Ha detectado una amenaza y ha continuado con el análisisdel siguiente archivo sin realizar ninguna acción, comoLimpiar o Eliminar, sobre el archivo actual.

Eliminado Ha eliminado el archivo automáticamente.

Movido Ha movido el archivo a la cuarentena.

Bloquearía Una regla habría bloqueado el acceso al archivo si la reglahubiera estado implementada. El modo de evaluación estáactivado.

Limpiaría Una regla habría limpiado el archivo si la regla hubieraestado implementada. El modo de evaluación está activado.

Contendría Una regla habría contenido el archivo si la regla hubieraestado implementada. El modo de evaluación está activado.

Gravedad Nivel de gravedad del evento.

Crítico 1

Grave 2

Leve 3

Advertencia 4

Informativa 5

Véase también Visualización del Registro de eventos en la página 23

Mediante Cliente de Endpoint SecurityReferencia de la interfaz del Cliente de Endpoint Security: Ajustes generales 2


Ajustes generales: OpcionesConfigure las opciones de interfaz, autoprotección, registro de actividades y depuración y servidorproxy de Cliente de Endpoint Security.

Tabla 2-3 Opciones

Sección Opción Definición

Modo de interfaz decliente

Acceso total Permite el acceso a todas las funciones. (Opciónpredeterminada)

Acceso estándar Muestra el estado de la protección y permite acceder a lamayoría de las funciones, como la ejecución de actualizacionesy análisis.El modo Acceso estándar requiere una contraseña para ver ymodificar la configuración de directivas en la páginaConfiguración de Cliente de Endpoint Security.

Bloquear interfaz decliente

Requiere una contraseña para acceder al Cliente de EndpointSecurity.

Establecer contraseñade administrador

En el caso de Acceso estándar y Bloquear interfaz de cliente, especificala contraseña de administrador con que acceder a todas lasfunciones de la interfaz de Cliente de Endpoint Security.• Contraseña: especifica la contraseña.

• Confirmar contraseña: confirma la contraseña.

Procedimiento recomendado: Cambie las contraseñas deadministrador con regularidad.

Desinstalación Requerir contraseñapara desinstalar elcliente

Solicita una contraseña para desinstalar Cliente de EndpointSecurity y especifica la contraseña.La contraseña predeterminada es mcafee.

(Opción desactivada de forma predeterminada)

• Contraseña: especifica la contraseña.

• Confirmar contraseña: confirma la contraseña.

Tabla 2-4 Opciones avanzadas


Idioma de la interfazde cliente

Automático Selecciona automáticamente el idioma que usar en el texto de lainterfaz de Cliente de Endpoint Security basándose en el idiomade la interfaz del sistema cliente.

Idioma Especifica el idioma del texto de la interfaz del Cliente deEndpoint Security.En lo que se refiere a los sistemas gestionados, los cambiosrealizados en Cliente de Endpoint Security anulan los cambios dedirectivas del servidor de administración. El cambio de idioma seaplicará después del reinicio de Cliente de Endpoint Security.

El idioma del cliente no afecta a los archivos de registro. Losarchivos de registro siempre aparecen en el idioma especificadoen la configuración regional predeterminada del sistema.

Autoprotección Activarautoprotección

Protege los recursos del sistema de Endpoint Security deactividades maliciosas.



Tabla 2-4 Opciones avanzadas (continuación)


Acción Especifica la acción que se debe realizar cuando se produceactividad maliciosa:• Bloquear e informar: bloquea la actividad e informa a McAfee ePO.

(Opción predeterminada)

• Solo bloquear: bloquea la actividad pero no informa a McAfee ePO.

• Solo informar: informa a McAfee ePO, pero no bloquea laactividad.

Archivos y carpetas Impide que se modifiquen o eliminen carpetas y archivos desistema de McAfee.

Registro Impide que se modifiquen o eliminen valores y claves de Registrode McAfee.

Procesos Impide la detención de procesos de McAfee.

Excluir estosprocesos

Permite el acceso a los procesos especificados.Se admiten caracteres comodín.

Agregar: agrega un proceso a la lista de exclusión. Haga clic enAgregar e introduzca el nombre exacto del recurso, como porejemplo, avtask.exe.

Hacer doble clic en un elemento: Modifica el elementoseleccionado.

Eliminar: Elimina el elemento seleccionado. Seleccione el recurso yhaga clic en Eliminar.

Certificados Especifica las opciones de los certificados.

Permitir Permite que un proveedor ejecute código en los procesos deMcAfee.

Esta configuración puede acarrear problemas de compatibilidady una reducción de la seguridad.

Proveedor Especifica el nombre común (CN) de la autoridad que firmó yemitió el certificado.

Sujeto Especifica el nombre distintivo del firmante (SDN) que define laentidad asociada con el certificado.Esta información puede incluir:

• CN: nombre común

• OU: unidad organizativa

• O: organización

• L: localidad

• ST: estado o provincia

• C: código del país

Hash Especifica el hash de la clave pública asociada.





Registro de cliente Ubicación dearchivos de registro

Especifica la ubicación de los archivos de registro.La ubicación predeterminada es:

<UNIDAD_DEL_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs

Escriba la ubicación deseada o haga clic en Examinar para llegar aella.

Registro deactividades

Activar registro deactividades

Activa el registro de todas las actividades de Endpoint Security.

Limitar tamaño (MB)de cada uno de losarchivos de registrode actividades

Limita cada archivo de registro de actividades al tamaño máximoespecificado (entre 1 MB y 999 MB). El valor predeterminado es10 MB.Si el archivo de registro supera este tamaño, los datos nuevossustituyen el 25 por ciento más antiguo de las entradas en elarchivo.

Para permitir que los archivos de registro tengan cualquiertamaño, desactive esta opción.

Registro dedepuración

La activación del registro de depuración para cualquier módulotambién lo activa para las funciones del módulo Ajustesgenerales, como por ejemplo Autoprotección.

Procedimiento recomendado: Active el registro de depuracióndurante, al menos, las primeras 24 horas durante las fases deprueba y piloto. Si no se producen problemas durante estetiempo, desactive el registro de depuración para evitar que elrendimiento de los sistemas cliente se vea afectado.

Activar paraPrevención deamenazas

Activa el registro detallado de actividades de Prevención deamenazas y tecnologías concretas:Activar para protección de acceso: los registros se realizan enAccessProtection_Debug.log.

Activar para Prevención de exploits: los registros se realizan enExploitPrevention_Debug.log.

Activar para análisis en tiempo real: los registros se realizan enOnAccessScan_Debug.log.

Activar para análisis bajo demanda: los registros se realizan enOnDemandScan_Debug.log.

La activación del registro de depuración para cualquier tecnologíade Prevención de amenazas también lo activa para Cliente deEndpoint Security.

Activar para firewall Activa el registro detallado de actividades de Firewall.

Activar para Controlweb

Activa el registro detallado de actividades de Control web.

Activar paraProtecciónadaptable frente aamenazas

Activa el registro detallado de actividades de Protección adaptablefrente a amenazas.





Limitar tamaño (MB)de cada uno de losarchivos de registrode depuración

Limita el tamaño máximo de cada archivo de registro dedepuración al especificado (entre 1 MB y 999 MB). El valorpredeterminado es 50 MB.Si el archivo de registro supera este tamaño, los datos nuevossustituyen el 25 por ciento más antiguo de las entradas en elarchivo.

Para permitir que los archivos de registro tengan cualquiertamaño, desactive esta opción.

Registro de eventos Enviar eventos aMcAfee ePO

Envía todos los eventos registrados en el Registro de eventos delCliente de Endpoint Security a McAfee ePO.Esta opción solo se encuentra disponible en sistemas gestionadospor McAfee ePO.

Registrar eventos enel registro de laaplicación Windows

Envía todos los eventos registrados en el Registro de eventos delCliente de Endpoint Security al registro de aplicaciones deWindows.Se puede acceder al registro de aplicación de Windows en Visor deeventos | Registros de Windows | Aplicación.

Niveles degravedad

Especifica el nivel de gravedad de los eventos que registrar en elRegistro de eventos en Cliente de Endpoint Security:• Ninguno: no se envían alertas

• Solo alerta: se envían alertas solo de nivel 1.

• Crítico y alerta: se envían alertas de nivel 1 y 2.

• Advertencia, crítico y alerta: se envían alertas de nivel de 1 a 3.

• Todo excepto Informativo: se envían alertas de nivel de 1 a 4.

• Todo: se envían alertas de nivel de 1 a 5.

• 1: Alerta

• 2: Crítico

• 3: Advertencia

• 4: Aviso

• 5: Informativo

Eventos dePrevención deamenazas queregistrar

Especifica el nivel de gravedad de los eventos para cada funciónde Prevención de amenazas que se debe registrar:Protección de acceso: los registros se realizan enAccessProtection_Activity.log.

Al activar el registro de eventos para Protección de acceso,también se activa el registro de eventos para Autoprotección.

Prevención de exploits: los registros se realizan enExploitPrevention_Activity.log.

Análisis en tiempo real: los registros se realizan enOnAccessScan_Activity.log.

Análisis bajo demanda: los registros se realizan enOnDemandScan_Activity.log.

Eventos de Firewallque registrar

Especifica el nivel de gravedad de los eventos de Firewall queregistrar.





Eventos de Controlweb que registrar

Especifica el nivel de gravedad de los eventos de Control web queregistrar.

Eventos deProtecciónadaptable frente aamenazas queregistrar

Especifica el nivel de gravedad de los eventos de Protecciónadaptable frente a amenazas que registrar.

Servidor proxy paraMcAfee GTI

Sin servidor proxy Especifica que los sistemas gestionados recuperan informaciónsobre reputación de McAfee GTI directamente a través deInternet, en vez de a través de un servidor proxy. (Opciónpredeterminada)

Utilizarconfiguración deproxy del sistema

Especifica el uso de la configuración de proxy en el sistema clientey, opcionalmente, activa la autenticación de proxy HTTP.

Configurar servidorproxy

Personaliza la configuración de proxy.• Dirección: especifica la dirección IP o el nombre de dominio

completo del servidor proxy HTTP.

• Puerto: limita el acceso a través del puerto especificado.

• Excluir estas direcciones: no usar el servidor proxy HTTP para sitiosweb o direcciones IP que empiecen con las entradasespecificadas.Haga clic en Agregar y, a continuación, introduzca el nombre dedirección que excluir.

Procedimiento recomendado: Excluya las direcciones deMcAfee GTI del servidor proxy. Para obtener información,consulte KB79640 y KB84374.

Activarautenticación deproxy HTTP

Especifica que el servidor proxy HTTP requiere autenticación.(Esta opción solo está disponible cuando selecciona un servidorproxy HTTP). Introduzca unas credenciales de proxy HTTP:• Nombre de usuario: especifica el nombre de la cuenta de usuario

con permisos para acceder al servidor proxy HTTP especificado.

• Contraseña: especifica la contraseña para el Nombre de usuario.

• Confirmar contraseña: confirma la contraseña especificada.

Actualización declientepredeterminado

Activar el botónActualizar ahora enel cliente

Muestra u oculta el botón Actualizar ahora en la página principal delCliente de Endpoint Security.Haga clic en este botón para comprobar y descargarmanualmente actualizaciones de archivos de contenido ycomponentes de software en el sistema cliente.

Qué actualizar Especifica qué actualizar al hacer clic en el botón Actualizar ahora.• Contenido de seguridad, hotfixes y parches: actualiza a las versiones

más recientes todo el contenido de seguridad (ya sea contenidode motor, AMCore o Prevención de exploits), así como cualquierhotfix y parche.

• Contenido de seguridad: Actualiza únicamente contenido deseguridad. (Opción predeterminada)

• Hotfixes y parches: actualiza únicamente hotfixes y parches.







Sitios de origen paralas actualizaciones

Configura sitios desde los que obtener actualizaciones paraarchivos de contenido y componentes de software.Puede activar y desactivar el sitio de origen de copia de seguridadpredeterminado, McAfeeHttp, y el servidor de gestión (parasistemas gestionados), pero no podrá modificarlos ni eliminarlos.

Indica elementos que pueden moverse en la lista.Seleccione elementos y arrástrelos hasta la nueva ubicación.Aparecerá una línea azul entre elementos en los puntos en losque se pueden colocar los elementos arrastrados.

Agregar Agrega un sitio a la lista de sitios de origen.

Hacer doble clicen un elemento

Modifica el elemento seleccionado.

Eliminar Elimina el sitio seleccionado de la lista de sitios de origen.

Importar Importa sitios desde un archivo de lista de sitios de origen.Seleccione el archivo para importar y haga clic en Aceptar.

El archivo de lista de sitios reemplaza la lista de sitios de origenactual.

Exportar todo Exporta la lista de sitios de origen al archivo SiteList.xml.Seleccione la ubicación en la que guardar el archivo de lista desitios de origen y haga clic en Aceptar.

Servidor proxy parasitios de origen

Sin servidor proxy Especifica que los sistemas gestionados recuperan informaciónsobre reputación de McAfee GTI directamente a través deInternet, en vez de a través de un servidor proxy. (Opciónpredeterminada)

Utilizarconfiguración deproxy del sistema

Especifica el uso de la configuración de proxy para el sistemacliente, y activa opcionalmente la autenticación de proxy HTTP oFTP.

Configurar servidorproxy

Personaliza la configuración de proxy.• Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del

servidor proxy HTTP o FTP.

• Puerto: limita el acceso a través del puerto especificado.

• Excluir estas direcciones: especifica las direcciones de los sistemasdel Cliente de Endpoint Security que no se desea que utilicen elservidor proxy para obtener calificaciones de McAfee GTI.Haga clic en Agregar e introduzca la dirección que excluir.

Activarautenticación deproxy HTTP/FTP

Especifica que el servidor proxy HTTP o FTP requiereautenticación. (Esta opción solo está disponible cuando se haseleccionado un servidor proxy HTTP o FTP.) Introduzca unascredenciales de proxy:• Nombre de usuario: especifica el nombre de la cuenta de usuario

con permisos para acceder al servidor proxy.

• Contraseña: especifica la contraseña para el Nombre de usuarioespecificado.




Véase también Proteger recursos de Endpoint Security en la página 30Configurar parámetros de registro en la página 31Control del acceso a la interfaz de cliente en la página 32Configuración del servidor proxy para McAfee GTI en la página 33Configure el comportamiento predeterminado de las actualizaciones en la página 36Configurar sitios de origen para actualizaciones en la página 34Agregar sitio o Editar sitio en la página 48

Agregar sitio o Editar sitioAgrega o edita un sitio en la lista de sitios de origen.

Tabla 2-5 Definiciones de opciones

Option Definición

Nombre Indica el nombre del sitio de origen que contiene los archivos de actualización.

Activar Activa o desactiva el uso del sitio de origen para descargar archivos de actualización.

Recuperararchivos desde

Especifica de dónde se han de recuperar los archivos.

RepositorioHTTP

Recupera los archivos desde la ubicación del repositorio HTTP designada.

HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red,pero admite un mayor nivel de conexiones simultáneas que FTP.

URL • Nombre DNS: indica que la URL es un nombre de dominio.

• IPv4: indica que la dirección URL es una dirección IPv4.


http:// : especifica la dirección del servidor HTTP y de la carpeta en laque se encuentran los archivos de actualización.

Puerto: especifica el número de puerto para el servidor HTTP.

Utilizarautenticación

Se selecciona para usar autenticación y especificar las credenciales deacceso a la carpeta de archivos de actualización.• Nombre de usuario: especifica el nombre de la cuenta de usuario con

permisos para leer la carpeta de archivos de actualización.

• Contraseña: especifica la contraseña para el Nombre de usuarioespecificado.




Tabla 2-5 Definiciones de opciones (continuación)

Option Definición

Repositorio FTP Recupera los archivos desde la ubicación del repositorio HTTP designada.

Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos deseguridad de red. Dado que el FTP es menos propenso a ataques de código no deseadosque HTTP, puede ofrece una mejor tolerancia.

URL • Nombre DNS: indica que la URL es un nombre de dominio.


• IPv6: indica que la dirección URL es una dirección Ipv6.

ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que seencuentran los archivos de actualización.

Puerto: especifica el número de puerto para el servidor HTTP.

Utilizar iniciode sesiónanónimo

Se selecciona para usar un FTP anónimo para acceder a la carpeta dearchivos de actualización.Anule la selección de esta opción para especificar las credenciales deacceso.

• Nombre de usuario: especifica el nombre de la cuenta de usuario conpermisos para leer la carpeta de archivos de actualización.

• Contraseña: especifica la contraseña para el Nombre de usuario especificado.


Ruta UNC oRuta local

Recupera los archivos de la ubicación de ruta UNC o local designada.

Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entredominios requieren permisos de seguridad para cada dominio, lo que precisa mayorconfiguración para la actualización.

Ruta • Ruta UNC: especifica la ruta mediante la notación UNC (\\nombredeservidor\ruta\).

• Ruta local: especifica la ruta de una carpeta en una unidad local o de red.

Utilizarcuenta desesióniniciada

Los accesos a los archivos actualizados mediante la cuenta en la que seha iniciado sesión. Esta cuenta debe tener permisos de lectura para lascarpetas que contienen los archivos de actualización.Anule la selección de esta opción para especificar las credenciales deacceso.

• Dominio: especifica el dominio para la cuenta de usuario.

• Nombre de usuario: especifica el nombre de la cuenta de usuario conpermisos para leer la carpeta de archivos de actualización.

• Contraseña: especifica la contraseña para el Nombre de usuario especificado.


Ajustes generales: TareasConfigure y planifique tareas de Cliente de Endpoint Security.

En sistemas gestionados, no puede iniciar, detener ni eliminar tareas de Administrador.



Tabla 2-6 Opciones


Tareas Indica las tareas actualmente definidas y planificadas.• Nombre: nombre de la tarea planificada.

• Función: módulo o función con los que está asociada la tarea.

• Planificación: cuándo está planificada la ejecución de la tarea y si estádesactivada.Por ejemplo, en sistemas gestionados, la tarea Actualización de clientepredeterminada la puede desactivar el administrador.

• Estado: estado de la última vez que se ejecutó la tarea:

• (sin estado): no se ha ejecutado

• Ejecutar: actual en ejecución o pausada

• Pausado: pausado por el usuario (como por ejemplo un análisis)

• Aplazado: aplazado por el usuario (como por ejemplo un análisis)

• Finalizado: ejecución completada sin errores

• Finalizado (con errores): ejecución completada con errores

• Error: no se pudo completar

• Última ejecución: fecha y hora en la que la tarea se ejecutó por última vez.

• Origen: origen de la tarea:

• McAfee: proporcionado por McAfee.

• Administrador: (solo en sistemas gestionados) definido por eladministrador.

• Usuario: definido en Cliente de Endpoint Security.

En función del origen, algunas tareas no se pueden modificar ni eliminar.Por ejemplo, la tarea Actualización de cliente predeterminada solo sepuede cambiar en sistemas autogestionados. Las tareas de Administrador,definidas por el administrador en sistemas gestionados, no se puedenmodificar ni eliminar en Cliente de Endpoint Security.

Hacer dobleclic en unelemento


Agregar Crea una tarea de análisis, actualización o duplicación.

Eliminar Elimina la tarea seleccionada.





Duplicar Crea una copia de la tarea seleccionada.

Ejecutar ahora Ejecuta la tarea seleccionada.Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botóncambia a Ver.

• Análisis rápido: abre el cuadro de diálogo Análisis rápido e inicia el análisis.

• Análisis completo: abre el cuadro de diálogo Análisis completo e inicia el análisis.

• Análisis personalizado: abre el cuadro de diálogo Análisis personalizado e inicia elanálisis.

• Actualización de cliente predeterminada: abre el cuadro de diálogo Actualización decliente predeterminada e inicia la actualización.

• Actualizar: abre el cuadro de diálogo Actualización personalizada e inicia laactualización.

• Duplicar: abre el cuadro de diálogo Duplicar e inicia la replicación delrepositorio.


Véase también Ejecución de un Análisis completo o un Análisis rápido en la página 56Actualización del contenido y el software de forma manual en la página 22Configure, planifique y ejecute tareas de duplicación en la página 38Agregar tarea en la página 51

Agregar tareaAgrega tareas de actualización, duplicación o análisis personalizado.

Opción Definición

Nombre Especifica el nombre de la tarea.

Seleccionar tipo detarea

Especifica el tipo de tarea:• Análisis personalizado: configura y planifica análisis personalizados, como los análisis

de memoria diarios.

• Duplicación: replica en un sitio de duplicación en la red los archivos de contenido yde motor actualizados del primer repositorio accesible.

• Actualización: configura y planifica actualizaciones de producto, del motor deanálisis o de archivos de contenido.

Véase también Agregar tarea de análisis o Editar tarea de análisis en la página 52Agregar tarea de duplicación o Editar tarea de duplicación en la página 53Agregar tarea de actualización o Editar tarea de actualización en la página 52



Agregar tarea de análisis o Editar tarea de análisisPlanifique la tareaAnálisis completo o Análisis rápido o configure y planifique tareas de análisispersonalizado que se ejecutan en el sistema cliente.

Tabla 2-7 Opciones

Ficha Opción Definición

Configuración Configura la tarea de análisis.

Nombre Indica el nombre de la tarea.

Opciones Define la configuración del Análisis bajo demanda.Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido ensistemas autogestionados.

Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada.

Véase también Configure, planifique y ejecute tareas de análisis en la página 95Configurar Análisis bajo demanda en la página 90Ejecución de un Análisis completo o un Análisis rápido en la página 56Prevención de amenazas: Análisis bajo demanda en la página 120Planificación en la página 53

Agregar tarea de actualización o Editar tarea de actualizaciónPlanifica la Actualización de cliente predeterminada o configura y planifica tareas de actualizaciónpersonalizadas que se ejecutan en el sistema cliente.

Tabla 2-8 Opciones


Configuración Configura la tarea de actualización.

Nombre Indica el nombre de la tarea.

Qué actualizar Especifica qué actualizar:• Contenido de seguridad, hotfixes y parches

• Contenido de seguridad

• Hotfixes y parches

Solo puede configurar estos parámetros en sistemas autogestionados.

Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada.De forma predeterminada, la tarea Actualización de cliente predeterminada seejecuta cada día a las 00:00 y se repite cada cuatro horas hasta las 23:59.

Véase también Ajustes generales: Opciones en la página 42Configure el comportamiento predeterminado de las actualizaciones en la página 36Configure, planifique y actualice tareas de análisis en la página 37Planificación en la página 53



Agregar tarea de duplicación o Editar tarea de duplicaciónConfigura y planifica tareas de duplicación.

Tabla 2-9 Opciones


Configuración Nombre Indica el nombre de la tarea.

Ubicación de duplicación Especifica la carpeta en la que guardar la réplica del repositorio.

Planificación Activa y planifica las tareas para que se ejecuten a una horadeterminada.

Véase también Configure, planifique y ejecute tareas de duplicación en la página 38Planificación en la página 53

PlanificaciónPlanifique tareas de análisis, actualización y duplicación.

Tabla 2-10 Opciones

Categoría Opción Definición

Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.(Opción activada de forma predeterminada)Seleccione esta opción para planificar la tarea.

Tipo de planificación Especifica el intervalo para ejecutar la tarea.• Diario: ejecuta la tarea a diario, ya sea a una hora específica, de

forma periódica entre dos horas del día o una combinación deambas formas.

• Semanal: ejecuta la tarea cada semana:

• Un día específico entre semana, todos los días entre semana, losfines de semana o mediante una combinación de días

• A una hora específica en los días seleccionados o de formaperiódica entre dos horas en los días seleccionados

• Mensualmente: ejecuta la tarea cada mes, con dos opciones:

• El día del mes especificado

• Los días de la semana especificados: el primero, segundo, tercero,cuarto o último

• Una vez: inicia la tarea a la hora y en la fecha especificadas.

• Al iniciar el sistema: ejecuta la tarea al iniciar el sistema.

• Al iniciar sesión: inicia la tarea la próxima vez que el usuario iniciasesión en el sistema.

• Ejecutar inmediatamente: inicia la tarea de inmediato.

Frecuencia Especifica la frecuencia para las tareas que se ejecutan a Diario y deforma Semanal.

Ejecutar los Especifica los días de la semana para tareas que se ejecutan de formaSemanal y Mensual.

Ejecutar en Especifica los meses del año para las tareas que se ejecutan demanera Mensual.

Ejecutar esta tareasolo una vez al día

Ejecuta la tarea una vez al día para las tareas Al iniciar el sistema yAl iniciarsesión.




Categoría Opción Definición

Retrasar la tarea Especifica los minutos de retraso antes de ejecutar tareas Al iniciar elsistema y Al iniciar sesión.

Fecha de inicio Especifica la fecha de inicio para tareas que se ejecutan de maneraSemanal, Mensual, a Diario y Una vez.

Fecha de finalización Especifica la fecha de finalización de las tareas diarias, semanales ymensuales.

Hora de inicio Especifica la hora para empezar la tarea.• Ejecutar una vez a esa hora: ejecuta la tarea una vez a la Hora de inicio

especificada.

• Ejecutar a esa hora y repetir hasta: ejecuta la tarea a la Hora de inicioespecificada. A continuación, inicia la tarea según el intervalo dehoras/minutos especificado en Iniciar tarea cada hasta la hora definalización especificada.

• Ejecutar a esa hora y repetir durante: ejecuta la tarea a la Hora de inicioespecificada. A continuación, inicia la tarea según el intervalo dehoras/minutos especificado en Iniciar tarea cada hasta que se hayaejecutado durante la duración especificada.

Opciones Ejecutar esta tarea deacuerdo con la horauniversal coordinada(UTC)

Especifica si la planificación de la tarea se ejecuta en función de lahora local del sistema gestionado o según la Hora universalcoordinada (UTC).

Detener la tarea si seejecuta durante másde

Detiene la tarea una vez transcurrido el número de horas y minutosindicado.Si la tarea se interrumpe antes de completarse, la siguiente vez quecomience se reanudará desde donde lo dejó.

Hacer aleatoria lahora de inicio de latarea

Especifica que la tarea se ejecute de forma aleatoria dentro delperiodo de tiempo elegido.De lo contrario, la tarea se iniciará a la hora planificada,independientemente de si hay o no otras tareas cliente planificadaspara ejecutarse a la misma hora.

Ejecutar tarea omitida Ejecuta la tarea una vez haya transcurrido el tiempo en minutosespecificado en Retrasar el inicio cuando se reinicia el sistema gestionado.

Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.Si no se especifican credenciales, la tarea se ejecuta como cuentalocal del administrador del sistema.

Nombre de usuario Especifica la cuenta de usuario.

Contraseña Especifica la contraseña para la cuenta de usuario especificada.

Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.

Dominio Especifica el dominio para la cuenta de usuario especificada.

Véase también Agregar tarea de análisis o Editar tarea de análisis en la página 52Agregar tarea de actualización o Editar tarea de actualización en la página 52Agregar tarea de duplicación o Editar tarea de duplicación en la página 53



3 Mediante Prevención de amenazas

Prevención de amenazas comprueba la existencia de virus, spyware, programas no deseados y otrasamenazas en el equipo.

Contenido Analizar el equipo en busca de malware Administrar detecciones de amenazas Administrar elementos en cuarentena Administrar Prevención de amenazas Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas

Analizar el equipo en busca de malwareAnalice en busca de malware en el equipo seleccionando opciones en Cliente de Endpoint Security odesde el Explorador de Windows.

Procedimientos• Ejecución de un Análisis completo o un Análisis rápido en la página 56

Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en suequipo manualmente.

• Analizar un archivo o carpeta en la página 58Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamenteun archivo o carpeta individual que sospeche que pueda estar infectado.

Véase también Tipos de análisis en la página 55

Tipos de análisisEndpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.

• Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución enlos equipos gestionados. En el caso de equipos gestionados, configure el analizador en tiempo realen la página Configuración.

Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real interceptala operación y analiza el elemento según los criterios definidos en la configuración.

• Análisis bajo demanda

3


Manual El administrador (o el usuario, en el caso de sistemas autogestionados) configuraanálisis bajo demanda predefinidos o personalizados que los usuarios puedenejecutar en equipos gestionados.

• Ejecute un análisis bajo demanda predefinido en cualquier momento desde

Cliente de Endpoint Security haciendo clic en yseleccionando un tipo de análisis:Análisis rápido ejecuta una comprobación rápida de las áreas del sistema mássusceptibles de infección.

Análisis completo realizar una comprobación exhaustiva de todas las áreas delsistema. (Se recomienda si sospecha que el equipo está infectado.)

• Analice un archivo o una carpeta en cualquier momento desde el Explorador deWindows haciendo clic con el botón derecho y seleccionando Analizar en busca deamenazas en el menú emergente.

• Para configurar y ejecutar un análisis bajo demanda personalizado comoadministrador desde Cliente de Endpoint Security:

1 Seleccione Configuración | Ajustes generales | Tareas.

2 Seleccione la tarea que ejecutar.

3 Haga clic en Ejecutar ahora.

Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura yplanifica análisis bajo demanda para su ejecución en los equipos.

Cuando un análisis bajo demanda planificado está a punto de iniciarse, EndpointSecurity muestra un mensaje de análisis en la parte inferior de la pantalla. Puedeiniciar el análisis inmediatamente o aplazarlo, si se ha configurado.

Para configurar y planificar los análisis bajo demanda predefinidos Análisis rápido yAnálisis completo:1 Configuración | Análisis bajo demanda | Análisis completo o Análisis rápido: configura análisis

bajo demanda.

2 Configuración | Common | Tareas planifica análisis bajo demanda.

Véase también Configure, planifique y ejecute tareas de análisis en la página 95Responder a aviso de análisis en la página 21

Ejecución de un Análisis completo o un Análisis rápidoUse Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipomanualmente.

Antes de empezarEl módulo Prevención de amenazas debe estar instalado.

El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado laconfiguración. Con credenciales de administrador puede modificar y planificar estos análisis en laconfiguración Análisis bajo demanda.

3 Mediante Prevención de amenazasAnalizar el equipo en busca de malware




2Haga clic en .

3 En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo.

Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema,recomendado si sospecha que su equipo podría estar infectado.

Análisis rápido Ejecuta una comprobación rápida de las áreas de su sistema que sean mássusceptibles de infectarse.

Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.

Asimismo, es posible que encuentre el botón Ver detecciones en el análisis en tiempo real,dependiendo de la configuración y de si se ha detectado una amenaza. Haga clic en este botónpara abrir la página Análisis en tiempo real y administrar las detecciones en cualquier momento.

Cliente de Endpoint Security muestra el estado del análisis en otra página.

Práctica recomendada: La Fecha de creación de AMCore Content indica la última vez que se haactualizado el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice laprotección antes de ejecutar el análisis.

4 Haga clic en los botones de la parte superior de la página de estado para controlar el análisis.

Pausar análisis Pausa el análisis antes de que se complete.


Cancelar análisis Cancela un análisis en ejecución.

5 Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, eltiempo transcurrido y las posibles detecciones.

Nombre de detección Identifica el nombre del malware detectado.

Tipo Muestra el tipo de amenaza.

Archivo Identifica el archivo infectado.

Acción realizada Describe la última acción de seguridad emprendida en el archivo infectado:• Acceso denegado

• Limpiado

• Eliminado

• Ninguno

La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajodemanda.

Mediante Prevención de amenazasAnalizar el equipo en busca de malware 3


6 Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar oeliminar el archivo infectado.

Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no esténdisponibles.

7 Haga clic en Cerrar para cerrar la página.

Véase también Tipos de análisis en la página 55Nombres de detecciones en la página 62Actualización del contenido y el software de forma manual en la página 22Administrar detecciones de amenazas en la página 59Configurar Análisis bajo demanda en la página 90Configure, planifique y ejecute tareas de análisis en la página 95

Analizar un archivo o carpetaHaga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivoo carpeta individual que sospeche que pueda estar infectado.


El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado laconfiguración. Con credenciales de administrador puede modificar estos análisis en la configuraciónAnálisis bajo demanda.

Procedimiento

1 En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar yseleccione Analizar en busca de amenazas desde el menú emergente.

Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas.

2 Haga clic en los botones en la parte superior de la página para controlar el análisis.

Pausar análisis Pausa el análisis antes de que se complete.


Cancelar análisis Cancela un análisis en ejecución.

3 Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, eltiempo transcurrido y las posibles detecciones.

Nombre de detección Identifica el nombre del malware detectado.

Tipo Muestra el tipo de amenaza.

Archivo Identifica el archivo infectado.

Acción realizada Describe la última acción de seguridad emprendida en el archivo infectado:• Acceso denegado

• Limpiado

• Eliminado

• Ninguno


3 Mediante Prevención de amenazasAnalizar el equipo en busca de malware


4 Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar oeliminar el archivo infectado.

Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no esténdisponibles.

5 Haga clic en Cerrar para cerrar la página.

Véase también Tipos de análisis en la página 55Nombres de detecciones en la página 62Configurar Análisis bajo demanda en la página 90

Administrar detecciones de amenazasDependiendo de su configuración, puede gestionar las detecciones de amenazas desde Cliente deEndpoint Security.




2 Haga clic en Analizar ahora para abrir la página Analizar sistema.

3 Desde Análisis bajo demanda, haga clic en Ver detecciones.

Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería deusuario está desactivada.


4 Desde la página Análisis en tiempo real, seleccione una de estas opciones.

Limpiar Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena.

Endpoint Security usa información de los archivos de contenido para limpiar losarchivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado yno se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfeerecomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copiade seguridad limpia.

Eliminar Elimina el elemento que contiene la amenaza.

Eliminar entrada Elimina una entrada de la lista de detección.

Cerrar Cierra la página de análisis.

Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible.Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.


Mediante Prevención de amenazasAdministrar detecciones de amenazas 3


Administrar elementos en cuarentena Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puederealizar acciones en los elementos en cuarentena.


Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenidocon información que limpia la amenaza.

Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos,registros o todo lo que Endpoint Security analice en busca de malware.

Procedimiento



2 Haga clic en Poner en cuarentena en el lado izquierdo de la página.

La página muestra todos los elementos en cuarentena.

Si Cliente de Endpoint Security no puede acceder al Administrador de cuarentena, muestra unmensaje de error de comunicación. De ser así, reinicie el sistema para ver la página Cuarentena.

3 Mediante Prevención de amenazasAdministrar elementos en cuarentena


3 Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.

Para... Haga lo siguiente...

Cambiar el tamaño relativo de los paneles. Haga clic y arrastre el marco deslizante entre lospaneles.

Ordenar elementos de la tabla por nombre otipo de amenaza.

Haga clic en el encabezado de columna.

4 En la página Cuarentena, realice acciones en elementos seleccionados.


Eliminar elementosen cuarentena.

Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminarpara confirmar.

Los archivos eliminados no se pueden restaurar.

Restaurarelementos encuarentena.

Seleccione elementos, haga clic en Restaurar y, a continuación, haga clic denuevo en Restaurar para confirmar.Endpoint Security restaura los elementos a su ubicación original y los quitade la cuarentena.

Si un elemento aún es una amenaza válida, Endpoint Security lo devolveráa la cuarentena la próxima vez que se acceda a dicho elemento.

Volver a analizarelementos.

Seleccione elementos, luego haga clic en Volver a analizar.Por ejemplo, puede volver a analizar un elemento tras actualizar laprotección. Si el elemento ya no es una amenaza, lo puede restaurar a suubicación original y quitarlo de la cuarentena.

Ver un elemento enel Registro deeventos.

Seleccione un elemento y haga clic en el vínculo Ver en Registro de eventos en elpanel de detalles.La página Registro de eventos se abre, y el evento relacionado con el elementoseleccionado aparecerá resaltado.

Obtener másinformación sobreuna amenaza.

Seleccione un elemento y haga clic en el vínculo Obtenga más información sobreesta amenaza en el panel de detalles.Se abre una nueva ventana de navegador en el sitio web McAfee Labs conmás información acerca de la amenaza que provocó que el elemento sepusiera en cuarentena.

Véase también Nombres de detecciones en la página 62Repetición de análisis de elementos en cuarentena en la página 63Abra Cliente de Endpoint Security en la página 19Actualización del contenido y el software de forma manual en la página 22

Mediante Prevención de amenazasAdministrar elementos en cuarentena 3


Nombres de deteccionesLos La cuarentena informa de amenazas por nombre de detección.

Nombre dedetección

Descripción

Adware Genera ingresos mostrando anuncios dirigidos al usuario. El adware generaingresos a través del proveedor o los socios del proveedor. Algunos tipos deadware pueden capturar o transmitir información personal.

Marcador Redirige las conexiones de Internet a otra parte distinta del proveedor deservicios de Internet predeterminado del usuario. Los marcadores estándiseñados para agregar costes de conexión para un proveedor de contenidos, unvendedor u otro.

Broma Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas noafectan a la seguridad o la privacidad, pero pueden alarmar o molestar alusuario.

Registrador depulsaciones deteclado

Intercepta datos entre el usuario que los introduce y la aplicación a la que ibandestinados. Un caballo troyano y un programa no deseado registrador depulsaciones de teclado pueden funcionar de manera idéntica. El software deMcAfee detecta los dos tipos para evitar intrusiones de privacidad.

Cracker decontraseñas

Permite al usuario o administrador recuperar las contraseñas perdidas uolvidadas desde las cuentas o archivos de datos. En manos de un atacante,permiten el acceso a información confidencial y son una amenaza para laseguridad y la privacidad.

Programapotencialmente nodeseado

A menudo incluye software legítimo (que no es malware) que puede alterar elestado de seguridad o la política de privacidad del sistema. Este software sepuede descargar con un programa que el usuario desea instalar. Puede incluirspyware, adware, registradores de pulsaciones de teclado, crackers decontraseñas, herramientas de hacker y aplicaciones de marcador.

Herramienta deadministraciónremota

Otorga a un administrador el control remoto de un sistema. Estas herramientaspueden suponer una amenaza de seguridad grave si las controla un atacante.

Spyware Transmite información personal a terceros sin el conocimiento o consentimientodel usuario. El spyware genera exploits en los equipos infectados con finalidadescomerciales mediante:• Envío de anuncios emergentes no solicitados

• Robo de información personal, incluida su información financiera, como puedeser el número de las tarjetas de crédito

• Supervisión de la actividad de navegación por la Web para fines de marketing

• Enrutamiento de solicitudes HTTP a sitios de publicidad

Consulte también Programa potencialmente no deseado.

Sigiloso Es un tipo de virus que intenta evitar ser detectado por el software antivirus.También conocido como interceptor interruptor.

Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando unaaplicación antivirus intenta leer archivos o sectores de arranque para encontrarvirus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virusesconden el tamaño real del archivo infectado y muestran el tamaño del archivoantes de infectarse.

3 Mediante Prevención de amenazasAdministrar elementos en cuarentena


Nombre dedetección

Descripción

Troyano Es un programa dañino que se hace pasar por una aplicación benigna. Untroyano no se replica pero causa daño o pone en peligro la seguridad del equipo.Los equipos suelen infectarse:

• Cuando un usuario abre un troyano adjunto en un correo electrónico.

• Cuando un usuario descarga un troyano de un sitio web.

• Redes de igual a igual.

Como no se replican, los troyanos no se consideran virus.

Virus Capaz de incrustarse en discos u otros archivos y replicarse repetidamente,normalmente sin el conocimiento o permiso del usuario.Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo,el virus también se ejecuta. Otros virus permanecen en la memoria del equipo einfectan más archivos a medida que ese equipo los va abriendo, modificando ocreando. Algunos virus presentan síntomas, mientras que otros dañan losarchivos y sistemas del equipo.

Repetición de análisis de elementos en cuarentenaCuando se vuelve a analizar elementos en cuarentena, Endpoint Security utiliza la configuración deanálisis diseñada para proporcionar la máxima protección.

Práctica recomendada: Vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos.Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no esuna amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena.

Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar elanálisis, las condiciones de análisis pueden cambiar, lo cual puede afectar a la detección de elementosen cuarentena.

Cuando se vuelven a analizar elementos en cuarentena, Endpoint Security siempre:

• Analiza archivos codificados mediante MIME.

• Analiza archivos de almacenamiento comprimidos.

• Fuerza una búsqueda de McAfee GTI en los elementos.

• Establece el nivel de sensibilidad de McAfee GTI en Muy alto.

Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en ladetección de una amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación deRegistro) cambian, volver a analizar puede producir un falso positivo incluso aunque el elemento sigainfectado.

Administrar Prevención de amenazasComo administrador, puede especificar la configuración de Prevención de amenazas para prevenir elacceso de amenazas y configurar los análisis.


Mediante Prevención de amenazasAdministrar Prevención de amenazas 3


Configuración de exclusionesPrevención de amenazas le permite ajustar la protección especificando elementos que excluir.

Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloqueeun archivo utilizado por una base de datos o un servidor. Un archivo bloqueado puede hacer que seproduzcan errores en la base de datos o el servidor.

Procedimiento recomendado: Para mejorar el rendimiento de los análisis en tiempo real y bajodemanda, utilice las técnicas de elusión de análisis en lugar de agregar exclusiones de archivos ycarpetas.

Las exclusiones en las listas de exclusión son mutuamente exclusivas. Cada exclusión se evalúa porseparado de otras exclusiones de la lista.

Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.

Para esta función... Especificarelementos queexcluir

Dóndeconfigurar

Excluir elementospor

¿Usarcomodines?

Protección de acceso Procesos (paratodas las reglas opara una reglaespecificada)

Protección de acceso Ruta o nombre dearchivo del proceso,hash MD5 o firmante

Todos exceptohash MD5

Prevención deexploits

Procesos Prevención deexploits

Ruta o nombre dearchivo del proceso,hash MD5 o firmante

Todos exceptohash MD5

Módulos autores dellamadas

Ruta o nombre dearchivo del móduloautor de llamada,hash MD5 o firmante

API Nombre de la API

Firmas ID de firma No

Todos los análisis Nombres dedetección

Opciones dePrevención deamenazas

Nombre de detección(distinguemayúsculas deminúsculas)

Sí

Programaspotencialmente nodeseados

Nombre Sí

Análisis en tiemporeal• Predeterminado

• Riesgo alto

• Riesgo bajo

Archivos, tipos dearchivo y carpetas

Análisis en tiemporeal

Nombre de archivo ocarpeta, tipo dearchivo o antigüedaddel archivo

Sí

URL de ScriptScan Nombre de URL No

3 Mediante Prevención de amenazasAdministrar Prevención de amenazas


Para esta función... Especificarelementos queexcluir

Dóndeconfigurar

Excluir elementospor

¿Usarcomodines?

Análisis bajodemanda• Análisis rápido


• Análisis con el botónderecho del ratón

Archivos, carpetas yunidades

Análisis bajodemanda


Sí

Análisis bajodemandapersonalizado

Archivos, carpetas yunidades

Ajustes generales |Tareas | Agregartarea | Análisispersonalizado


Sí

Véase también Caracteres comodín en exclusiones en la página 65

Caracteres comodín en exclusionesPuede usar caracteres comodín para representar caracteres en exclusiones para archivos, carpetas,nombres de detección y programas potencialmente no deseados.

Tabla 3-1 Caracteres comodín válidos

Caráctercomodín

Nombre Representa

? Signo deinterrogación

Un solo carácter.Este carácter comodín se utiliza solamente si el número decaracteres coincide con la longitud del nombre de archivo ocarpeta. Por ejemplo: la exclusión W?? excluye WWW, pero noWW o WWWW.

* Asterisco Varios caracteres, excepto la barra invertida (\).No se puede usar *\ al principio de una ruta de archivo. Utilice**\ en su lugar. Por ejemplo: **\ABC\*.

** Doble asterisco Cero o más caracteres, incluida la barra invertida (\).Este carácter comodín corresponde a cero o más caracteres.Por ejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZ yC:\ABC\XYZ.

Los caracteres comodín pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.

Exclusiones a nivel de raíz

Prevención de amenazas requiere una ruta de acceso absoluta para las exclusiones a nivel de raíz.Esto significa que no puede usar los caracteres comodín \ o ?:\ iniciales para hacer coincidir nombresde unidad en el nivel de raíz.

Este comportamiento difiere de VirusScan Enterprise. Consulte la Guía de migración de McAfee EndpointSecurity.

Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones anivel de raíz para hacer coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con losiguiente:



C:\test

D:\test

C:\temp\test

D:\foo\test

Protección de los puntos de acceso del sistemaLa primera línea de defensa contra el malware consiste en proteger los puntos de acceso de lossistemas cliente contra el acceso de las amenazas. Protección de acceso impide que se realicencambios no deseados en los equipos gestionados mediante la restricción del acceso a determinadosarchivos, recursos compartidos, claves y valores de Registro, procesos y servicios.

Protección de acceso utiliza tanto reglas definidas por McAfee como reglas definidas por el usuario(también denominadas reglas personalizadas) para notificar o bloquear el acceso a elementos.Protección de acceso compara una acción solicitada con una lista de reglas y actúa según la regla.

Se debe activar Protección de acceso para detectar intentos de acceso a archivos, recursoscompartidos, claves y valores de Registro, procesos y servicios.

Cómo obtienen acceso las amenazasLas amenazas obtienen acceso a un sistema mediante varios puntos de acceso.

Punto de acceso Descripción

Macros Incluidas en documentos de procesamiento de textos y aplicaciones dehojas de cálculo.

Archivos ejecutables Los programas aparentemente benignos pueden incluir virus junto con elprograma esperado. Algunas extensiones de archivo comunesson .EXE, .COM, .VBS, .BAT, .HLP y .DLL.

Scripts Los scripts como ActiveX y JavaScript están asociados a páginas web ycorreo electrónico y, si se permite su ejecución, pueden incluir virus.

Mensajes de InternetRelay Chat (IRC)

Los archivos enviados junto con estos mensajes pueden contener malwarecomo parte del mensaje. Por ejemplo, los procesos de inicio automáticopueden incluir gusanos y troyanos.

Archivos de ayuda deaplicaciones ynavegadores

La descarga de estos archivos de ayuda expone el sistema a virusincrustados y ejecutables.

Correo electrónico Bromas, juegos e imágenes incluidos en mensajes de correo electrónicoque contienen datos adjuntos.

Combinaciones de todosestos puntos de acceso

Los creadores del malware más sofisticado combinan todos los métodos deentrega anteriores e incluso incluyen un elemento de malware dentro deotro a fin de intentar acceder al equipo gestionado.

Cómo la Protección de acceso detiene amenazasProtección de acceso detiene amenazas potenciales gestionando acciones basadas en reglas deprotección definidas por el usuario y por McAfee.

Prevención de amenazas sigue este proceso básico para proporcionar protección de acceso.



Cuando se produce una amenaza

Cuando un usuario o proceso actúa:

1 Protección de acceso analiza dicha acción conforme a las reglas definidas.

2 Si la acción incumple una regla, Protección de acceso administra la acción mediante la informaciónen las reglas configuradas.

3 Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor deadministración, si está administrado.

Ejemplo de amenaza de acceso

1 Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.

2 El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado.

3 MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.

4 Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.

5 Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo einforme.

6 Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra losdetalles del intento. Protección de acceso también genera y envía una alerta al servidor deadministración.

Acerca de las reglas de protección de accesoUtilice reglas de Protección de acceso definidas por McAfee o por el usuario para proteger los puntosde acceso a su sistema.

Las reglas definidas por McAfee siempre se aplican antes que cualquier regla definida por el usuario.

Tipo de regla Descripción

Reglas definidaspor McAfee

• Estas reglas impiden la modificación de archivos y opciones de uso habitual.

• Puede activar, desactivar y cambiar la configuración de las reglas definidas porMcAfee, pero no puede eliminar estas reglas.

Reglas definidaspor el usuario

• Estas reglas complementan la protección proporcionada por las reglas definidaspor McAfee.

• Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.

• Una tabla Nombres de usuario vacía indica que se aplica la regla a todos losusuarios.

• Puede agregar y quitar, así como activar, desactivar y cambiar la configuraciónde estas reglas.

Exclusiones

En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel dedirectivas, las exclusiones se aplican a todas las reglas. Las exclusiones son opcionales.

Véase también Excluir procesos de Protección de acceso en la página 73



Configuración de reglas de Protección de acceso definidas por McAfeeLas reglas definidas por McAfee impiden a los usuarios modificar los archivos y las opciones usadoscomúnmente.


Es posible:

• Cambiar la configuración de bloqueo e informes para estas reglas.

• Agregar ejecutables incluidos y excluidos a estas reglas.

No es posible:

• Eliminar estas reglas.

• Modificar los archivos y la configuración protegidos por estas reglas.

• Agregar subreglas o nombres de usuario a estas reglas.



2 Haga clic en Prevención de amenazas en la página principal Estado.

O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención deamenazas en la página Configuración.


4 Haga clic en Protección de acceso.

5 Modifique la regla:

a En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla.

• Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

• Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.

b Haga doble clic en una regla definida por McAfee para editarla.

c En la página Editar regla definida por McAfee, configure las opciones.

d En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dosveces para guardar la regla.


Véase también Reglas de Protección de acceso definidas por McAfee en la página 69Iniciar sesión como administrador en la página 26Excluir procesos de Protección de acceso en la página 73



Reglas de Protección de acceso definidas por McAfeeUtilice las reglas de Protección de acceso definidas por McAfee para proteger el ordenador de cambiosno deseados.

Regla definida porMcAfee

Descripción

Ejecución de archivos de lacarpeta Archivos deprograma descargados porparte de navegadores

Impide que el software se instale a través del navegador web.Puesto que esta regla puede bloquear también la instalación de softwarelegítimo, instale la aplicación antes de activar esta regla o agregue el procesode instalación como una exclusión.

Esta regla está establecida de manera predeterminada en Informar.

Esta regla impide que el adware y el spyware instalen y ejecuten ejecutablesdesde esta carpeta.

Cambio de cualesquieraregistros de extensiones dearchivo

Protege las claves de Registro en HKEY_CLASSES_ROOT donde se registranlas extensiones de archivo.Esta regla impide que el malware modifique los registros de extensiones dearchivos y se ejecute en modo silencioso.

Práctica recomendada: Desactive la regla al instalar aplicaciones válidasque modifican los registros de extensiones de archivos en el Registro.

Esta regla es una alternativa más restrictiva que Hijacking .EXE y otras extensionesejecutables.

Cambio de directivas dederechos de usuario

Protege los valores de Registro que contienen información de seguridad deWindows.Esta regla impide que los gusanos alteren cuentas que poseen derechos deadministrador.

Creación de nuevosarchivos ejecutables en lacarpeta Archivos deprograma

Impide la creación de nuevos archivos ejecutables en la carpeta Archivos deprograma.Esta regla impide que el adware y el spyware creen nuevos archivos .EXEy .DLL o que instalen nuevos archivos ejecutables en la carpeta Archivos deprograma.

Práctica recomendada: Instale las aplicaciones antes de activar esta reglao añada los procesos bloqueados a la lista de exclusión.

Creación de nuevosarchivos ejecutables en lacarpeta Windows

Impide la creación de archivos desde cualquier proceso, no solo a través de lared.Esta regla impide la creación de archivos .EXE y .DLL en la carpeta deWindows.

Práctica recomendada: Agregue a la lista de exclusión los procesos quedeban colocar archivos en la carpeta de Windows.

Desactivación del Editor delRegistro y delAdministrador de tareas

Protege las entradas del Registro de Windows, con lo que evita ladesactivación del Editor del Registro y el Administrador de tareas.

En caso de un brote, desactive esta regla para poder cambiar el Registro oabra el Administrador de tareas para detener los procesos activos.




Descripción

Ejecución de scripts deWindows Script Host(CScript.exe o Wscript.exe)de carpetas de usuariocomunes

Impide que el host de scripts en Windows ejecute scripts VBScript yJavaScript en cualquier carpeta cuyo nombre contenga la palabra "temp".Esta regla protege contra muchos troyanos y mecanismos de instalación webcuestionables, utilizados por aplicaciones de adware y spyware.

Esta regla podría bloquear la ejecución o instalación de scripts y aplicacionesde terceros legítimas.

Hijacking .EXE u otrasextensiones ejecutables

Protege, entre otras, las claves de Registro ejecutables .EXE y .BAT enHKEY_CLASSES_ROOT.Esta regla impide que el malware modifique las claves de Registro y seejecute el virus junto con otro ejecutable.

La regla es una alternativa menos restrictiva a Cambio de cualesquiera registros deextensiones de archivo.

Instalación de objetosauxiliares del explorador oextensiones de shell

Impide que el adware, el spyware y los troyanos que se instalan comoobjetos auxiliares del explorador se instalen en el equipo host.Esta regla impide que el adware y el spyware se instalen en los sistemas.

Práctica recomendada: Agregue a la lista de exclusión las aplicacionespersonalizadas o de terceros que sean legítimas para permitirles que instalenestos objetos. Tras la instalación, puede volver a activar la regla porque noimpide el funcionamiento de los objetos auxiliares del explorador.

Instalación de nuevosCLSID, APPID y TYPELIB

Impide la instalación o el registro de nuevos servidores COM.Esta regla protege contra los programas de adware y spyware que se instalancomo complementos COM en Internet Explorer o en aplicaciones de MicrosoftOffice.

Procedimiento recomendado: Concesión de permiso a las aplicacioneslegítimas que registran complementos COM, incluidas algunas aplicacionescomunes como Adobe Flash, agregándolas a la lista de exclusión.

Modificación de procesoscentrales de Windows

Impide que se creen o ejecuten archivos con los nombres que más sefalsifican.Esta regla impide que los virus y troyanos se ejecuten con el nombre de unproceso de Windows. Esta regla excluye archivos auténticos de Windows.

Modificación deconfiguraciones de InternetExplorer

Bloquea los procesos para que no modifiquen la configuración de InternetExplorer.Esta página impide que los troyanos, el adware y el spyware de páginas deinicio modifiquen la configuración del explorador, como la página de inicio olos favoritos.

Modificar configuración dered

Impide que los procesos que no se encuentren en la lista de exclusión puedanmodificar las opciones de red del sistema.Esta regla captura el tráfico de red y lo envía a sitios de terceros paraproteger de los proveedores de servicios por niveles que transmiten datos,como su comportamiento de navegación.

Práctica recomendada: Agregue los procesos que deben cambiar laconfiguración de la red a la lista de exclusión o desactive la regla mientras serealizan los cambios.




Descripción

Registro de programas parasu ejecución automática

Bloquea adware, spyware, troyanos y virus cuando intentan registrarse paracargarse cada vez que se reinicia el sistema.Esta regla impide que los procesos que no están en la lista de exclusiónregistren procesos que se ejecutan cada vez que se reinicia el sistema.

Práctica recomendada: Agregue aplicaciones legítimas a la lista deexclusión o instálelas antes de activar esta regla.

Acceso remoto a archivos ocarpetas locales

Impide el acceso de lectura y escritura al equipo desde equipos remotos.Esta regla impide que se extienda un gusano entre los recursos compartidos.

En un entorno típico, esta regla es útil para estaciones de trabajo, pero nopara servidores, y solo cuando los equipos están activamente bajo ataque.

Si un equipo se gestiona insertando archivos en el mismo, esta regla impidela instalación de actualizaciones o parches. Esta regla no afecta a lasfunciones gestionadas de McAfee ePO.

Creación remota dearchivos de ejecuciónautomática

Impide que otros equipos realicen una conexión y creen o modifiquenarchivos de ejecución automática (autorun.inf).Los archivos de ejecución automática se utilizan para iniciar automáticamentearchivos de programa, generalmente archivos de configuración de CD.

Esta regla impide que se ejecuten el spyware y el adware distribuidos en CD.

Esta regla está configurada de manera predeterminada para Bloquear e Informar.

Creación o modificaciónremota de archivos ocarpetas

Bloquea el acceso de escritura a todos los recursos compartidos.Esta regla resulta útil en un brote al prevenir el acceso de escritura y limitarque se extienda la infección. La regla bloquea malware que de otro modolimitaría seriamente el uso del equipo o la red.

En un entorno típico, esta regla es útil para estaciones de trabajo, pero nopara servidores, y solo cuando los equipos están activamente bajo ataque.

Si un equipo se gestiona insertando archivos en el mismo, esta regla impidela instalación de actualizaciones o parches. Esta regla no afecta a lasfunciones gestionadas de McAfee ePO.

Creación o modificaciónremota de archivos de tipoportable ejecutable(PE), .INI, .PIF y ubicacionesde núcleo del sistema

Impide que otros equipos realicen conexiones y modifiquen ejecutables, comolos archivos en la carpeta Windows. Esta regla afecta solo a los tipos dearchivo normalmente infectados por los virus.Esta regla protege contra los gusanos o virus que se extienden rápidamente yatraviesan una red mediante los recursos compartidos abiertos oadministrativos.

Ejecución de archivosdesde las carpetas deusuario común

Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo nombrecontenga la palabra "temp".Esta regla protege contra el malware que se guarda y ejecuta desde lacarpeta temp del usuario o del sistema. Este malware puede incluir datosadjuntos ejecutables en correos electrónicos y programas descargados.

Aunque esta regla proporciona la mayor protección, podría bloquear lainstalación de aplicaciones legítimas.

Ejecución de archivos decarpetas de usuariocomunes por parte deprogramas comunes

Impide que las aplicaciones instalen software desde el navegador o el clientede correo electrónico.Esta regla impide que los ejecutables y los datos adjuntos de correoselectrónicos se ejecuten en páginas web.

Procedimiento recomendado: Para instalar una aplicación que utilice lacarpeta Temp, agregue el proceso a la lista de exclusión.



Véase también Configuración de reglas de Protección de acceso definidas por McAfee en la página 68

Configuración de las reglas de Protección de acceso definidas por elusuarioLas reglas definidas por el usuario complementan la protección proporcionada por las reglas definidaspor McAfee. Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estasreglas.


Procedimiento recomendado: Para obtener más información sobre la creación de reglas deProtección de acceso para protegerse frente a ransomware, consulte PD25203.







5 Cree la regla: en la sección Reglas, haga clic en Agregar.

En la página Agregar regla, configure las opciones.

a En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clicen Guardar.

Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.

b En la sección Nombres de usuario, haga clic en Agregar y configure las propiedades del nombre deusuario.

Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.

c En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla.

Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, no seleccione laoperación Leer.

En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic enGuardar dos veces.

6 En la sección Reglas, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.






https://kc.mcafee.com/corporate/index?page=content&id=PD25203

Véase también Excluir procesos de Protección de acceso en la página 73

Cómo se evalúan los destinos de subreglas de Protección de accesoCada destino se agrega con una directiva Incluir o Excluir.

Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor deevaluación verdadero si:

• Al menos una inclusión se evalúa como verdadero.

y

• Todas las exclusiones se evalúan como falso.

Excluir tiene prioridad sobre Incluir. Por ejemplo:

• Si una misma subregla incluye un archivo C:\marketing\jjaime y excluye el mismo archivo, lasubregla no se activa para dicho archivo.

• Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subreglase activa si el archivo no es C:\marketing\jjaime.

• Si una subregla incluye el archivo C:\marketing\*, pero excluye el archivo C:\marketing\jjaime, lasubregla se activa para C:\marketing\cualquiera, pero no se activa para C:\marketing\jjaime.

Excluir procesos de Protección de accesoSi un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada endirectivas o basada en reglas.









5 Compruebe que la opción Protección de acceso está activada.

6 Realice una de las siguientes acciones:

Para... Haga esto...

Excluir procesos detodas las reglas.

1 En la sección Exclusiones, haga clic en Agregar para añadir procesos queexcluir de todas las reglas.

2 En la página Agregar ejecutable, configure las propiedades del ejecutable.

3 Haga clic en Guardar y luego en Aplicar para guardar la configuración.

Especificar procesospara inclusión oexclusión en unaregla definida por elusuario.

1 Editar una regla definida por el usuario existente o agregar una nuevaregla.

2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic enAgregar para agregar un ejecutable que excluir o incluir.

3 En la página Agregar ejecutable, configure las propiedades del ejecutable, ytambién si desea incluir o excluir el ejecutable.

4 Haga clic en Guardar dos veces y luego en Aplicar para guardar laconfiguración.

Bloqueo de vulnerabilidades de desbordamiento del búferPrevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Estafunción supervisa las llamadas de modo usuario de API y reconoce cuándo son el resultado de undesbordamiento del búfer.

Cuando se produce una detección, la información se incluye en el registro de actividades y se muestraen el sistema cliente, y se envía al servidor de administración, si se ha configurado.

Prevención de amenazas utiliza el archivo de contenido de Prevención de exploit para protegeraplicaciones como Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word yMSN Messenger.

Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en laconfiguración de la directiva.



Cómo se producen los exploits de desbordamiento del búferLos atacantes utilizan exploits de desbordamiento del búfer para ejecutar código ejecutable quedesborda el búfer de memoria de tamaño fijo reservado para un proceso de entrada. Este códigopermite al atacante tomar el control del equipo de destino o poner en peligro sus datos.

Un gran porcentaje de los ataques de malware son ataques de desbordamiento del búfer que intentansobrescribir la memoria adyacente en el marco de pila.

Los dos tipos de vulnerabilidades de desbordamiento del búfer son:

• Los ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradasde usuario (más comunes).

• Los ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).

El objeto de memoria en pila de tamaño fijo se encuentra vacío a la espera de que el usuario realiceuna entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenanen la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesala pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa.

A continuación se describe un ataque por desbordamiento del búfer basado en pila:

1 Desbordar la pila.

Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para losdatos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado paraellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.

2 Vulnerar el desbordamiento.

El programa espera por información del usuario. Si el atacante introduce un comando ejecutableque excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.

3 Ejecutar el malware.

El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En unprincipio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionóuna dirección de memoria de retorno que hace referencia al comando malicioso, el programaintenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, elcomando malicioso se ejecuta.

4 Vulnerar los permisos.

El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta enpeligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisosheredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total delsistema operativo.

Las firmas y cómo funcionanLas firmas de Prevención de exploit son conjuntos de reglas que comparan el comportamiento conataques conocidos y llevan a cabo una acción cuando se detecta una coincidencia. McAfee proporcionafirmas en las actualizaciones de contenido de Prevención de exploit.

Las firmas protegen aplicaciones específicas, las cuales están definidas en la lista Reglas de protecciónde aplicaciones. Cuando se detecta un ataque, Prevención de exploits puede detener elcomportamiento iniciado por dicho ataque.

Cuando se actualiza el archivo de contenido de Prevención de exploits, se actualiza la lista de firmas sies necesario.



Puede cambiar la configuración relativa a las acciones de estas firmas, pero no puede agregar oeliminar firmas, ni tampoco modificarlas. Para proteger determinados archivos, recursos compartidos,claves o valores de Registro, procesos y servicios, cree reglas de Protección de acceso personalizadas.

Acciones

Una acción es aquello que lleva acabo Prevención de exploit cuando se activa una firma.

• Bloquear: impide la operación.

• Informar: permite la operación e informa del evento.

Si no se selecciona ninguna, la firma se desactiva; Prevención de exploit permite la operación y noinforma del evento.

El archivo de contenido de Prevención de exploit establece automáticamente la acción de las firmasdependiendo del nivel de gravedad. Puede modificar la acción de una firma determinada en la secciónFirmas de la configuración de Prevención de exploit. Los cambios que realice en las acciones de lasfirmas se conservarán tras las actualizaciones del contenido.

Reglas de comportamiento

Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan elcomportamiento apropiado del sistema operativo y las aplicaciones. Las reglas de comportamientoheurísticas definen un perfil de actividad legítima. La actividad que no coincide con estas reglas seconsidera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento puedeestablecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otroproceso intenta acceder a los archivos HTML, Prevención de exploits realiza la acción especificada.Este tipo de protección, denominada "blindaje y envoltura de aplicaciones", impide que se pongan enpeligro las aplicaciones y los datos de estas, así como que se utilicen las aplicaciones para atacar otrasaplicaciones.

Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan laejecución de código derivada de un ataque de desbordamiento del búfer, uno de los métodos deataque más habituales.

Niveles de gravedad

Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un ataque.

• Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. Lamayoría de estas firmas son específicas para exploits bien identificados y, por lo general, no tienenque ver con el comportamiento.

Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyonivel de gravedad sea Alto en Bloquear en todos los hosts.

• Media: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera desu entorno (adecuado para clientes que protegen servidores web y Microsoft SQL Server 2000).

Procedimiento recomendado: En los servidores críticos, configure las firmas cuyo nivel degravedad sea Medio en Bloquear tras afinar su ajuste.

• Baja: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consisteen bloquear los recursos de las aplicaciones y del sistema para que no se puedan modificar.

Configurar las firmas cuyo nivel de gravedad sea Bajo en Bloquear incrementa la seguridad elsistema, pero requiere ajustes adicionales.



• Informativa: indica un cambio de la configuración del sistema que puede crear un riesgo benigno parala seguridad o bien un intento de acceder a información del sistema de carácter confidencial. Loseventos de este nivel se producen durante la actividad normal del sistema y, por lo general, noconstituyen un indicio de ataque.

• Desactivado: indica las firmas que están desactivadas en el archivo de contenido de Prevención deexploits.

No puede activar firmas cuya gravedad sea Desactivado.

Las reglas de protección de aplicaciones y su funcionamientoLas Reglas de protección de aplicaciones definen los ejecutables que se supervisan en busca de firmasde Prevención de exploits. Si un ejecutable no está incluido en esta lista, no se supervisa.

Las firmas de Prevención de exploits pertenecen a dos clases:

• Las firmas Desbordamiento del búfer ofrecen protección de la memoria mediante la supervisióndel espacio de memoria que utilizan los procesos.

• Las firmas API supervisan las llamadas de la API entre los procesos que se ejecutan en el modode usuario y el kernel.

El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones queestán protegidas. Prevención de amenazas muestras estas aplicaciones en la sección Reglas deprotección de aplicaciones de la configuración de Prevención de exploits.

Para mantener la protección al día, las actualizaciones del contenido de Prevención de exploitsreemplazan las reglas de protección de aplicaciones definidas por McAfee en la configuración dePrevención de exploits con las reglas de protección de aplicaciones más recientes.

Puede activar, desactivar, eliminar y cambiar el estado de inclusión de las reglas de protección deaplicaciones definidas por McAfee. Además, puede crear y duplicar sus propias reglas de protección deaplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones delcontenido.

Si la lista incluye reglas de protección de aplicaciones contradictorias, las reglas cuyo Estado deinclusión sea Excluir tienen prioridad sobre las configuradas con Incluir.

Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellasaplicaciones que se estén ejecutando actualmente en el sistema cliente. Este comportamiento esdistinto del de McAfee Host IPS.

En los sistemas gestionados, las reglas de protección de aplicaciones creadas en el Cliente de EndpointSecurity no se envían a McAfee ePO, y se pueden sobrescribir cuando el administrador despliega unadirectiva actualizada.

Configuración de las opciones de Prevención de exploitsPara impedir que las aplicaciones ejecuten código arbitrario en el sistema cliente, configure lasexclusiones, las firmas definidas por McAfee y las reglas de protección de aplicaciones de Prevenciónde exploits.




Puede configurar la acción de las firmas definidas por McAfee. Puede activar, desactivar, eliminar ycambiar el estado de inclusión de las reglas de protección de aplicaciones definidas por McAfee.También puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios querealice en estas reglas se conservarán tras las actualizaciones del contenido.

Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.






4 Haga clic en Prevención de exploits.

5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar loscambios o en Cancelar.


Exclusión de procesos de Prevención de exploitsSi un programa de confianza está bloqueado, cree una exclusión para excluirlo de Prevención deexploits. Puede excluir el proceso por el nombre del proceso, el módulo autor de la llamada, la API o elID de firma. También puede crear reglas de protección de aplicaciones para incluir o excluir procesosen la protección.






4 Haga clic en Prevención de exploits.

5 Verifique que Prevención de exploits está activada.

6 Realice una de las siguientes acciones:




Para... Haga esto...

Excluir procesos detodas las reglas.

1 En la sección Exclusiones, haga clic en Agregar.

2 En la página Agregar exclusión, configure las propiedades de la exclusión.


Especificar procesospara inclusión oexclusión en una reglade protección deaplicaciones definidapor el usuario.

1 Editar una regla definida por el usuario existente o agregar una reglade protección de aplicaciones.

2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clicen Agregar para agregar ejecutables que excluir o incluir.


4 Haga clic en Guardar dos veces y luego en Aplicar para guardar laconfiguración.

Exclusiones de Prevención de exploits y cómo funcionanUn falso positivo se produce cuando un comportamiento que es una parte normal de la rutina detrabajo de un usuario se interpreta como un ataque. Para evitar los falsos positivos, cree unaexclusión para dicho comportamiento.

Las exclusiones permiten reducir alertas de falsos positivos, minimizan el flujo de datos innecesarios ygarantizan que las alertas sean amenazas de seguridad reales.

Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma "Java - Creation ofsuspicious files in Temp folder". La firma indica que la aplicación Java está intentando crear un archivoen la carpeta Temp de Windows. Un evento activado por esta firma es motivo de alarma, puesto quese podría utilizar una aplicación Java para descargar malware en la carpeta Temp de Windows. En esteejemplo, podría tener sospechas razonables de que se ha instalado un troyano. No obstante, si elproceso crea normalmente archivos en la carpeta Temp, por ejemplo, guardar un archivo con laaplicación Java, cree una exclusión que permita esta acción.

Cuando se produce un evento de infracción de Prevención de exploits, el evento incluye un procesoasociado y un módulo autor de llamada, una API o una firma posibles. Si cree que el evento deinfracción es un falso positivo, puede agregar una exclusión que permita uno o varios de estosidentificadores.

En los sistemas gestionados, las exclusiones de Prevención de exploits creadas en el Cliente deEndpoint Security no se envían a McAfee ePO, y se pueden sobrescribir cuando el administradordespliega una directiva actualizada. Configurar exclusiones globales en la directiva Prevención deexploits en McAfee ePO.

Al especificar exclusiones, tenga en cuenta lo siguiente:

• Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante unconector lógico OR de manera que, si una exclusión coincide, el evento de infracción no se produce.

• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.

• Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.

• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombrede archivo o ruta, Hash MD5 o Firmante.

• Si especifica más de un identificador, se aplicarán todos los identificadores.

• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hashMD5 no se aplican al mismo archivo), la exclusión no es válida.



• Las exclusiones no distinguen mayúsculas de minúsculas.

• Se aceptan caracteres comodín para todo excepto para hash MD5.

• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas.Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.

Detección de programas potencialmente no deseadosPara proteger el equipo gestionado contra programas potencialmente no deseados, especifiquearchivos y programas que detectar en el entorno y luego active la detección.

Los programas potencialmente no deseados son programas de software que molestan o que puedenalterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmenteno deseados pueden ir incrustados en programas que los usuarios descargan intencionalmente. Losprogramas no deseados pueden incluir spyware, adware y marcadores.

1 Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajodemanda los detecten en la configuración de la Opciones.

2 Active la detección de programas no deseados y especifique acciones que emprender cuando seproducen detecciones en estas configuraciones:

• Configuración de Análisis en tiempo real

• Configuración de Análisis bajo demanda

Véase también Especificar programas potencialmente no deseados a detectar en la página 80Activar y configurar la detección de programas potencialmente no deseados y respuestas en lapágina 81Configure Análisis en tiempo real en la página 83Configurar Análisis bajo demanda en la página 90

Especificar programas potencialmente no deseados a detectarEspecifique programas adicionales para que los analizadores en tiempo real y bajo demanda los tratencomo programas no deseados en la configuración de Opciones.


Los analizadores detectan tanto los programas que especifique como los especificados en los archivosde AMCore content.








4 Haga clic en Opciones.

5 Desde Detecciones de programas potencialmente no deseados:• Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o

programa que tratar como programa potencialmente no deseado.

La Descripción aparece como nombre de detección cuando se produce una detección.

• Haga doble clic en el nombre o descripción de un programa potencialmente no deseado yaexistente para modificarlo.

• Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic enEliminar para quitarlo de la lista.


Activar y configurar la detección de programas potencialmente nodeseados y respuestasActive que los analizadores en tiempo real o bajo demanda detecten programas potencialmente nodeseados, y especifique respuestas cuando se encuentre alguno.



1 Configure la Análisis en tiempo real.

a Abra Cliente de Endpoint Security.

b Haga clic en Prevención de amenazas en la página principal Estado.


c Haga clic en Mostrar avanzado.

d Haga clic en Análisis en tiempo real.

e En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas nodeseados.

f En Acciones, configure respuestas a los programas no deseados.

2 Configure la Análisis bajo demanda.

a Abra Cliente de Endpoint Security.

b Haga clic en Prevención de amenazas en la página principal Estado.


c Haga clic en Mostrar avanzado.



d Haga clic en Análisis bajo demanda.

e Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):

• Seleccione Detectar programas no deseados.

• En Acciones, configure respuestas a los programas no deseados.

Véase también Configure Análisis en tiempo real en la página 83Configurar Análisis bajo demanda en la página 90Iniciar sesión como administrador en la página 26

Configurar parámetros de análisis de ajustes generalesPara especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, configurelos parámetros de la Opciones de Prevención de amenazas.


Esta configuración se aplicará a todos los análisis:

• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antesde eliminarlos automáticamente

• Nombres de detecciones que excluir de los análisis

• Programas potencialmente no deseados que detectar, como spyware y adware

• Comentarios de telemetría basados en McAfee GTI



2 Haga clic en Prevención de amenazas en la página Estado principal.

O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazasen la página Configuración.

3 Haga clic en Mostrar configuración avanzada.



Véase también Iniciar sesión como administrador en la página 26Configure Análisis en tiempo real en la página 83Configurar Análisis bajo demanda en la página 90



Cómo funciona McAfee GTISi activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurísticapara buscar archivos sospechosos.

El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos centralalojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, es posible que ladetección esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfeeLabs publique la actualización.

Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestradetectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtenganmás resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido enMedia de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en laconfiguración de Análisis en tiempo real y Análisis bajo demanda.

Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar informaciónde reputación de McAfee GTI en la configuración de Ajustes generales.

Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.

Configure Análisis en tiempo realEstos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación demensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso.


Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de másopciones de configuración de análisis.






4 Haga clic en Análisis en tiempo real.

5 Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.

6 Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintospara procesos de riesgo alto o bajo.

• Configuración estándar: configure los parámetros de análisis en la ficha Estándar.

• Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgobajo) y configure los parámetros de análisis para cada tipo de proceso.





Véase también Iniciar sesión como administrador en la página 26Configurar parámetros de análisis de ajustes generales en la página 82

Elección del momento en que analizar archivos con el analizador en tiemporealPuede especificar cuándo debe examinar archivos el analizador en tiempo real: al escribir en el disco,al leer el disco o cuando lo decida McAfee.

Al escribir en el disco ("análisis de escritura")

La opción de análisis de escritura no impide el acceso a los archivos, ni antes ni después del análisis, demodo que puede provocar que su sistema sea vulnerable a los ataques.

Cuando se selecciona el análisis de escritura, el analizador examina el archivo solo después de que sehaya escrito en el disco y cerrado. Un proceso puede llevar a cabo una operación de lectura, aperturao ejecución en el archivo antes de que el analizador realice un análisis de escritura, lo que podríaacarrear una infección. Las aplicaciones también podrían encontrarse con errores de tipoSHARING_VIOLATION si acceden al archivo tras escribirlo mientras se está realizando un análisis deescritura.

El analizador en tiempo real examina los archivos cuando:

• Se crean o modifican en la unidad de disco duro local.

• Se copian o mueven desde una unidad asignada a la unidad de disco duro local (si también estáactivada la opción En unidades de red).

• Se copian o mueven desde la unidad de disco duro local a una unidad asignada (si también estáactivada la opción En unidades de red).

Al leer el disco ("análisis de lectura")

Procedimiento recomendado: Active la opción de análisis de escritura para proporcionar seguridadcontra brotes.

Cuando se selecciona el análisis de lectura, el analizador impide el acceso a los archivos a menos quese determine que están limpios.

El analizador en tiempo real examina los archivos cuando:

• Se leen, abren o ejecutan desde la unidad de disco duro local.

• Se leen, abren o ejecuta desde unidades de red asignadas (si también está activada la opción Enunidades de red).

Dejar que McAfee decida

Procedimiento recomendado: Active esta opción para obtener la mejor protección y el mejorrendimiento.

Cuando se selecciona esta opción, el analizador en tiempo real emplea la lógica de confianza paraoptimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento mediante laelusión de análisis, lo que evita análisis innecesarios. Por ejemplo, McAfee analiza algunos programasy considera que son de confianza. Si McAfee verifica que no se han manipulado estos programas, elanalizador podría llevar a cabo un análisis reducido u optimizado.



Cómo funcionan los análisis en tiempo realEl analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador defiltro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez.

Cuando se producen detecciones, el analizador en tiempo real envía notificaciones a la interfaz delservicio.

Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.

Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la TiendaWindows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono dela aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windowspara una reinstalación.

El analizador utiliza estos criterios para determinar si se debe analizar un elemento:

• La extensión del archivo coincide con la configuración.

• La información del archivo no está en la caché de análisis global.

• El archivo no se ha excluido, ni tampoco analizado previamente.

Análisis de lectura

Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo:

1 El analizador bloquea la solicitud.

2 El analizador determina si el elemento se debe analizar o no.

• Si no es necesario analizar el archivo, el analizador lo desbloquea, almacena en caché suinformación y autoriza la operación.

• Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmaspresentes en el archivo de contenido de AMCore cargado actualmente.

• Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.

• Si el archivo contiene una amenaza, el analizador deniega el acceso a él y realiza la acciónconfigurada.

Por ejemplo, si la acción es limpiar el archivo, el analizador:

1 Utiliza la información en el archivo de AMCore Content cargado en ese momento paralimpiar el archivo.

2 Registra los resultados en el registro de actividades.

3 Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que sedebe realizar (limpiar o eliminar el archivo).

Análisis de escritura

El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado.



Cuando se selecciona el análisis de escritura y se escribe un archivo en el disco:

1 El analizador determina si el elemento se debe analizar o no.

a Si no es necesario analizar el archivo, el analizador almacena en caché su información yautoriza la operación.

b Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmaspresentes en el archivo de contenido de AMCore cargado actualmente.

• Si el archivo está limpio, el analizador almacena en caché el resultado.

• Si el archivo contiene una amenaza, el analizador realiza la acción configurada.

El analizador no deniega el acceso al archivo.

¿Cuándo se vacía la caché de análisis global?

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de EndpointSecurity o el sistema.



Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivoscuando:

• La configuración de Análisis en tiempo real cambia.

• Se agrega un archivo Extra.DAT.

• El sistema se reinicia en modo seguro.

Si el proceso está firmado por un certificado de confianza, el certificado firmante se almacena encaché y se conserva allí tras el reinicio del sistema. Es menos probable que el analizador analicearchivos a los que accedan procesos que estén firmados por un certificado de confianza almacenadoen caché, lo que permite evitar el análisis y mejorar el rendimiento.

Procedimientos recomendados: Reducción del impacto de los análisis entiempo real en los usuariosPara minimizar el impacto que tienen los análisis en tiempo real sobre un sistema, seleccione opcionesque eviten que el rendimiento del sistema se vea afectado y analice solo aquello que necesite.

Elección de las opciones de rendimiento

Algunas opciones de análisis pueden afectar negativamente al rendimiento del sistema. Por estemotivo, seleccione estas opciones únicamente si necesita analizar determinados elementos. Seleccioneo anule la selección de estas opciones en la configuración del Análisis en tiempo real.

• Analizar los procesos al iniciar servicios y actualizar contenido: vuelve a analizar todos los procesos que seencuentren actualmente en la memoria cada vez que:

• Se vuelven a activar los análisis en tiempo real.

• Los archivos de contenido se actualizan.

• El sistema se inicia.

• Se inicia el proceso McShield.exe.

Dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anulela selección de esta opción para reducir el tiempo de inicio del sistema.

• Analizar instaladores de confianza analiza los archivos MSI (instalados por msiexec.exe y firmados porMcAfee o Microsoft) o los archivos del servicio Instalador de confianza de Windows.

Anule la selección de esta opción para mejorar el rendimiento de los instaladores de aplicaciones deMicrosoft de gran tamaño.

Analice únicamente aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Poreste motivo, seleccione estas opciones solo si necesita analizar tipos específicos de archivos.Seleccione o anule la selección de estas opciones en la sección Qué analizar de la configuración deAnálisis en tiempo real.



• En unidades de red: analiza los recursos de las unidades de red asignadas.

Anule la selección de esta opción para mejorar el rendimiento.

• Abierto para copia de seguridad: Analiza los archivos al acceder mediante el software de copia deseguridad.

En la mayoría de los entornos no es necesario seleccionar esta configuración.

• Archivos de almacenamiento comprimidos: Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.

Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar elsistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído elarchivo de almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquiermalware.

Acerca de ScriptScanScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en buscade scripts maliciosos antes de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScriptpara su procesamiento. Si ScriptScan detecta un script malicioso, lo bloquea para que no se ejecute.

ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scriptsejecutados por wscript.exe o cscript.exe.

Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece laposibilidad de activar uno o más complementos de McAfee. Para que ScriptScan analice scripts:

• Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manerapredeterminada.

• El complemento debe estar activado en el navegador.

Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectaráscripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activarScriptScan para que pueda detectar scripts maliciosos.



• Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.

• Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.

Procedimientos recomendados: Exclusiones de ScriptScan

Los sitios web y las aplicaciones basadas en web que utilizan muchos scripts podrían experimentar unrendimiento deficiente cuando ScriptScan está activado. En lugar de desactivar ScriptScan, lerecomendamos especificar exclusiones de URL para los sitios web de confianza, tales como los de unaintranet, o las aplicaciones web que se sabe que son seguras.

Puede especificar subcadenas o URL parciales para las exclusiones de ScriptScan. Si una cadena deexclusión coincide con cualquier parte de la URL, entonces se excluye la URL.

Al crear exclusiones de URL:

• No se admiten caracteres comodín.

• Unas URL más completas tienen un mejor rendimiento.

• No incluya números de puerto.

• Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.

Cómo determinar la configuración de análisis para procesosSiga este procedimiento para determinar si debe configurar opciones distintas basadas en un tipo deproceso.



Configurar Análisis bajo demanda Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisiscompleto, Análisis rápido y Análisis con el botón derecho.


Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de másopciones de configuración de análisis.





2 Haga clic en Prevención de amenazas en la página Estado principal.

O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazasen la página Configuración.


4 Haga clic en Análisis bajo demanda.

5 Haga clic en una ficha para configurar ajustes para el análisis especificado.


• Análisis rápido

• Análisis con el botón derecho del ratón


Véase también Iniciar sesión como administrador en la página 26Configurar parámetros de análisis de ajustes generales en la página 82Configure, planifique y ejecute tareas de análisis en la página 95

Cómo funciona el análisis bajo demandaEl analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otroselementos en busca de malware que pueda haber infectado el equipo.

Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizarsistemas manualmente, a una hora programada o cuando el sistema arranca.

1 El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debeanalizar:

• La extensión del archivo coincide con la configuración.

• El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizadorutiliza la caché de análisis).

Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.

2 Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas demalware conocido que se encuentran en ese momento en los archivos de AMCore content.

• Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba elsiguiente elemento.

• Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.



Por ejemplo, si la acción es limpiar el archivo, el analizador:

1 Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiarel archivo.

2 Registra los resultados en el registro de actividades.

3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre delelemento y la acción que se ha realizado.

Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de laTienda Windows instalada, la marca como manipulada. Windows agrega la marca demanipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problemay remite a la Tienda Windows para una reinstalación.

3 Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, elanalizador continúa hasta que se han analizado todos los datos.


Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuandose carga un Extra.DAT.



Procedimientos recomendados: Reducción del impacto de los análisis bajodemanda en los usuariosPara minimizar el impacto que tienen los análisis bajo demanda sobre un sistema, seleccione opcionesque eviten que el rendimiento del sistema se vea afectado y analice solo aquello que necesite.

Analizar solo cuando el sistema está inactivo

La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los usuarios es ejecutarel análisis bajo demanda solo cuando el equipo esté inactivo.

Cuando se activa esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad deldisco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazasreanuda el análisis si el usuario no accede al sistema durante tres minutos.

Como opción, puede:

• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad delusuario.

• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.

Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los usuarios accedenmediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray paradeterminar si el sistema está inactivo. En sistemas a los que solo se accede mediante el escritorioremoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para evitar esteproblema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Archivos de programa\McAfee\Agent\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto.

Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la ficha Configuración dela Tarea de análisis.

Pausar análisis automáticamente

Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de labatería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completauna aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisisse reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se estáejecutando en modo de pantalla completa.

• No analizar si el sistema funciona mediante la batería

• No analizar si el sistema está en modo de presentación (disponible cuando se ha activado Analizar en cualquiermomento)

Seleccione estas opciones en la sección Rendimiento de la ficha Configuración de la Tarea de análisis.

Permitir que los usuarios aplacen los análisis

Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisisplanificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cadausuario puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, elusuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horasmáximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción a 0,el usuario puede seguir aplazando el análisis para siempre.

Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la ficha Configuración de laTarea de análisis.



Limitar la actividad de análisis con análisis incrementales

Utilice análisis incrementales, o reanudables, para limitar cuándo se produce la actividad del análisisbajo demanda pero analizar igualmente todo el sistema en varias sesiones. Para usar el análisisincremental, agregue un límite temporal al análisis planificado. El análisis se detiene cuando sealcanza el límite de tiempo. La siguiente vez que se inicie esta tarea, continuará a partir del punto dela estructura de archivos y carpetas en el que se haya detenido el análisis anterior.

Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la ficha Planificación de laTarea de análisis.

Configuración de la utilización del sistema

La utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante elanálisis. En los sistemas con actividad por parte del usuario final, establezca el valor de utilización delsistema en Baja.

Seleccione Utilización del sistema en la sección Rendimiento de la ficha Configuración de la Tarea deanálisis.

Analice únicamente aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Poreste motivo, seleccione estas opciones solo si necesita analizar tipos específicos de archivos.Seleccione o anule la selección de estas opciones en la sección Qué analizar de la ficha Configuraciónde la Tarea de análisis.

• Archivos que se han migrado al almacenamientoAlgunas soluciones de almacenamiento de datos sin conexión sustituyen los archivos con unarchivo stub. Cuando el analizador se encuentra con un archivo stub, que indica que se ha migradoel archivo, el analizador restaura el archivo al sistema local antes de proceder con el análisis. Elproceso de restauración puede afectar negativamente al rendimiento del sistema.

Anule la selección de esta opción a menos que necesite específicamente analizar los archivos delalmacenamiento.

• Archivos de almacenamiento comprimidosAunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar elsistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído elarchivo de almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquiermalware.

Procedimiento recomendado: Dado que el análisis de archivos de almacenamiento comprimidospuede afectar negativamente al rendimiento del sistema, anule la selección de esta opción paramejorar dicho rendimiento.

Véase también Configurar Análisis bajo demanda en la página 90Configure, planifique y ejecute tareas de análisis en la página 95

Funcionamiento de la utilización del sistemaEl analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisisy la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite al



sistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibedurante el proceso de análisis.

Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto deaplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuariofinal. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finalizamás rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y pocaactividad del usuario final.

Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.

Tabla 3-2 Configuración de procesos predeterminada

Configuración deprocesos de Prevenciónde amenazas

Esta opción... parámetroWindows SetPriority

Bajo Proporciona un rendimiento mejorado del restode las aplicaciones en ejecución. Seleccioneesta opción para sistemas con actividad delusuario final.

Bajo

Por debajo de lo normal Establece la utilización del sistema para elanálisis en el valor predeterminado de McAfeeePO.

Por debajo de lonormal

Normal (predeterminado) Permite que el análisis finalice más rápido.Seleccione esta opción para sistemas que tienengrandes volúmenes y poca actividad del usuariofinal.

Normal

Cómo funciona el análisis de Almacenamiento remotoPuede configurar el analizador bajo demanda para que analice el contenido de los archivosgestionados por Almacenamiento remoto.

El Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuandoresulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivospertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta.Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recuperaautomáticamente los datos del dispositivo de almacenamiento.

Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajodemanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando elanalizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes delanálisis.

Para obtener más información, consulte Qué es el Almacenamiento remoto.

Configure, planifique y ejecute tareas de análisis Puede planificar las tareas Análisis completo y Análisis rápido, o crear tareas de análisis personalizadasdesde Cliente de Endpoint Security en la configuración de Ajustes generales.




http://technet.microsoft.com/en-us/library/cc759742(v=ws.10).aspx






5 Configure los ajustes de la tarea de análisis en la página.


Crear una tarea deanálisis personalizada.


2 Introduzca el nombre, seleccione Análisis personalizado en la listadesplegable y haga clic en Siguiente.

3 Configure los ajustes de la tarea de análisis y haga clic en Aceptar paraguardar la tarea.

Cambiar una tarea deanálisis.

• Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptarpara guardarla.

Eliminar una tarea deanálisis personalizada.


Crear una copia de unatarea de análisis.


2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar paraguardar la tarea.

Cambiar la planificaciónde una tarea de Análisiscompleto o Análisis rápido.

1 Haga doble clic en Análisis completo o Análisis rápido.

2 Haga clic en la ficha Planificación, modifique la planificación y haga clicen Aceptar para guardar la tarea.

Solo puede configurar parámetros de tarea de Análisis completo y Análisisrápido en sistemas autogestionados.

De forma predeterminada, la ejecución del Análisis completo estáplanificada el miércoles a las 12 de la noche. La ejecución del Análisisrápido está planificada cada día a las 19 horas. Las planificaciones estánactivadas.

Ejecutar una tarea deanálisis.





Véase también Iniciar sesión como administrador en la página 26Configurar Análisis bajo demanda en la página 90Ejecución de un Análisis completo o un Análisis rápido en la página 56



Referencia de la interfaz del Cliente de Endpoint Security:Prevención de amenazas


Contenido Página Poner en cuarentena Prevención de amenazas: Protección de acceso Prevención de amenazas: Prevención de exploits Prevención de amenazas: Análisis en tiempo real Prevención de amenazas: Análisis bajo demanda Ubicaciones de análisis McAfee GTI Acciones Agregar exclusión o Editar exclusión Prevención de amenazas: Opciones Revertir contenido de AMCore

Página Poner en cuarentenaAdministre los elementos en cuarentena.Tabla 3-3 Opciones

Opción Definición

Eliminar Elimina los eventos seleccionados de la cuarentena.Los archivos eliminados no se pueden restaurar.

Restaurar Restaura elementos de la cuarentena.Endpoint Security restaura los elementos a su ubicación original y los quita de lacuarentena.

Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a lacuarentena inmediatamente.

Volver a analizar Vuelve a analizar elementos en la cuarentena.Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicaciónoriginal y lo quita de la cuarentena.

Encabezados de lascolumnas

Ordena la lista de cuarentena por...

Nombre de detección Nombre de la detección.

Tipo Tipo de amenaza; por ejemplo, Troyano o Adware.

Hora de cuarentena La cantidad de tiempo que el elemento ha estado en cuarentena.

Número de objetos El número de objetos en la detección.

Versión de AMCore Content El número de versión de AMCore Content que identifica la amenaza.

Volver a analizar estado El estado del nuevo análisis, si el elemento se ha vuelto a analizar:• Limpio: el nuevo análisis no ha detectado amenazas.

• Infectado: Endpoint Security ha detectado una amenaza al volver aanalizar.

Véase también Administrar elementos en cuarentena en la página 60Nombres de detecciones en la página 62Repetición de análisis de elementos en cuarentena en la página 63

Mediante Prevención de amenazasReferencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas 3


Prevención de amenazas: Protección de accesoProteja los puntos de acceso de su sistema de acuerdo con las reglas configuradas. Protección deacceso compara una acción solicitada con una lista de reglas configuradas y actúa conforme a la regla.

Procedimiento recomendado: Para obtener más información sobre la creación de reglas deProtección de acceso para protegerse frente a ransomware, consulte PD25203.

Tabla 3-4 Opciones


PROTECCIÓN DE ACCESO Activar protección de acceso Activa la función Protección de acceso.


Sección Opción Descripción

Exclusiones Permite el acceso a los procesos especificados, también llamados ejecutables,para todas las reglas.• Agregar: agrega un proceso a la lista de exclusión.

• Hacer doble clic en un elemento: Modifica el elemento seleccionado.

• Eliminar: Elimina el elemento seleccionado.

• Duplicar: Crea una copia del elemento seleccionado.

Reglas Configura reglas de Protección de acceso.Puede activar, desactivar y cambiar las reglas definidas por McAfee, pero nopuede eliminar estas reglas.

• Agregar: crea una regla personalizada y la agrega a la lista.




• (Solo) Bloquear: bloquea los intentos de acceso sin registro.

• (Solo) Informar: registra los intentos de acceso sin bloquearlos.

• Bloquear e Informar: bloquea y registra los intentos de acceso.

Procedimiento recomendado: Si no se conoce la repercusión total de unaregla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquear losintentos de acceso. Para determinar si se debe bloquear el acceso, supervise losregistros e informes.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.

Véase también Configuración de reglas de Protección de acceso definidas por McAfee en la página 68Configuración de las reglas de Protección de acceso definidas por el usuario en la página 72Agregar exclusión o Editar exclusión en la página 108Agregar regla o Editar regla en la página 98Reglas de Protección de acceso definidas por McAfee en la página 69

Agregar regla o Editar reglaAgregue o edite reglas de protección de acceso definidas por el usuario.

3 Mediante Prevención de amenazasReferencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas


https://kc.mcafee.com/corporate/index?page=content&id=PD25203

Tabla 3-6 Opciones


Opciones Nombre Especifica o indica el nombre de la regla. (Obligatorio)

Acción Especifica acciones para la regla.• (Solo) Bloquear: bloquea los intentos de acceso sin registro.

• (Solo) Informar: advierte sobre los intentos de acceso sin bloquear.

• Bloquear e informar: Bloquea y registra los intentos de acceso.

Procedimiento recomendado: Si no se conoce la repercusión total de unaregla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquearlos intentos de acceso. Para determinar si se debe bloquear el acceso, superviselos registros e informes.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primerafila.


Ejecutables Especifica ejecutables para la regla.• Agregar: crea un nuevo ejecutable y lo agrega a la lista.




• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entreIncluir y Excluir.

Nombres deusuario

Especifica los nombres de usuario a los que se aplica la regla (solo para reglasdefinidas por el usuario).• Agregar: Selecciona un nombre de usuario y lo añade a la lista.




• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entreIncluir y Excluir.

Subreglas Configura subreglas (solo para reglas definidas por el usuario).• Agregar: Crea una subregla y la agrega a la lista.




Notas Proporciona más información sobre el elemento.

Véase también Agregar exclusión o Editar exclusión en la página 108Agregar Nombre de usuario o Editar Nombre de usuario en la página 100Agregar subregla o Editar subregla en la página 100



Agregar Nombre de usuario o Editar Nombre de usuarioAgregue o edite el usuario al que se aplica la regla (solo para reglas definidas por el usuario).

Tabla 3-7 Opciones

Opción Definición

Nombre Especifica el nombre de usuario al que se aplica la regla.Utilice el siguiente formato para especificar el usuario:

• Usuario local. Entre las entradas válidas se incluyen:<nombre_máquina>\<nombre_usuario_local>

.\<nombre_usuario_local>

.\administrator (para el administrador local)

• Usuario del dominio: <nombre dominio>\<nombre_usuario dominio>

• Sistema local: Local\Sistema especifica la cuenta de NT AUTHORITY\System delsistema.

Estado deinclusión

Determina el estado de inclusión para el usuario.• Incluir: Activa la regla si el usuario especificado ejecuta el ejecutable que infringe una

subregla.

• Excluir: No activa la regla si el usuario especificado ejecuta el ejecutable que infringeuna subregla.

Véase también Agregar regla o Editar regla en la página 98

Agregar subregla o Editar subreglaAgregue o edite subreglas de Protección de acceso definidas por el usuario.

Tabla 3-8 Opciones

Opción Definición

Nombre Especifica el nombre de la subregla.

Tipo desubregla

Especifica el tipo de subregla.Al cambiar el tipo de subregla, se eliminan las entradas definidas con anterioridad en latabla de destinos.

• Archivos: protege un archivo o directorio. Por ejemplo, cree una regla personalizadapara bloquear o informar si se intenta eliminar una hoja de Excel con informaciónconfidencial.

• Clave de Registro: protege la clave especificada. La clave de Registro es el contenedordel valor de Registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

• Valor de Registro: Protege el valor especificado. Los valores de registro se almacenan enlas claves de registro y se hace referencia a ellos por separado de las claves deregistro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.

• Procesos: protege los procesos especificados. Por ejemplo, cree una reglapersonalizada para bloquear intentos de operaciones de un proceso o para informarsobre ello.

• Servicios: protege el servicio especificado. Por ejemplo, cree una regla personalizadapara impedir que se pueda detener o iniciar un servicio.




Opción Definición

Operaciones Indica las operaciones permitidas con el tipo de subregla. Debe seleccionar comomínimo una operación para aplicar a la subregla.

Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, noseleccione la operación Leer.

Archivos:

• Cambiar atributos ocultos o de solo lectura: bloquea o informa de los cambios de estosatributos de los archivos en la carpeta especificada.

• Crear: bloquea o informa de la creación de archivos en la carpeta especificada.

• Eliminar: bloquea o informa de la eliminación de archivos en la carpeta especificada.

• Ejecutar: bloquea o informa de la ejecución de archivos en la carpeta especificada.

• Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos delos archivos en la carpeta especificada.

• Lectura: bloquea o informa del acceso de lectura a los archivos especificados.

• Cambiar nombre: bloquea el acceso destinado a cambiar el nombre a los archivosespecificados o informa de él.




Opción Definición

Si se especifica el destino del Archivo de destino, Cambiar nombre es la única operaciónválida.

• Escritura: Bloquea o informa del acceso de escritura a los archivos especificados.

Clave de Registro:

• Escritura: bloquea o informa del acceso de escritura a la clave especificada.

• Crear: bloquea o informa de la creación de la clave especificada.

• Eliminar: bloquea o informa de la eliminación de la clave especificada.

• Lectura: bloquea o informa del acceso de lectura a la clave especificada.

• Enumerar: bloquea o informa de la enumeración de las subclaves de la clave deRegistro especificada.

• Cargar: bloquea o informa de la posibilidad de descargar la clave de Registroespecificada y sus subclaves del Registro.

• Sustituir: bloquea o informa de la posibilidad de reemplazar la clave de Registroespecificada y sus subclaves con otro archivo.

• Restaurar: bloquea o informa de la posibilidad de guardar información de Registro enun archivo especificado y copia la clave especificada.

• Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos dela clave de Registro especificada y de sus subclaves.

Valor de Registro:

• Escritura: bloquea o informa del acceso de escritura al valor especificado.

• Crear: bloquea o informa de la creación del valor especificado.

• Eliminar: bloquea o informa de la eliminación del valor especificado.

• Lectura: bloquea o informa del acceso de lectura al valor especificado.

Procesos:

• Cualquier acceso: Bloquea o informa del inicio de un proceso con cualquier acceso.

• Crear subproceso: Bloquea o informa del inicio de un proceso con acceso para crear unsubproceso.

• Modificar: Bloquea o informa del inicio de un proceso con acceso para modificar.

• Finalizar: Bloquea o informa del inicio de un proceso con acceso para terminar.

• Ejecutar: bloquea la ejecución del ejecutable de destino especificado o informa de ella.Debe agregar, al menos, un archivo ejecutable de destino a la subregla.




Opción Definición

En el caso de la operación Ejecutar, se genera un evento cuando se intenta ejecutar elproceso de destino. En el caso de las demás operaciones, se genera un eventocuando el destino está abierto.

Servicios:

• Iniciar: bloquea el inicio del servicio o informa de él.

• Detener: bloquea la detención del servicio o informa de ella.

• Pausar: bloquea la puesta en pausa del servicio o informa de ella.

• Continuar: bloquea la continuación del servicio tras una pausa o informa de ella.

• Crear: bloquea la creación del servicio o informa de ella.

• Eliminar: bloquea la eliminación del servicio o informa de ella.

• Activar perfil de hardware: bloquea la activación del perfil de hardware del servicio oinforma de ella.

• Desactivar perfil de hardware: bloquea la desactivación del perfil de hardware del servicio oinforma de ella.

• Modificar modo de inicio: bloquea la modificación del modo de inicio (Arranque, Sistema,Automático, Manual, Desactivado) del servicio o informa de ella.

• Modificar información de inicio de sesión: bloquea la modificación de la información de iniciode sesión del servicio o informa de ella.

Destinos • Agregar: especifica los destinos de la regla. Los destinos varían según la selección detipo de regla. Debe añadir, al menos, un destino a la subregla.Haga clic en Agregar, seleccione el estado de inclusión e introduzca o seleccione eldestino que va a incluir o excluir.



Véase también Agregar regla o Editar regla en la página 98Destinos en la página 104Agregar exclusión o Editar exclusión en la página 108



DestinosEspecifican la definición y el estado de inclusión para un destino.

Tabla 3-9 Opciones


Destinos Determina si el destino es una coincidencia positiva para la subregla.También especifica el estado de inclusión para el destino.• Incluir: indica que la subregla puede coincidir con el destino especificado.

• Excluir: indica que la subregla no debe coincidir con el destinoespecificado.

Agregue un destino mediante las directivas Incluir o Excluir.

Si haseleccionado eltipo de subreglade Archivos...

Especifica el nombre del archivo, el nombre de la carpeta, la ruta o el tipode unidad de destino para una subregla de Archivos.• Ruta de archivo: Busque y seleccione el archivo seleccionado.

• Archivo de destino: Busque y seleccione el nombre o la ruta del archivo dedestino para realizar la operación Renombrar.Si se ha seleccionado el destino del archivo de destino, (solo) la opciónRenombrar debe estar seleccionada.

• Tipo de unidad: seleccione el tipo de unidad de destino en la listadesplegable:

• Extraíble: Archivos de una unidad USB o de otra unidad extraíbleconectada al puerto USB, incluidas las que disponen de Windows To





Go. En este tipo de unidad, no se incluyen los archivos de un CD,DVD o disquete.

Al bloquear este tipo de unidad, también se bloquean las unidadescon Windows To Go.

• Red: Archivos de la red compartida

• Fija: archivos del disco duro local o de otro disco duro fijo

• CD/DVD: archivos de un CD o DVD

• Disquete: archivos de una unidad de disquete

Puede utilizar ?, * y ** como caracteres comodín.

Prácticas recomendadas de destino de subregla de archivos

Por ejemplo, para proteger:

• Un archivo o carpeta llamado c:\testap, utilice un destino c:\testap o c:\testap\

• El contenido de una carpeta, utilice el asterisco como carácter comodín(c:\testap\*)

• El contenido de una carpeta y de sus subcarpetas, utilice dos asteriscos(c:\testap\**)

Se admiten las variables de entorno del sistema. Las variables de entornose pueden especificar en uno de estos formatos:• $(EnvVar) - $(SystemDrive), $(SystemRoot)• %EnvVar% - %SystemRoot%, %SystemDrive%No todas las variables de entorno definidas por el sistema son accesiblesmediante la sintaxis $(var), específicamente las que contienen loscaracteres or. Para evitar este problema, puede usar la sintaxis %var%.

No se admiten variables de entorno del usuario.





Si haseleccionado eltipo de subreglaClave de Registro...

Define las claves de registro mediante claves raíz. Se admiten estasclaves raíz:• HKLM o HKEY_LOCAL_MACHINE

• HKCU o HKEY_CURRENT_USER

• HKCR o HKEY_CLASSES_ROOT

• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/SYSTEM/ControlSet00X

• HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y aHKLM/Software/Wow6432Node solo en sistemas de 64 bits

• HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y aHKCU/Software/Wow6432Node solo en sistemas de 64 bits

• HKULM tratada como HKLM y HKCU

• HKULMS tratada como HKLMS y HKCUS

• HKALL tratada como HKLM y HKU

Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical)como carácter de escape.

Prácticas recomendadas de destino de subregla de clave deregistro


• Una clave del registro denominada HKLM\SOFTWARE\testap, utilice undestino HKLM\SOFTWARE\testap o HKLM\SOFTWARE\testap\

• El contenido de una clave de registro, utilice el asterisco como caráctercomodín (HKLM\SOFTWARE\testap\*)

• El contenido de una clave de registro y de sus subclaves, utilice dosasteriscos (HKLM\SOFTWARE\testap\**)

• Las claves de registro y los valores de una clave de registro, permitenla operación Escribir





Si haseleccionado eltipo de subreglaValor de Registro...

Define los valores de registro mediante claves raíz. Se admiten estasclaves raíz:• HKLM o HKEY_LOCAL_MACHINE

• HKCU o HKEY_CURRENT_USER

• HKCR o HKEY_CLASSES_ROOT

• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/SYSTEM/ControlSet00X

• HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y aHKLM/Software/Wow6432Node solo en sistemas de 64 bits

• HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y aHKCU/Software/Wow6432Node solo en sistemas de 64 bits

• HKULM tratada como HKLM y HKCU

• HKULMS tratada como HKLMS y HKCUS

• HKALL tratada como HKLM y HKU

Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical)como carácter de escape.

Prácticas recomendadas de destino de subregla de valor deregistro


• Un valor de registro llamado HKLM\SOFTWARE\testap, utilice un destinoHKLM\SOFTWARE\testap

• Los valores de registro de una clave de registro, utilice un asteriscocomo carácter comodín (HKLM\SOFTWARE\testap\*)

• Los valores de registro de una clave de registro y de sus subclaves,utilice dos asteriscos (HKLM\SOFTWARE\testap\**)





Si haseleccionado eltipo de subreglade Procesos...

Especifica el nombre del archivo o la ruta del proceso, el hash MD5 o elfirmante de destino para una subregla de Procesos.Puede utilizar ?, *, y ** como caracteres comodín para todos exceptopara hash MD5.

Prácticas recomendadas de destino de subregla de procesos


• Un proceso denominado c:\testap.exe, utilice una ruta o un nombre dearchivo de destino c:\testap.exe

• Todos los procesos de una carpeta, utilice el asterisco como caráctercomodín (c:\testap\*)

• Todos los procesos de una carpeta y de sus subcarpetas, utilice dosasteriscos (c:\testap\**)

Si haseleccionado eltipo de subreglaServicios...

Especifica el nombre del servicio o el nombre para mostrar de una reglade Servicios.• Nombre registrado del servicio: contiene el nombre del servicio de la clave de

Registro correspondiente situada en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.

• Nombre para mostrar del servicio: contiene el nombre para mostrar del serviciodel valor de Registro DisplayName situado en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nombre_del_servicio>\. Setrata del nombre que aparece en el Administrador de servicios.

Por ejemplo, "Adobe Acrobat Update Service" es el nombre para mostrarcorrespondiente al nombre del servicio "AdobeARMservice".

Puede utilizar ? y * como caracteres comodín.

Procedimientos recomendados para destinos de subreglas deServicios

Por ejemplo, para proteger todos los servicios de Adobe por nombre paramostrar, utilice el carácter comodín asterisco: Adobe*

Véase también Agregar subregla o Editar subregla en la página 100

Agregar exclusión o Editar exclusiónAgregue o edite un ejecutable que se deba excluir en el nivel de la directiva, o bien incluir o excluir enel nivel de la regla.

Al especificar exclusiones e inclusiones, tenga en cuenta lo siguiente:

• Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.


• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hashMD5 no se aplican al mismo archivo), la exclusión o inclusión no es válida.

• Las exclusiones e inclusiones no distinguen mayúsculas de minúsculas.




Tabla 3-10 Opciones

Opción Definición

Nombre Especifica el nombre que le da al ejecutable.Este campo es obligatorio junto con, al menos, otro campo: Nombre de archivo o ruta, HashMD5 o Firmante.

Estado deinclusión

Determina el estado de inclusión del ejecutable.• Incluir: Activa la regla si el ejecutable infringe una subregla.

• Excluir: No activa la regla si el ejecutable infringe una subregla.

Estado de inclusión solo aparece cuando se agrega un ejecutable a una regla o al destinode la subregla de Procesos.

Nombre dearchivo o ruta

Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.Haga clic en Examinar para seleccionar el ejecutable.

La ruta del archivo puede incluir caracteres comodín.

Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).

Firmante Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañadodesde que se firmó con un hash criptográfico.Si esta opción está activada, especifique:

• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.

• Firmado por: permite solo los archivos firmados por el firmante de procesoespecificado.Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamentecon las entradas en el campo adjunto, incluidos comas y espacios.

El firmante del proceso aparece en el formato correcto en los eventos del Registrode eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazasde McAfee ePO. Por ejemplo:

C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,CN=MICROSOFT WINDOWS

Para obtener el nombre distintivo del firmante de un ejecutable:

1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.

2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.

3 En la ficha General haga clic en Ver certificado.

4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo del firmanteaparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo delfirmante:

• CN = Mozilla Corporation

• OU = Release Engineering

• O = Mozilla Corporation

• L = Mountain View

• S = California

• C = US


Véase también Agregar regla o Editar regla en la página 98



Prevención de amenazas: Prevención de exploitsActive y configure Prevención de exploits para impedir que los exploits de desbordamiento del búferejecuten código arbitrario en el equipo.

Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.

Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en laconfiguración de la directiva.

Tabla 3-11 Opciones


PREVENCIÓN DE EXPLOITS Activar Prevención de exploits Activa la función Prevención de exploits.

Si no se activa esta opción, el sistema quedarádesprotegido ante los ataques de malware.



Prevencióngenérica de laescalación deprivilegios

Activarprevencióngenérica de laescalación deprivilegios

Activa la compatibilidad con la prevención genérica de la escalación deprivilegios (GPEP, por sus siglas en inglés). (Opción desactivada de manerapredeterminada)GPEP usa firmas GPEP en el contenido de Prevención de exploits paraofrecer cobertura a los exploits de la escalación de privilegios en el modokernel y el modo de usuario.

Al activar esta opción se eleva la gravedad de la firma de desbordamientodel búfer GPEP 6052 a Alta, de modo que se bloquee o informe,dependiendo de la acción especificada.

Debido a que GPEP podría generar informes de falsos positivos, esta opciónestá desactivada de forma predeterminada.

Prevención deejecución dedatos deWindows

Activar laPrevenciónde ejecuciónde datos deWindows

Activa la integración de la Prevención de ejecución de datos (DEP, por sussiglas en inglés) de Windows. (Opción desactivada de manerapredeterminada)Seleccione esta opción para:

• Activar DEP para aplicaciones de 32 bits en la lista de protección deaplicaciones de McAfee, si aún no está activada, y utilizarla en lugar deprotección genérica contra desbordamiento del búfer (GBOP).La validación del autor de la llamada y la supervisión de API dirigidasiguen implementadas.

• Supervisar las detecciones de DEP en aplicaciones de 32 bits con DEPactivado.

• Supervisar las detecciones de DEP en aplicaciones de 64 bits de la lista deprotección de aplicaciones de McAfee.

• Registrar las detecciones de DEP y enviar un evento a McAfee ePO.

La desactivación de esta opción no afecta a ningún proceso que tenga laPrevención de ejecución de datos activada como resultado de esta directivade Windows.






Exclusiones Especifica el proceso, el módulo autor de llamada, la API o la firma que sedeben excluir.Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.

• Agregar: crea una exclusión y la agrega a la lista.




Firmas Cambia la acción (Bloquear o Informar) de las firmas de Prevención de exploitsdefinidas por McAfee.No se puede cambiar la gravedad ni crear firmas.

Para desactivar la firma, anule la selección de Bloquear e Informar.

Mostrarfirmas cuyagravedad sea

Filtra la lista de Firmas por gravedad o estado de desactivación:• Alta

• Media

• Baja

• Informativa

• Desactivado

No puede activar firmas cuya gravedad sea Desactivado.

(Solo)Bloquear

Bloquea el comportamiento que coincida con la firma sin registrarlo.

(Solo)Informar

Registra el comportamiento que coincida con la firma sin bloquearlo.

No se permite la selección de solo Informar para el ID de firma 9990.

Bloquear eInformar

Bloquea y registra el comportamiento que coincida con la firma.

Reglas deprotección deaplicaciones

Configura reglas de protección de aplicaciones.• Agregar: crea una regla de protección de aplicaciones y la agrega a la lista.


• Eliminar: Elimina el elemento seleccionado. (Solo reglas definidas por elusuario)

• Duplicar: Crea una copia del elemento seleccionado. (Solo reglas definidaspor el usuario)

Véase también Configuración de las opciones de Prevención de exploits en la página 77Agregar exclusión o Editar exclusión en la página 112



Agregar exclusión o Editar exclusiónAgregue o edite exclusiones de Prevención de exploits.


• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.

• Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.

• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombrede archivo o ruta, Hash MD5 o Firmante.




• Se aceptan caracteres comodín para todo excepto para hash MD5 e ID de firma.

• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas.Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.

Tabla 3-13 Opciones


Proceso Nombre Especifica el nombre del proceso que se debe excluir. Prevención deexploits excluye el proceso, sea cual sea su ubicación.Este campo es obligatorio junto con al menos otro campo: Nombre de archivo oruta, Hash MD5 o Firmante.


Especifica la ruta o nombre de archivo del ejecutable que se va a agregar oeditar.Haga clic en Examinar para seleccionar el ejecutable.






Firmante Activar comprobación de firma digital : Garantiza que el código no se ha alterado odañado desde que se firmó con un hash criptográfico.Si esta opción está activada, especifique:

• Permitir cualquier firma: permite los archivos firmados por cualquier firmantede proceso.

• Firmado por: permite solo los archivos firmados por el firmante de procesoespecificado.Se requiere un nombre distintivo del firmante (SDN) que debe coincidirexactamente con las entradas en el campo adjunto, incluidos comas yespacios.

El firmante del proceso aparece en el formato correcto en los eventos delRegistro de eventos de Cliente de Endpoint Security y en el Registro deeventos de amenazas de McAfee ePO. Por ejemplo:

C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,OU=MOPR, CN=MICROSOFT WINDOWS





4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo delfirmante aparece a continuación. Firefox, por ejemplo, tiene este nombredistintivo del firmante:





• S = California

• C = US

Módulo autorde llamada

Nombre Especifica el nombre del módulo (archivo DLL) que carga un ejecutable quees propietario de la memoria grabable que realiza la llamada.Este campo es obligatorio junto con al menos otro campo: Nombre de archivo oruta, Hash MD5 o Firmante.












C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,OU=MOPR, CN=MICROSOFT WINDOWS










• S = California

• C = US

API Nombre Especifica el nombre de la API (interfaz de programación de aplicaciones) ala que se llama.

Firmas ID de firma Especifica identificadores de firmas de Prevención de exploits (separadospor comas).


Véase también Exclusión de procesos de Prevención de exploits en la página 78

Agregar regla o Editar reglaAgregue o edite reglas de protección de aplicaciones definidas por el usuario.

Tabla 3-14 Opciones


Nombre Especifica o indica el nombre de la regla. (Obligatorio)

Estado Activa o desactiva el elemento.





Estado deinclusión

Especifica el estado de inclusión del ejecutable.• Incluir: activa la regla si se ejecuta un ejecutable de la lista Ejecutables.

• Excluir: no activa la regla si se ejecuta un ejecutable de la lista Ejecutables.

Ejecutables Especifica ejecutables para la regla.• Agregar: agrega un ejecutable a la lista.




Notas Proporciona más información sobre el elemento.Para las reglas de Protección de aplicaciones definidas por McAfee, este campocontiene el nombre del ejecutable que se está protegiendo.

Agregar ejecutable o Editar ejecutableAgregue o edite un ejecutable en una regla de Protección de aplicaciones.

Al configurar ejecutables, tenga en cuenta lo siguiente:



• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hashMD5 no se aplican al mismo archivo), la definición del ejecutable no es válida.

Tabla 3-15 Opciones


Propiedades Nombre Especifica el nombre del proceso.Este campo es obligatorio junto con al menos otro campo: Nombre de archivo oruta, Hash MD5 o Firmante.






















• S = California

• C = US


Prevención de amenazas: Análisis en tiempo realActive y configure el análisis en tiempo real.

Tabla 3-16 Opciones


ANÁLISIS ENTIEMPO REAL

Activar análisis entiempo real

Activa la función Análisis en tiempo real.(Opción activada de forma predeterminada)

Activar análisis entiempo real al iniciarel sistema

Activa la función Análisis en tiempo real cada vez que se inicia elequipo.(Opción activada de forma predeterminada)





Especificar el númeromáximo de segundospara el análisis de losarchivos

Limita el análisis de cada archivo al número especificado desegundos.(Opción activada de forma predeterminada)

El valor predeterminado es 45 segundos.

Si un análisis excede el límite de tiempo, se detiene sin problemas yse registra un mensaje.

Analizar sectores dearranque

Analiza el sector de arranque del disco.(Opción activada de forma predeterminada)

Procedimiento recomendado: Anule la selección del análisis delsector de arranque cuando un disco contenga un sector dearranque único o anómalo que no se pueda analizar.

Analizar los procesosal iniciar servicios yactualizar contenido

Vuelve a analizar todos los procesos que se encuentren en lamemoria cada vez que:• Se vuelven a activar los análisis en tiempo real.

• Los archivos de contenido se actualizan.

• El sistema se inicia.

• Se inicia el proceso McShield.exe.


Procedimiento recomendado: Dado que algunos programas oejecutables se inician automáticamente al iniciar el sistema, anulela selección de esta opción para reducir el tiempo de inicio delsistema.

Cuando se activa el analizador en tiempo real, este analiza siempretodos los procesos cuando se ejecutan.

Analizar instaladoresde confianza

Analiza los archivos MSI (instalados por msiexec.exe y firmados porMcAfee o Microsoft) o los archivos del servicio Instalador deconfianza de Windows.(Opción desactivada de forma predeterminada)

Procedimiento recomendado: Anule la selección de esta opciónpara mejorar el rendimiento de los instaladores de aplicaciones deMicrosoft de gran tamaño.

Analizar al copiarentre carpetas locales

Analiza los archivos cuando el usuario copia de una carpeta local aotra.Si esta opción está:• Desactivada: solo se analizan los elementos de la carpeta de

destino.

• Desactivada: se analizan los elementos tanto en la carpeta deorigen (lectura) como en la de destino (escritura).






Analizar al copiardesde carpetas de redy unidades extraíbles

Analiza los archivos cuando el usuario los copia desde una carpetade red o una unidad USB extraíble.

Si no se selecciona esta opción, el sistema será vulnerable a losataques de malware.

(Opción activada de forma predeterminada)

McAfee GTI Activa y define la configuración de McAfee GTI.

ScriptScan Activar ScriptScan Activa el análisis de scripts JavaScript y VBScript en InternetExplorer para impedir que se ejecuten scripts no deseados.(Opción desactivada de forma predeterminada)

Si ScriptScan está desactivado al iniciar Internet Explorer y, acontinuación, se activa, no detectará scripts maliciosos en esainstancia de Internet Explorer. Deberá reiniciar Internet Explorertras activar ScriptScan para que pueda detectar scripts maliciosos.

Excluir estas URL olas URL parciales

Especifica exclusiones de ScriptScan por URL.Agregar: agrega una URL a la lista de exclusiones.

Eliminar : quita una URL de la lista de exclusiones.

Las URL no pueden incluir caracteres comodín. No obstante, seexcluirá también cualquier URL que contenga una cadena de unaURL excluida. Por ejemplo, si se excluye la URL msn.com, tambiénse excluirán las siguientes URL:• http://weather.msn.com

• http://music.msn.com



Mensajería deusuario dedetección deamenazas

Mostrar la ventana deanálisis en tiempo real a losusuarios cuando se detectauna amenaza

Muestra la página de Análisis en tiempo real con el mensajeespecificado a los usuarios de los clientes cuando se produceuna detección.(Opción activada de forma predeterminada)

Cuando se selecciona esta opción, los usuarios pueden abriresta página desde la página Analizar ahora en cualquiermomento en que la lista de detecciones incluya al menosuna amenaza.

La lista de detecciones del análisis en tiempo real se borracuando se reinicia el servicio de Endpoint Security o elsistema.

Mensaje Especifica el mensaje que se debe mostrar a los usuarios delos clientes cuando se produce una detección.El mensaje predeterminado es: McAfee Endpoint Security hadetectado una amenaza.

Configuración deprocesos

Usar la configuraciónEstándar para todos losprocesos

Aplica la misma configuración a todos los procesos cuandose realiza un análisis en tiempo real.

Configurar opcionesdistintas para procesos deriesgo alto y de riesgo bajo

Configura diferentes opciones de análisis para cada tipo deproceso que se identifique.





Estándar Configura opciones para los procesos que no estánidentificados como de riesgo alto o bajo.(Opción activada de forma predeterminada)

Riesgo alto Configura opciones de procesos que son de riesgo alto.

Riesgo bajo Configura opciones de procesos que son de riesgo bajo.

Agregar Agrega un proceso a la lista Riesgo alto o Riesgo bajo.

Eliminar Quita un proceso de la lista Riesgo alto o Riesgo bajo.

Análisis Cuándo analizar

Al escribir en el disco Intenta analizar todos los archivos a medida que se escribano se cambien en el equipo o en otro dispositivo dealmacenamiento de datos.

Al leer el disco Analiza todos los archivos a medida que se leen en el equipoo en otro dispositivo de almacenamiento de datos.

Dejar que McAfee decida Permite que McAfee decida si se debe analizar un archivomediante la lógica de confianza para optimizar el análisis. Lalógica de confianza mejora la seguridad y aumenta elrendimiento al evitar análisis innecesarios.

Procedimiento recomendado: Active esta opción paraobtener la mejor protección y el mejor rendimiento.

No analizar al leer o escribirdesde el disco

Especifica que no se analicen procesos de Riesgo bajo.

Qué analizar

Todos los archivos Analiza todos los archivos, independientemente de suextensión.

Si no se selecciona esta opción, el sistema será vulnerablea los ataques de malware.

Tipos de archivopredeterminados yespecificados

Análisis:• La lista predeterminada de extensiones de archivos

definida en el archivo de AMCore Content actual, incluidoslos archivos sin extensión

• Las extensiones de archivos adicionales que especifiqueSepare las extensiones con una coma.

• (Opcional) Amenazas de macros conocidas en la lista deextensiones de archivo predeterminadas y especificadas

Solo tipos de archivosespecificados

Analiza una de las opciones siguientes o ambas:• Solo los archivos con las extensiones (separadas por

comas) que especifique

• Todos los archivos sin extensión

En unidades de red Analiza recursos en unidades de red asignadas.

Procedimiento recomendado: Anule la selección deesta opción para mejorar el rendimiento.





Abierto para copia deseguridad

Analiza los archivos al acceder mediante el software decopia de seguridad.

Procedimiento recomendado: En la mayoría de losentornos no es necesario seleccionar esta configuración.

Archivos dealmacenamientocomprimidos

Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.

Procedimiento recomendado: Dado que el análisis dearchivos de almacenamiento comprimidos puede afectarnegativamente al rendimiento del sistema, anule laselección de esta opción para mejorar dicho rendimiento.

Archivos comprimidoscodificados mediante MIME

Detecta, descodifica y analiza archivos cifrados conextensiones Multipurpose Internet Mail Extensions (MIME).

Opciones de análisis adicionales

Detectar programas nodeseados

Permite que el analizador detecte programas potencialmenteno deseados.El analizador utiliza la información que ha configurado en losparámetros de Prevención de amenazas de Prevención deamenazas para detectar programas potencialmente nodeseados.

Detectar amenazas deprogramas desconocidos

Utiliza McAfee GTI para detectar archivos ejecutables quetengan código similar al malware.

Detectar amenazas demacros desconocidas

Utiliza McAfee GTI para detectar virus de macrosdesconocidos.

Acciones Especifica cómo responde el analizador cuando detecta unaamenaza.

Exclusiones Especifica archivos, carpetas y unidades que excluir delanálisis.

Agregar Agrega un elemento a la lista de exclusión.

Eliminar Quita un elemento de la lista de exclusión.

Véase también Configure Análisis en tiempo real en la página 83McAfee GTI en la página 126Acciones en la página 127Agregar exclusión o Editar exclusión en la página 128

Prevención de amenazas: Análisis bajo demandaDefina la configuración de Análisis bajo demanda para los análisis personalizados y preconfiguradosque se ejecutan en el sistema.

Consulte la configuración en el módulo Ajustes generales para configurar el registro.



Estos parámetros especifican el comportamiento del analizador al:

• Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Cliente de Endpoint Security.

• Como administrador, ejecutar una tarea de análisis bajo demanda desde Configuración | Ajustesgenerales | Tareas desde Cliente de Endpoint Security.

• Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca deamenazas en el menú emergente.

Tabla 3-18 Opciones


Qué analizar Sectores de arranque Analiza el sector de arranque del disco.

Procedimiento recomendado: Anule la selección del análisisdel sector de arranque cuando un disco contenga un sector dearranque único o anómalo que no se pueda analizar.

Archivos que se hanmigrado alalmacenamiento

Analiza archivos que gestiona el Almacenamiento remoto.Algunas soluciones de almacenamiento de datos sin conexiónsustituyen los archivos con un archivo stub. Cuando el analizadorse encuentra con un archivo stub, que indica que se ha migrado elarchivo, el analizador restaura el archivo al sistema local antes deproceder con el análisis. El proceso de restauración puede afectarnegativamente al rendimiento del sistema.

Procedimiento recomendado: Anule la selección de estaopción a menos que necesite específicamente analizar losarchivos del almacenamiento.

Archivos comprimidoscodificados medianteMIME

Detecta, descodifica y analiza archivos cifrados con extensionesMultipurpose Internet Mail Extensions (MIME).

Archivos dealmacenamientocomprimidos

Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.

Procedimiento recomendado: Seleccione esta opción solo enanálisis planificados en horas de inactividad, cuando el sistemano se esté utilizando, ya que el análisis de archivos dealmacenamiento comprimidos puede afectar negativamente alrendimiento del sistema.

Subcarpetas (soloAnálisis con el botónderecho del ratón)

Examina todas las subcarpetas de la carpeta especificada.

Opciones deanálisisadicionales

Detectar programas nodeseados

Permite que el analizador detecte programas potencialmente nodeseados.El analizador utiliza la información que ha configurado en losparámetros de Prevención de amenazas de Prevención deamenazas para detectar programas potencialmente no deseados.

Detectar amenazas deprogramasdesconocidos

Utiliza McAfee GTI para detectar archivos ejecutables que tengancódigo similar al malware.

Detectar amenazas demacros desconocidas

Utiliza McAfee GTI para detectar virus de macros desconocidos.

Ubicaciones deanálisis

(solo Análisiscompleto y Análisisrápido)

Especifica las ubicaciones que analizar.Estas opciones solo se aplican a Análisis completo, Análisis rápido yanálisis personalizados.





Tipos dearchivos queanalizar

Todos los archivos Analiza todos los archivos, independientemente de su extensión.McAfee recomienda encarecidamente la activación de Todos losarchivos.

Si no se selecciona esta opción, el sistema será vulnerable a losataques de malware.

Tipos de archivopredeterminados yespecificados

Análisis:• La lista predeterminada de extensiones de archivos definida en

el archivo de AMCore Content actual, incluidos los archivos sinextensión

• Las extensiones de archivos adicionales que especifiqueSepare las extensiones con una coma.

• (Opcional) Amenazas de macros conocidas en la lista deextensiones de archivo predeterminadas y especificadas

Solo tipos de archivosespecificados

Analiza una de las opciones siguientes o ambas:• Solo los archivos con las extensiones (separadas por comas)

que especifique

• Todos los archivos sin extensión

McAfee GTI Activa y define la configuración de McAfee GTI.

Exclusiones Especifica archivos, carpetas y unidades que excluir del análisis.

Agregar Agrega un elemento a la lista de exclusión.

Eliminar Quita un elemento de la lista de exclusión.

Acciones Especifica cómo responde el analizador cuando detecta unaamenaza.

Rendimiento Usar caché de análisis Permite que el analizador utilice los resultados de análisisexistentes.

Procedimiento recomendado: Seleccione esta opción parareducir la duplicación de los análisis y mejorar el rendimiento.





Utilización del sistema Permite al sistema operativo especificar la cantidad de tiempo deCPU que el analizador recibe durante el análisis.Cada tarea se ejecuta independientemente, sin tener en cuentalos límites de otras tareas.

• Baja: el rendimiento del resto de las aplicaciones en ejecución essuperior.

Práctica recomendada: Seleccione esta opción parasistemas con actividad del usuario final.

• Por debajo de lo normal: establece los valores predeterminados deMcAfee ePO en cuanto a la utilización del sistema para elanálisis.

• Normal (predeterminado): permite que el análisis finalice másrápido.

Práctica recomendada: Seleccione esta opción parasistemas que tienen grandes volúmenes y poca actividad delusuario final.

Opciones delanálisisplanificado

Estas opciones solo se aplican a Análisis completo, Análisis rápido yanálisis personalizados.

Analizar solo cuando elsistema está inactivo

Ejecuta el análisis solo cuando el sistema está inactivo.Prevención de amenazas pausa el análisis cuando el usuarioaccede al sistema mediante el teclado o ratón. Prevención deamenazas reanuda el análisis cuando el usuario (y la CPU) estáinactivo durante cinco minutos.

Desactive esta opción solo en los sistemas servidor y en lossistemas a los que los usuarios acceden mediante una conexión deEscritorio remoto (RDP). Prevención de amenazas depende deMcTray para determinar si el sistema está inactivo. En sistemas alos que solo se accede mediante el escritorio remoto, McTray no seinicia y el analizador bajo demanda no se ejecuta nunca. Paraevitar este problema, los usuarios pueden iniciar McTray (demanera predeterminada en C:\Archivos de programa\McAfee\Agent\mctray.exe) manualmente cuando inicien sesión en elescritorio remoto.

Analizar en cualquiermomento

Ejecuta el análisis incluso si el usuario está activo y especificaopciones para el análisis.

Los usuarios pueden aplazar el análisis: Permite al usuario aplazar análisisplanificados y especificar opciones de aplazamiento de análisis.• Máximo número de veces que el usuario puede aplazar el análisis una hora:

especifica el número de veces (de 1 a 23) que el usuario puedeaplazar el análisis a una hora más tarde.

• Mensaje de usuario: especifica el mensaje que aparecerá cuando unanálisis esté a punto de comenzar.El mensaje predeterminado es: McAfee Endpoint Security va aanalizar el sistema.

• Duración del mensaje (segundos): especifica cuánto tiempo (ensegundos) aparece el mensaje de usuario cuando un análisisestá a punto de comenzar. El intervalo válido de duración es de30 a 300; la duración predeterminada es de 45 segundos.





No analizar si el sistema está en modo de presentación: pospone el análisismientras el sistema está en modo de presentación.

No analizar si elsistema funcionamediante la batería

Pospone el análisis cuando el sistema está alimentándose conbatería.

Véase también Configurar Análisis bajo demanda en la página 90Configure, planifique y ejecute tareas de análisis en la página 95Ejecución de un Análisis completo o un Análisis rápido en la página 56Analizar un archivo o carpeta en la página 58Ubicaciones de análisis en la página 124McAfee GTI en la página 126Acciones en la página 127Agregar exclusión o Editar exclusión en la página 128

Ubicaciones de análisisEspecifique las ubicaciones que analizar.

Estas opciones solo se aplican a Análisis completo, Análisis rápido y análisis personalizados.

Tabla 3-19 Opciones


Ubicaciones deanálisis

Analizar subcarpetas Examina todas las subcarpetas de los volúmenes especificadoscuando está seleccionada alguna de estas opciones:• Carpeta de inicio • Carpeta Temp

• Carpeta de perfil del usuario • Archivo o carpeta

• Carpeta Archivos de programa

Cancele la selección de esta opción para analizar solo el nivelraíz de los volúmenes.

Especificarubicaciones

Especifica las ubicaciones que se deben analizar.• Agregar: Agrega una ubicación al análisis.

Haga clic en Agregar y seleccione la ubicación en el menúdesplegable.

• Hacer doble clic en un elemento: Modifica el elementoseleccionado.

• Eliminar: Quita una ubicación del análisis.Seleccione la ubicación y haga clic en Eliminar.

Memoria para rootkits Analiza la memoria del sistema para buscar rootkits instalados,procesos ocultos y otros comportamientos que puedan sugerirque un malware está intentando ocultarse. Este análisis seproduce antes que los demás análisis.

Si no se activa esta opción, el sistema quedará desprotegidoante los ataques de malware.





Procesos en ejecución Analiza la memoria de todos los procesos en ejecución.Las acciones que no sean Limpiar archivos se tratan como Continuaranalizando.

Si no se activa esta opción, el sistema quedará desprotegidoante los ataques de malware.

Archivos registrados Analiza los archivos a los que hace referencia el Registro deWindows.El analizador busca nombres de archivo en el registro,determina si el archivo existe, crea una lista de archivos paraanalizar y analiza los archivos.

Mi equipo Analiza todas las unidades conectadas físicamente al equipo oasignadas de forma lógica a una letra de unidad en el equipo.

Todas las unidadeslocales

analiza todas las unidades del equipo, así como sussubcarpetas.

Todas las unidades dedisco duro

Analiza todas las unidades conectadas físicamente al equipo.

Todas las unidadesextraíbles

Analiza todas las unidades extraíbles o cualquier otrodispositivo de almacenamiento conectado al ordenador,excepto las incluyen Windows To Go.

Todas las unidadesasignadas

Analiza las unidades de red asignadas lógicamente a unaunidad de red del equipo.

Carpeta de inicio Analiza la carpeta de inicio del usuario que inicie el análisis.

Carpeta de perfil delusuario

Analiza el perfil del usuario que empieza el análisis, incluida lacarpeta Mis documentos del usuario.

Carpeta Windows Analiza el contenido de la carpeta Windows.

Carpeta Archivos deprograma

Analiza el contenido de la carpeta Archivos de programa.

Carpeta Temp Analiza el contenido de la carpeta Temp.

Papelera de reciclaje Analiza el contenido de la papelera de reciclaje.

Archivo o carpeta analiza el archivo o la carpeta especificados.

Registro Analiza las claves y los valores de Registro.

Véase también Prevención de amenazas: Análisis bajo demanda en la página 120



McAfee GTIActiva y configura los ajustes de McAfee GTI (Global Threat Intelligence).

Tabla 3-20 Opciones


ActivarMcAfee GTI

Activa y desactiva las comprobaciones heurísticas.• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a

McAfee Labs para determinar si se trata de malware. Al enviar hashes, ladetección podría estar disponible antes que la próxima publicación dearchivos de AMCore content, cuando McAfee Labs publique la actualización.

• Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs.

Nivel desensibilidad

Configura el nivel de sensibilidad que se debe utilizar para determinar si unamuestra detectada es malware.Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitirse más detecciones tambiénpuede que se obtengan más resultados de falsos positivos.

Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con archivosde contenido de AMCore normales. Puede disponer de una detección paraPrevención de amenazas cuando McAfee Labs la publique en lugar en lasiguiente actualización de archivos de AMCore Content.Utilice esta configuración para los equipos de sobremesa y servidores conderechos de usuario restringidos y fuertes configuraciones de seguridad.

Esta configuración da lugar a una media de entre 10 y 15 consultas al día porequipo.

Baja Esta configuración es la recomendación mínima para portátiles o equipos deescritorio y servidores con fuertes configuraciones de seguridad.Esta configuración da lugar a una media de entre 10 y 15 consultas al día porequipo.

Media Utilice esta configuración cuando el riesgo normal de exposición a malware seasuperior al riesgo de un falso positivo. Las comprobaciones heurísticaspropietarias de McAfee Labs generan detecciones que probablemente sonmalware. No obstante, algunas detecciones podrían producir un falso positivo.Con esta configuración, McAfee Labs comprueba que las aplicaciones y losarchivos del sistema operativo conocidos no produzcan falsos positivos.Esta configuración es la recomendación mínima para portátiles, equipos desobremesa y servidores.


Alta Utilice esta configuración para el despliegue en sistemas o áreas que seinfectan con frecuencia.Esta configuración da lugar a una media de entre 20 y 25 consultas al día porequipo.

Muy alto Utilice esta configuración en volúmenes que no contengan sistemas operativos.Las detecciones que se encuentran con este nivel son supuestamentemaliciosas, pero no se han comprobado completamente para determinar si sonfalsos positivos.

Utilice esta configuración únicamente para analizar volúmenes y directorios queno admitan la ejecución de programas ni sistemas operativos.




Véase también Prevención de amenazas: Análisis en tiempo real en la página 116Prevención de amenazas: Análisis bajo demanda en la página 120Control web: Opciones en la página 173

AccionesEspecifica cómo responde el analizador cuando detecta una amenaza.

Tabla 3-21 Opciones

Sección Opción Definición Tipo de análisis

Análisis entiempo real


Primera respuestaal detectar unaamenaza

Especifica la primera acción que debe realizar el analizador al detectaruna amenaza.

Negar elacceso a losarchivos

Impide que los usuarios accedana archivos con amenazaspotenciales.

Continuar conel análisis

Continúa con el análisis dearchivos cuando se detecta unaamenaza. El analizador no poneelementos en cuarentena.

Limpiararchivos

Quita la amenaza del archivodetectado, si es posible.

Eliminararchivos

Elimina los archivos conamenazas potenciales.

Si la primerarespuesta falla

Especifica la acción que desea que realice el analizador al detectarseuna amenaza si la primera acción no resuelve el problema.





Eliminararchivos

Elimina los archivos conamenazas potenciales.

Primera respuestaal detectarprograma nodeseado

Especifica la primera acción que el analizador debe realizar aldetectarse un programa potencialmente no deseado.Esta opción solo está disponible si se ha seleccionado Detectar programasno deseados.



Permitir elacceso a losarchivos

Permite que los usuarios accedana archivos con amenazaspotenciales.







Análisis entiempo real


Limpiararchivos

Quita la amenaza del archivo deprograma potencialmente nodeseado, si es posible.

Eliminararchivos

Quita archivos de programaspotencialmente no deseados.

Si la primerarespuesta falla

Especifica la acción que el analizador debe realizar al detectarse unprograma potencialmente no deseado si la primera acción no resuelveel problema.Esta opción solo está disponible si se ha seleccionado Detectar programasno deseados.



Permitir elacceso a losarchivos

Permite que los usuarios accedana archivos con amenazaspotenciales.



Eliminararchivos

Elimina automáticamentearchivos de programaspotencialmente no deseados.

Véase también Prevención de amenazas: Análisis en tiempo real en la página 116Prevención de amenazas: Análisis bajo demanda en la página 120

Agregar exclusión o Editar exclusiónAgregue o edite una definición de exclusión.

Tabla 3-22 Opciones


En tiemporeal

Bajodemanda

Qué excluir Especifica el tipo de exclusión y los detalles de la misma.

Ruta o nombre dearchivo

Especifica el nombre de archivo o la rutaque se debe excluir.La ruta del archivo puede incluircaracteres comodín.

Para excluir una carpeta ensistemas Windows, agregue unabarra invertida (\) al final de laruta.

Seleccione Excluir también subcarpetas si esnecesario.





En tiemporeal

Bajodemanda

Tipo de archivo Especifica tipos de archivo (extensionesde archivo) que excluir.

Antigüedad delarchivo

Especifica el tipo de acceso (Modificación,Con acceso [solo Análisis bajo demanda] oCreación) de los archivos que excluir y laAntigüedad mínima en días.

Cuándoexcluir

Especifica cuándo excluir el elemento seleccionado.

Al escribir o leerdel disco

Excluye del análisis cuando los archivosse escriban o lean en el disco u otrodispositivo de almacenamiento de datos.

Al leer el disco Excluye del análisis cuando los archivosse lean en el equipo u otro dispositivode almacenamiento de datos.

Al escribir en eldisco

Excluye del análisis cuando los archivosse escriban o modifiquen en el disco uotro dispositivo de almacenamiento dedatos.

Véase también Prevención de amenazas: Análisis en tiempo real en la página 116Prevención de amenazas: Análisis bajo demanda en la página 120Caracteres comodín en exclusiones en la página 65Configuración de exclusiones en la página 64

Prevención de amenazas: OpcionesConfigure los parámetros que se aplican a la función Prevención de amenazas, como cuarentena,programas potencialmente no deseados y exclusiones.

Esta sección solo incluye opciones avanzadas.



Administrador decuarentena

Carpeta decuarentena

Especifica la ubicación de la carpeta de cuarentena o acepta laubicación predeterminada:c:\Quarantine

La carpeta de cuarentena tiene un límite de 190 caracteres.

Especificar elnúmero máximo dedías que seguardarán los datosen cuarentena

Especifica el número de días (entre 1 y 999) que se guardan loselementos en cuarentena antes de eliminarlos automáticamente.El valor predeterminado es 30 días.





Exclusiones pornombre dedetección

Excluir estosnombres dedetección

Especifica exclusiones de detección por nombre de detección.Por ejemplo, para especificar que los analizadores en tiempo realy bajo demanda no detecten amenazas de Comprobación deinstalación, introduzca Comprobación de instalación.

Agregar : agrega un nombre de detección a la lista de exclusiones.Haga clic en Agregar; a continuación, introduzca el nombre dedetección.

Hacer doble clic en un elemento: Modifica el elementoseleccionado.

Eliminar : quita un nombre de detección de la lista de exclusión.Seleccione el nombre y, después, haga clic en Eliminar.

Detecciones deprogramaspotencialmente nodeseados

Excluir losprogramas nodeseadospersonalizados

Especifica los archivos o programas individuales que seconsideran programas potencialmente no deseados.

Los analizadores detectan tanto los programas que especifiquecomo los especificados en los archivos de AMCore content.

El analizador no detecta un programa no deseado de cero bytesdefinido por el usuario.

• Agregar: define un programa no deseado personalizado.Haga clic en Agregar, introduzca el nombre y pulse la tecla Tabpara introducir la descripción.

• Nombre: especifica el nombre de archivo del programapotencialmente no deseado.

• Descripción: especifica la información que se mostrará comonombre de detección cuando se produzca una detección.


• Eliminar: quita de la lista un programa potencialmente nodeseado.Seleccione el programa de la lista y haga clic en Eliminar.

Análisis proactivode datos

Envía datos de uso y diagnóstico anónimos a McAfee.

Comentarios sobreMcAfee GTI

Permite los comentarios de telemetría relacionados con McAfeeGTI para recopilar datos anónimos de archivos y procesos que seejecutan en el sistema cliente.





Comprobaciónregular de laseguridad

Efectúa una comprobación de la salud del sistema cliente antes ydespués de las actualizaciones de archivos de AMCore Content,así como a intervalos regulares, y envía los resultados a McAfee.Los resultados se cifran y se envían a McAfee mediante SSL. Acontinuación, McAfee agrega y analiza los datos de estos informespara identificar anomalías que pudieran suponer problemaspotenciales relativos al contenido. La identificación precoz dedichos problemas es fundamental para proporcionar la contencióny la corrección oportunas.

Comprobación regular de la seguridad recopila los tipos de datossiguientes:

• Versión del sistema operativo y configuración regional

• Versión del producto de McAfee

• Versión del motor y de AMCore Content

• Información de procesos de ejecución de McAfee y Microsoft

Reputación deAMCore Content

Efectúa una búsqueda de reputación de McAfee GTI en el archivode AMCore Content antes de actualizar el sistema cliente.• Si McAfee GTI permite el acceso al archivo, Endpoint Security

actualiza AMCore Content.

• Si McAfee GTI no permite el acceso al archivo, EndpointSecurity no actualiza AMCore Content.

Véase también Configurar parámetros de análisis de ajustes generales en la página 82

Revertir contenido de AMCoreCambia AMCore content a una versión anterior.

Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.

Opción Definición

Seleccione la versiónque cargar

Especifica el número de versión de un archivo de AMCore content anterior quehay que cargar.Endpoint Security conserva las dos versiones previas en el sistema cliente.

Cuando cambia a una versión anterior, Endpoint Security elimina la versión actualde AMCore content del sistema.

Véase también Cambio de la versión de AMCore content en la página 28



4 Uso de Firewall

Firewall actúa como filtro entre su equipo y la red o Internet.

Contenido Cómo funciona Firewall Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandejadel sistema de McAfee Administrar Firewall Referencia de la interfaz del Cliente de Endpoint Security: Firewall

Cómo funciona FirewallEl Firewall analiza todo el tráfico entrante y saliente.

A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es unconjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla,el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall.

La información sobre detecciones de amenazas se guarda para crear informes que notifican aladministrador sobre cualquier problema de seguridad relativo al equipo.

Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan lasreglas de firewall para una administración más fácil.

Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador,puede configurar las reglas y grupos mediante Cliente de Endpoint Security. Para los sistemasgestionados, las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegueuna directiva actualizada.

Véase también Configurar opciones deFirewall en la página 135Cómo funcionan las reglas de firewall en la página 139Cómo funcionan los grupos de reglas de firewall en la página 141

Activación y desactivación de Firewall en el icono de la bandejadel sistema de McAfee

Según la configuración definida, puede activar o desactivar el Firewall en el icono de la bandeja delsistema de McAfee.

Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.

4


Procedimiento• Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione

Desactivar Firewall de Endpoint Security una opción del menú Configuración rápida.

Si el Firewall está activado, la opción es Desactivar Firewall de Endpoint Security.

Dependiendo de la configuración, es posible que deba proporcionar un motivo al administrador paradesactivar el Firewall.

Activación o visualización de los grupos sincronizados deFirewall mediante el icono de la bandeja del sistema de McAfee

Active, desactive o visualice los grupos sincronizados de Firewall mediante el icono de la bandeja delsistema de McAfee.

Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.

Procedimiento• Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione una

opción del menú Configuración rápida.• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante un período

determinado para permitir el acceso a Internet antes de que se apliquen las reglas querestringen el acceso. Cuando los grupos sincronizados están activados, la que se muestra esDesactivar grupos sincronizados de firewall.Cada vez que selecciona esta opción, se restablece el tiempo asignado a los grupos.

Dependiendo de la configuración, es posible que se le pida que proporcione al administrador unmotivo para activar los grupos sincronizados.

• Ver grupos sincronizados de firewall: muestra los nombres de los grupos sincronizados y el tiemporestante de activación de cada grupo.

Información acerca de los grupos sincronizadosLos grupos sincronizados son grupos de reglas de Firewall que se activan por un periodo de tiempoestablecido.

Por ejemplo, se puede activar un grupo sincronizado para permitir que un sistema cliente se conecte auna red pública y establezca una conexión VPN.

Dependiendo de la configuración de la , se pueden activar los grupos:

• En una planificación específica.

• De forma manual, seleccionando las opciones del icono de la bandeja del sistema de McAfee.

Administrar FirewallComo administrador, puede configurar las opciones de Firewall y crear reglas y grupos en Cliente deEndpoint Security.


4 Uso de FirewallActivación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee


Modificar opciones de FirewallComo administrador, puede modificar las opciones de Firewall desde el Cliente de Endpoint Security.

Procedimientos• Configurar opciones deFirewall en la página 135

Configure los parámetros en Opciones active o desactive la protección por firewall, active elmodo de adaptación y configure otras opciones de Firewall.

• Bloqueo del tráfico DNS en la página 136Para ajustar la protección por firewall, puede crear una lista de nombres de dominiocompletos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que seresuelven en los nombres de dominio.

• Definir redes para usar en reglas y grupos en la página 137Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y losgrupos. También puede especificar las redes que son de confianza.

• Configuración de ejecutables de confianza en la página 138Defina o edite la lista de ejecutables de confianza que se consideren seguros para suentorno.

Véase también Preguntas frecuentes: McAfee GTI y Firewall en la página 136

Configurar opciones deFirewall Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo deadaptación y configure otras opciones de Firewall.




2 Haga clic en Firewall en la página Estado principal.

O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en la páginaConfiguración.

3 Seleccione Activar Firewall para activarlo y modificar sus opciones.

Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall deEndpoint Security aunque esté activado en la configuración de la directiva.




Uso de FirewallAdministrar Firewall 4


Bloqueo del tráfico DNSPara ajustar la protección por firewall, puede crear una lista de nombres de dominio completos quedesee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombresde dominio.





O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en lapágina Configuración.

3 En Bloqueo de DNS, haga clic en Agregar.

4 Introduzca los nombres de dominio completos que desea bloquear y haga clic en Guardar.

Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.

Las entradas duplicadas se eliminan automáticamente.

5 Haga clic en Guardar.


Preguntas frecuentes: McAfee GTI y FirewallA continuación se incluyen las respuestas a las preguntas más frecuentes.

La configuración de las Opciones de Firewall le permite bloquear el tráfico entrante y saliente de unaconexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentesexplican qué hace McAfee GTI y cómo afecta al firewall.

¿Qué es McAfee GTI?

McAfee GTI es un sistema global de información sobre reputación de Internet que determina quées un buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa análisis entiempo real de patrones mundiales de comportamiento y envío con respecto al correoelectrónico, la actividad web, el malware y el comportamiento de sistema a sistema. Mediantelos datos obtenidos del análisis, McAfee GTI calcula de forma dinámica las puntuaciones dereputación que representan el nivel de riesgo para su red cuando visita una página web. Elresultado es una base de datos de puntuaciones de reputación para direcciones IP, dominios,mensajes específicos, URL e imágenes.Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.

¿Cómo funciona McAfee GTI con Firewall?

Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitirservicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexióna McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y elumbral de bloqueo configurado.

¿Qué quiere decir "reputación"?

4 Uso de FirewallAdministrar Firewall



Por cada dirección IP de Internet, McAfee GTI calcula un valor de reputación. McAfee GTI basaeste valor en el comportamiento de alojamiento o envío y en diversos datos de entornorecopilados de los clientes y partners en relación con el estado del panorama de amenazas enInternet. La reputación se expresa con cuatro clases que se basan en nuestro análisis:• No bloquear (riesgo mínimo): se trata de un origen o destino legítimos de contenido/tráfico.

• Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso queMcAfee considera de riesgo.

• Riesgo medio: este origen/destino muestra un comportamiento que McAfee considerasospechoso. Cualquier contenido/tráfico procedente del sitio web requiere un escrutinioespecial.

• Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico,pero también muestra algunas propiedades que sugieren la necesidad de una inspecciónadicional.

¿McAfee GTI provoca alguna latencia? ¿Cuánta?

Cuando se contacta con McAfee GTI para que realice una búsqueda de reputación, algo delatencia es inevitable. McAfee ha hecho todo lo posible para minimizarla. McAfee GTI:• Comprueba las reputaciones solo cuando se seleccionan las opciones.

• Utiliza una arquitectura de almacenamiento en caché inteligente. Con los patrones de usonormal de la red, la mayoría de las conexiones más importantes se resuelven mediante lacaché, sin una consulta de reputación activa.

Si el firewall no puede conectar con los servidores de McAfee GTI, ¿el tráfico se detiene?

Si el firewall no puede conectar con ninguno de los servidores de McAfee GTI, asignaautomáticamente a todas las conexiones aplicables una reputación predeterminada parapermitirlas. A continuación, el firewall sigue con un análisis de las reglas posteriores.

Definir redes para usar en reglas y gruposEstablezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los grupos.También puede especificar las redes que son de confianza.









4 En Redes definidas, realice cualquiera de las siguientes acciones:

Para... Pasos

Definir una nuevared.

Haga clic en Agregar e introduzca la información de la red de confianza.Para definir la red como de confianza, seleccione Sí en el menú desplegableDe confianza.

Si selecciona No, la red se define para su uso en reglas y grupos, pero eltráfico entrante y saliente de la red no se considera de confianzaautomáticamente.

Cambiar unadefinición de red.

En cada columna, haga doble clic en el elemento y, a continuación,introduzca la nueva información.

Eliminar una red. Seleccione una fila y haga clic en Eliminar.


Acerca de las redes de confianzaLas redes de confianza son las direcciones IP, intervalos de direcciones IP y subredes que suorganización considera seguras.

Al definir una red como de confianza, se crea una regla bidireccional Permitir para dicha red remota enla primera posición de la lista de reglas de Firewall.

Una vez definidas, puede crear reglas de firewall que se aplicarán a estas redes de confianza. Lasredes de confianza también funcionan como excepciones a McAfee GTI en el firewall.

Práctica recomendada: Al añadir redes a las reglas o grupos de Firewall, seleccione Redes definidas enel Tipo de red al que quiere aplicar esta función.

Configuración de ejecutables de confianzaDefina o edite la lista de ejecutables de confianza que se consideren seguros para su entorno.









4 En Ejecutables de confianza, realice cualquiera de las siguientes acciones:

Para... Pasos

Definir un ejecutable deconfianza nuevo.

Haga clic en Agregar y, a continuación, introduzca la informacióndel ejecutable.

Cambiar una definición deejecutable.

En cada columna, haga doble clic en el elemento y, acontinuación, introduzca la nueva información.

Eliminar un ejecutable. Seleccione una fila y haga clic en Eliminar.


A cerca de aplicaciones y ejecutables de confianzaLos ejecutables de confianza son archivos ejecutables que no tienen vulnerabilidades conocidas y seconsideran seguros.Al configurar un ejecutable de confianza, se crea una regla bidireccional Permitir para dicho ejecutableen la primera posición de la lista de reglas de Firewall.

Mantener una lista de ejecutables seguros en un sistema reduce o elimina la mayoría de los falsospositivos. Por ejemplo, cuando se ejecuta una aplicación de copias de seguridad, pueden darsemuchos eventos de falsos positivos. Para evitar que se produzcan falsos positivos, convierta laaplicación de copias de seguridad en un ejecutable de confianza.

Un ejecutable de confianza puede sufrir vulnerabilidades comunes como desbordamiento del búfer y usoilegal. Por lo tanto, Firewall supervisa los ejecutables de confianza y puede desencadenar eventos paraprevenir exploits.

El Catálogo de Firewall contiene tanto ejecutables como aplicaciones. Los ejecutables del catálogo sepueden asociar a una aplicación contenedora. Puede agregar ejecutables y aplicaciones del catálogo ala lista de ejecutables de confianza. Una vez definidos, puede hacer referencia a los ejecutables enreglas y grupos.

Administración de directivas y grupos de FirewallComo administrador, puede configurar las reglas y grupos de Firewall desde Cliente de EndpointSecurity.

Procedimientos• Creación y administración de directivas y grupos de Firewall en la página 145

Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de EndpointSecurity podrían sobrescribirse cuando el administrador despliegue una directivaactualizada.

• Creación de grupos de aislamiento de conexión en la página 147Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjuntode reglas que se apliquen solo cuando se conecta a una red con unos parámetrosdeterminados.

• Creación de grupos sincronizados en la página 148Cree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que unsistema cliente se conecte a través de una conexión VPN.

Cómo funcionan las reglas de firewallLas reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece unconjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear eltráfico.Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acciónasociada.



Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (porejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones.Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para asífacilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red,transporte, aplicación, programa y localización.

Firewall usa la prioridad para aplicar reglas:

1 Firewall aplica la regla situada en primera posición en la lista de reglas de firewall.

Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intentaaplicar ninguna otra regla de la lista.

2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguienteregla de la lista hasta que encuentre una regla que coincida con el tráfico.

3 Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente.

Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, eltráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewallaplique solo la primera regla coincidente de la lista.

Recomendaciones

Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este ordenasegura que Firewall filtra el tráfico adecuadamente.



Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, ladirección IP 10.10.10.1), cree dos reglas:

• Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla esespecífica.

• Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.

Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewallque la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde ladirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico através del firewall.

Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraríauna coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla debloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTPprovenientes de una dirección específica.

Cómo funcionan los grupos de reglas de firewallUtilice los grupos de reglas de Firewall para organizar las reglas de firewall y facilitar así laadministración. Los grupos de reglas de Firewall no afectan a la forma en que Firewall trata las reglasincluidas en ellos; Firewall sigue procesando las reglas de arriba a abajo.

Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas quecontiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.

Hacer que los grupos detecten la ubicación

Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento deconexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detectenel adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador paraequipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre,los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientespara cada adaptador de red:

Ubicación:

• Requerir el acceso a McAfee ePO • Dirección IP de Servidor WINS principal

• Sufijo DNS específico de conexión • Dirección IP de Servidor WINS secundario

• Dirección IP de Gateway predeterminada • Posibilidad de alcance del dominio (HTTPS)

• Dirección IP de Servidor DHCP • Clave de Registro

• Servidor DNS consultado para resolver lasURL

Redes:

• Dirección IP de Red local

• Tipos de conexión

Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normaly procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en elprimer grupo, prosigue con el procesamiento de la regla.



Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y unaconexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeñode reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado,el firewall las omite.

Si esta opción estáseleccionada...

Entonces...

Activar detección de ubicación Se requiere un nombre de localización.

Requerir el acceso a McAfeeePO

El servidor de McAfee ePO es accesible y se ha resuelto el nombre dedominio completo del servidor.

Red local La dirección IP del adaptador debe coincidir con una de las entradasde la lista.

Sufijo DNS específico deconexión

El sufijo DNS del adaptador debe coincidir con una de las entradasde la lista.

Gateway predeterminada La dirección IP de gateway predeterminada del adaptador debecoincidir al menos con una de las entradas de la lista.

Servidor DHCP La dirección IP del servidor DHCP del adaptador debe coincidir almenos con una de las entradas de la lista.

Servidor DNS La dirección IP del servidor DNS del adaptador debe coincidir concualquiera de las entradas de la lista.

Servidor WINS principal La dirección IP del servidor WINS principal del adaptador debecoincidir al menos con una de las entradas de la lista.

Servidor WINS secundario La dirección IP del servidor WINS secundario del adaptador debecoincidir al menos con una de las entradas de la lista.

Posibilidad de alcance deldominio (HTTPS)

El dominio especificado debe ser accesible mediante HTTPS.

Grupos de reglas y aislamiento de conexión de FirewallUse el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una reddesignada.

Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC)activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con:

• Permitir reglas anteriores al grupo en la lista de reglas de firewall

• Criterios de grupo

El resto del tráfico se bloquea.

Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporteni ejecutables.



Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: unentorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en esteorden:

1 Reglas para una conexión básica

2 Reglas para una conexión VPN

3 Grupo con reglas de conexión de LAN corporativa

4 Grupo con reglas de conexión VPN



Ejemplo: aislamiento de conexión en la red corporativa

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LANcorporativa. Este grupo contiene esta configuración:

• Tipo de conexión = con cable

• Sufijo DNS específico de conexión: mycompany.com

• Gateway predeterminada

• Aislamiento de conexión = Activado

El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa conuna conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que seconecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas deacceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable estáactiva y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través deLAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que nopasa por la LAN queda bloqueado.

Ejemplo: aislamiento de conexión en un hotel

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Estegrupo contiene esta configuración:

• Tipo de conexión = virtual

• Sufijo DNS específico de conexión: vpn.mycompany.com

• Dirección IP: una dirección en un intervalo específico para el concentrador VPN

• Aislamiento de conexión = Activado

Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel parapoder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN.Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criteriosdel grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráficobásico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder alequipo a través de la red, ya sea por cable o de forma inalámbrica.

Grupos de reglas de firewall predefinidosFirewall incluye varios grupos de reglas predefinidos.

Grupo de Firewall Descripción

Redes principales deMcAfee

Contiene las reglas de redes principales proporcionadas por McAfee e incluyereglas para admitir DNS y aplicaciones de McAfee.

Estas reglas no se pueden modificar ni eliminar. Se puede desactivar el grupoen las Firewall de firewall, pero hacerlo podría deteriorar las comunicaciones dered en el cliente.

Agregado poradministrador

Contiene reglas definidas por el administrador en el servidor de administración.

Estas reglas no se pueden modificar ni eliminar en Cliente de Endpoint Security.

Agregado por usuario Contiene reglas definidas en Cliente de Endpoint Security.

Dependiendo de la configuración de directiva, estas reglas podríansobrescribirse al implementarse la directiva.



Grupo de Firewall Descripción

Adaptación Contiene reglas de excepciones de cliente que se crean automáticamentecuando el sistema está en modo de adaptación.

Dependiendo de la configuración de directiva, estas reglas podríansobrescribirse al implementarse la directiva.

Predeterminado Contiene reglas predeterminadas proporcionadas por McAfee.

Estas reglas no se pueden modificar ni eliminar.

Creación y administración de directivas y grupos de FirewallPara los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Securitypodrían sobrescribirse cuando el administrador despliegue una directiva actualizada.


Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar lasreglas por columna.





3 Use estas tareas para gestionar reglas y grupos de firewall.

Para hacer esto... Siga estos pasos

Vea las reglas en un grupo delfirewall.

Haga clic en .

Contraiga un grupo de firewall. Haga clic en .

Modificar una regla existente.

Puede modificar las reglassolo en el grupo Agregado porel usuario.

1 Expandir el grupo Agregado por usuario.

2 Haga doble clic en la regla.

3 Cambie la configuración de reglas.

4 Haga clic en Aceptar para guardar los cambios.

Ver una regla existente encualquier grupo.

1 Expanda el grupo.

2 Seleccione la regla para ver sus detalles en el panel inferior.



Para hacer esto... Siga estos pasos

Crear una regla. 1 Haga clic en Agregar regla.

2 Especifique la configuración de reglas.


La regla aparece al final del grupo Agregado por el usuario.

Crear copias de reglas. 1 Seleccione la regla o reglas y haga clic en Duplicar.Las reglas copiadas aparecen con el mismo nombre al finaldel grupo Agregado por el usuario.

2 Modificar las reglas para cambiar el nombre y laconfiguración.

Eliminar reglas.

Puede eliminar reglas solodesde los grupos Agregado porel usuario y Adaptación.

1 Expanda el grupo.

2 Seleccione la regla o reglas y haga clic en Eliminar.

Crear un grupo. 1 Haga clic en Agregar grupo.

2 Especifique la configuración del grupo.


El grupo aparece en el grupo Agregado por el usuario.

Mover reglas y grupos dentro yentre grupos.

Puede modificar las reglas ygrupos solo en el grupoAgregado por el usuario.

Para mover elementos:1 Seleccione los elementos que mover.

El control de ajuste aparece a la izquierda de loselementos que puedan moverse.

2 Arrastre y coloque los elementos en su nueva ubicación.Una línea azul aparece entre elementos allí donde puedacolocar los elementos arrastrados.


Véase también Caracteres comodín en reglas de firewall en la página 146Iniciar sesión como administrador en la página 26Creación de grupos de aislamiento de conexión en la página 147

Caracteres comodín en reglas de firewallPuede usar caracteres comodín para representar caracteres para algunos valores en las reglas defirewall.

Caracteres comodín en valores de ruta y dirección

Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientescaracteres comodín.

Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen losvalores de los comodines.



? Signo de interrogación Un solo carácter.

* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utiliceeste carácter para hacer coincidir los contenidos del nivel raíz de unacarpeta sin subcarpetas.

** Doble asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).

| canalización Escape de caracteres comodín.

Para el asterisco doble (**), el escape es |*|*.

Caracteres comodín en todos los demás valores

Para los valores que normalmente no contienen información de ruta con barras, use los siguientescaracteres comodín.

? Signo de interrogación Un solo carácter.

* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).

| canalización Escape de caracteres comodín.

Creación de grupos de aislamiento de conexiónCree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglasque se apliquen solo cuando se conecta a una red con unos parámetros determinados.






3 En REGLAS, haga clic en Agregar grupo.

4 En Descripción, especifique las opciones para el grupo.

5 En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación,seleccione los criterios de ubicación para la búsqueda de coincidencias.

6 Bajo Redes, para Tipos de conexión, seleccione el tipo de conexión (Con cable, Inalámbrica o Virtual) paraaplicar a las reglas de este grupo.

La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.

7 Haga clic en Aceptar.



8 Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglasde firewall.


Véase también Grupos de reglas y aislamiento de conexión de Firewall en la página 142Cómo funcionan los grupos de reglas de firewall en la página 141

Creación de grupos sincronizadosCree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que un sistema clientese conecte a través de una conexión VPN.





3 Cree un grupo deFirewall con una configuración predeterminada que permita la conexión aInternet.

Por ejemplo, puede permitir el tráfico HTTP en el puerto 80.

4 En la sección Planificación, seleccione la forma de activar el grupo.

• Activar planificación: especifica la hora de inicio y de finalización del grupo que se va a activar.

• Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee: permite que losusuarios activen el grupo en la bandeja del sistema de McAfee y mantiene el grupo activadodurante un periodo de minutos concreto.

Si permite que los usuarios administren los grupos sincronizados, puede, de manera opcional,solicitar que proporcionen una justificación antes de activar el grupo.


6 Cree un grupo de aislamiento de conexión correspondiente a la red VPN para permitir el tráficonecesario.

Práctica recomendada: Para dejar tráfico saliente únicamente del grupo de aislamiento de laconexión en el sistema cliente, no coloque reglas de Firewall bajo este grupo.


Véase también Creación de grupos de aislamiento de conexión en la página 147



Referencia de la interfaz del Cliente de Endpoint Security:Firewall


Contenido Firewall: Opciones Firewall: Reglas

Firewall: OpcionesActiva y desactiva el módulo de Firewall, establece las opciones de protección y defines las redes y losejecutables de confianza.

Para restablecer la configuración predeterminada de McAfee y cancelar los cambios, haga clic enRestablecer a predeterminado.


Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de EndpointSecurity aunque esté activado en la configuración de la directiva.

Tabla 4-1 Opciones


Activar Firewall Activa y desactiva el módulo Firewall.

Opciones deprotección

Permitir tráfico deprotocolosincompatibles

Permite el tráfico que usa protocolos no admitidos. Si esta opciónestá desactivada, todo el tráfico que use protocolos no admitidos sebloqueará.

Permitir tráfico salientehasta que los serviciosde firewall se hayaniniciado

Permite el tráfico saliente, pero no el tráfico entrante, hasta que elservicio Firewall se haya iniciado.

Si se desactiva esta opción, Firewall permite todo el tráfico antesde iniciar los servicios, lo que podría volver el sistema vulnerable.

Permitir tráficomediante puentes

Permite:• Paquetes entrantes si la dirección MAC de destino se encuentra

en el intervalo de dirección MAC de VM admitido y no en unadirección MAC local del sistema.

• Paquetes salientes si la dirección MAC de origen se encuentraen el intervalo de dirección MAC admitido y no en una direcciónMAC local del sistema.

Uso de FirewallReferencia de la interfaz del Cliente de Endpoint Security: Firewall 4




Activar alertas deintrusión de firewall

Muestra las alertas automáticamente cuando Firewall detecta unposible ataque.

Bloqueo deDNS

Nombre de dominio Define nombres de dominio a bloquear.Cuando se aplica, esta opción agrega una regla cerca de la partesuperior de las reglas de firewall que bloquea las conexiones a lasdirecciones IP que se resuelven en los nombres de dominio.

• Agregar: agrega un nombre de dominio a la lista de bloqueados.Separe los dominios entre sí con una coma (,) o un retorno decarro.Puede usar los caracteres comodín * y ?. Por ejemplo,*dominio.com.

Las entradas duplicadas se eliminan automáticamente.


• Eliminar: elimina el nombre de dominio seleccionado de la lista debloqueados.



Opciones deajuste

Activar el modo deadaptación

Crea reglas automáticamente para permitir el tráfico.

Procedimiento recomendado: Active el modo de adaptacióntemporalmente solo en algunos sistemas mientras configura elFirewall. La activación de este modo puede generar varias reglas decliente, que el servidor de McAfee ePO debe procesar, lo que afecta deforma negativa al rendimiento.

Desactivar las reglasde redes principalesde McAfee

Desactiva las reglas de red integradas de McAfee (en el grupo dereglas Redes principales de McAfee).(Opción desactivada de forma predeterminada)

Activar esta opción podría deteriorar las comunicaciones de red en elcliente.

Registrar todo eltráfico bloqueado

Registra todo el tráfico bloqueado en el registro de eventos de Firewall(FirewallEventMonitor.log) en el Cliente de Endpoint Security.(Opción activada de forma predeterminada)

Registrar todo eltráfico permitido

Registra todo el tráfico permitido en el registro de eventos de Firewall(FirewallEventMonitor.log) en el Cliente de Endpoint Security.(Opción desactivada de forma predeterminada)

Activar esta opción puede tener un efecto negativo en el rendimiento.

4 Uso de FirewallReferencia de la interfaz del Cliente de Endpoint Security: Firewall




Reputación dered McAfeeGTI

Tratar coincidenciade McAfee GTI comointrusión

El tráfico que coincide con la configuración del umbral de bloqueo deMcAfee GTI se trata como una intrusión. Al activar esta opción, semuestra una alerta, se envía un evento al servidor de administración yse agrega el elemento al archivo de registro de Cliente de EndpointSecurity.Todas las direcciones IP de una red de confianza quedan excluidas dela búsqueda de McAfee GTI.

(Opción activada de forma predeterminada)

Registrar tráficocoincidente

El tráfico que coincide con la configuración del umbral de bloqueo deMcAfee GTI se trata como una detección. Al activar esta opción, seenvía un evento al servidor de administración y se agrega el elementoal archivo de registro de Cliente de Endpoint Security.(Opción activada de forma predeterminada)

Todas las direcciones IP de una red de confianza quedan excluidas dela búsqueda de McAfee GTI.

Bloquear todos losejecutables nofiables

Bloquea todos los ejecutables que no están firmados o cuyareputación de McAfee GTI es desconocida.

Umbral dereputación de redentranteUmbral dereputación de redsaliente

Especifica el umbral de riesgo de McAfee GTI a partir del cual debebloquearse el tráfico entrante o saliente desde una conexión de red.• No bloquear: este sitio web es una fuente o un destino legítimo de

contenido/tráfico.

• Riesgo alto: este origen/destino envía o alberga contenido/tráficopotencialmente malicioso que McAfee considera de riesgo.

• Riesgo medio: este origen/destino muestra un comportamiento queMcAfeeMcAfee considera sospechoso. Cualquier contenido/tráficoprocedente del sitio web requiere un escrutinio especial.

• Sin verificar: este sitio web parece ser una fuente o un destino legítimode contenido/tráfico, pero también muestra algunas propiedadesque sugieren la necesidad de una inspección adicional.

Firewall conseguimientode estado

Usar inspección deprotocolo FTP

Permite rastrear conexiones FTP, de modo que solo se requiera unaregla de Firewall para el tráfico FTP de cliente saliente y el tráfico FTPde servidor entrante.Si esta opción no está seleccionada, las conexiones FTP requerirán unaregla adicional para el tráfico FTP de cliente entrante y otra para eltráfico FTP de servidor saliente.

Número desegundos (1 a 240)antes de que laconexión TCP agoteel tiempo de espera

Especifica el tiempo en segundos durante el cual sigue activa unaconexión TCP no establecida si no se envían ni reciben más paquetesque coincidan con la conexión. El intervalo válido es de 1 a 240.

Número desegundos (1 a 300)antes de que lasconexiones virtualesde eco UDP e ICMPagoten el tiempo deespera

Especifica el tiempo en segundos durante el cual sigue activa unaconexión virtual de eco UDP o ICMP si no se envían ni reciben máspaquetes que coincidan con la conexión. Esta opción restablece elvalor configurado cada vez que se envía o recibe un paquete quecoincide con la conexión virtual. El intervalo válido es de 1 a 300.





Redesdefinidas

Establece las direcciones de red, las subredes o los intervalos que usaren reglas y grupos.• Agregar: Agrega una dirección de red, subred o intervalo a la lista de

redes definidas.Haga clic en Agregar y rellene los campos de la fila para definir la red.


• Eliminar: elimina la dirección seleccionada de la lista de redesdefinidas.

Tipo de dirección Especifica el tipo de dirección de la red por definir.

De confianza • Sí: Permite todo el tráfico de la red.Al definir una red como de confianza, se crea una regla bidireccionalPermitir para dicha red remota en la primera posición de la lista dereglas de Firewall.

• No: agrega la red a la lista de redes definidas para crear reglas.

Propietario

Ejecutables deconfianza

Especifica ejecutables que son seguros en cualquier entorno y que notienen vulnerabilidades conocidas. Estos ejecutables tienen permisopara realizar todas las operaciones excepto aquellas que indiquen quelos ejecutables están en peligro.Al configurar un ejecutable de confianza, se crea una reglabidireccional Permitir para dicho ejecutable en la primera posición dela lista de reglas de Firewall.

• Agregar: agrega un ejecutable de confianza.


• Eliminar: Elimina el ejecutable de la lista de confianza.

Véase también Configurar opciones deFirewall en la página 135Definir redes para usar en reglas y grupos en la página 137Configuración de ejecutables de confianza en la página 138Agregar ejecutable o Editar ejecutable en la página 158

Firewall: ReglasAdministre grupos y reglas de firewall.

Solo puede agregar y eliminar reglas y grupos en el grupo Agregado por usuario. Firewall mueve demanera automática a este grupo las reglas que se acaban de agregar.

Para restablecer la configuración a la configuración predeterminada de fábrica y cancelar los cambios,haga clic en Restablecer a predeterminado.

Tabla 4-3 Opciones

Sección Opción Definición Regla Grupo

REGLAS Agregar regla Crea una regla de firewall.

Agregar grupo Crea un grupo de firewall.





Hacer doble clic enun elemento


Duplicar Crea una copia del elemento seleccionado.

Eliminar Elimina un elemento de firewall seleccionado.

Indica elementos que pueden moverse en la lista.Seleccione elementos y arrástrelos hasta la nuevaubicación. Aparecerá una línea azul entre elementosen los puntos en los que se pueden colocar loselementos arrastrados.

Véase también Creación y administración de directivas y grupos de Firewall en la página 145Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 153

Agregar regla o Editar regla, Agregar grupo o Editar grupoAgregue o edite grupos y reglas de firewall.

Tabla 4-4 Opciones


Descripción Nombre Especifica el nombre descriptivo del elemento (obligatorio).

Estado Activa o desactiva el elemento.

Especificaracciones

Permitir: permite el tráfico a través del firewall si el elementocoincide.

Bloquear: impide el tráfico a través del firewall si el elementocoincide.

Tratar coincidencia como intrusión: trata el tráfico que coincida conla regla como una intrusión. Al activar esta opción, semuestra una alerta, se envía un evento al servidor deadministración y se agrega el elemento al archivo deregistro de Cliente de Endpoint Security.

Práctica recomendada: No active esta opción en unaregla Permitir porque da lugar a numerosos eventos.

Registrar tráfico coincidente: el tráfico que coincide con la reglase trata como una detección. Al activar esta opción, seenvía un evento al servidor de administración y se agrega elelemento al archivo de registro de Cliente de EndpointSecurity.

Dirección Especifica la dirección:• Cualquiera: supervisa tanto el tráfico entrante como el

saliente.

• En: supervisa el tráfico entrante.

• Salida: supervisa el tráfico saliente.






Ubicación Activardetección deubicación

Activa o desactiva la información de ubicación para elgrupo.

Nombre Especifica el nombre de la ubicación (obligatorio).

Activaraislamiento deconexión

Bloquea el tráfico de los adaptadores de red que nocoincidan con el grupo cuando haya un adaptador que sícoincida con el grupo.

La configuración de Transporte y Ejecutables no estádisponible para grupos de aislamiento de conexión.

Uno de los usos de esta opción consiste en bloquear eltráfico generado por fuentes potencialmente no deseadasfuera de la red corporativa y evitar que acceda a ella. Solose puede bloquear el tráfico de esta manera si no hay unaregla anterior al grupo en el firewall que sí le permita elacceso.

Cuando el aislamiento de conexión se activa y una tarjetade interfaz de red coincide con el grupo, el tráfico sepermite únicamente en estos casos:

• El tráfico coincide con una regla Permitir anterior al grupo.

• El tráfico que se mueve por una tarjeta de interfaz de redcoincide con el grupo y hay una regla en dicho grupo (oposterior a este) que permite el tráfico.

Si no hay ninguna tarjeta de interfaz de red que coincidacon el grupo, este se omitirá y se proseguirá con lacoincidencia de reglas.

Requerir elacceso aMcAfee ePO

Permite al grupo que coincida solamente si haycomunicación con el servidor McAfee ePO y se ha resuelto elnombre de dominio completo del servidor.





Criterios deubicación

• Sufijo DNS específico de conexión: especifica un sufijo DNSespecífico de la conexión en el formato: ejemplo.com.

• Gateway predeterminada: especifica una dirección IP únicapara una gateway predeterminada en formato IPv4 oIPv6.

• Servidor DHCP: especifica una dirección IP única para unservidor DHCP en formato IPv4 o IPv6.

• Servidor DNS: especifica una dirección IP única para unservidor de nombre de dominio en formato IPv4 o IPv6.

• Servidor WINS principal: especifica una dirección IP única paraun servidor WINS principal en formato IPv4 o IPv6.

• Servidor WINS secundario: especifica una dirección IP únicapara un servidor WINS secundario en formato IPv4 oIPv6.

• Posibilidad de alcance del dominio (HTTPS): exige que el dominioespecificado sea accesible mediante HTTPS.

• Clave de Registro: especifica la clave de Registro y el valor dela clave.


2 En la columna Valor, especifique la clave de Registro conel siguiente formato:<ROOT>\<KEY>\[VALUE_NAME]• En <ROOT>, debe utilizar el nombre completo de la

raíz, como por ejemplo HKEY_LOCAL_MACHINE y nola abreviación HKLM.

• <KEY> es el nombre de clave bajo la raíz.

• [VALUE_NAME] es el nombre del valor de clave. Sino se incluye el nombre del valor, se presupone quetiene el valor predeterminado.

Formatos de ejemplo:

• IPv4: 123.123.123.123• IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7

Redes Especifica las opciones de host de red que corresponden alelemento.

Protocolo de red Especifica el protocolo de red que se aplica al elemento.

Cualquierprotocolo

Permite tanto el protocolo IP como protocolos distintos deIP.Si se especifica un protocolo de transporte o una aplicación,solo se permiten protocolos IP.





Protocolo IP Excluye los protocolos distintos de IP.• Protocolo IPv4

• Protocolo IPv6

Si no se activa ninguna casilla, se aplica cualquier protocoloIP. Se puede seleccionar tanto IPv4 como IPv6.

Protocolodistinto de IP

Solo incluye protocolos distintos de IP.• Seleccionar EtherType de la lista: especifica un EtherType.

• Especificar EtherType personalizado: especifica los cuatrocaracteres de valor hexadecimal EtherType del protocolodistinto de IP. Consulte los números de Ethernet para verlos valores EtherType. Por ejemplo, escriba 809B paraAppleTalk, 8191 para NetBEUI u 8037 para IPX.

Tipos deconexión

Indica si se aplican uno o todos los tipos de conexión:• Con cable

• Inalámbrico

• VirtualUna conexión de tipo Virtual es un adaptador presentadopor un VPN o una aplicación de máquina virtual, comoVMware, en lugar de un adaptador físico.

Especificarredes

Especifica las redes que se aplican al elemento.• Agregar: crea y agrega una red.


• Eliminar: elimina la red de la lista.

Transporte Especifica las opciones de transporte que se aplican alelemento.



http://www.iana.org/assignments/ethernet-numbers



Protocolo detransporte

Especifica el protocolo de transporte asociado al elemento.Seleccione el protocolo, haga clic en Agregar para agregarpuertos.

• Todos los protocolos: permite protocolos IP, distintos de IP yno admitidos.

• TCP y UDP: Seleccione una opción del menú desplegable:

• Puerto local: especifica el puerto o servicio de tráfico localque corresponde al elemento.

• Puerto remoto: especifica el puerto o servicio de tráfico enotro equipo al que se aplica el elemento.

Puerto local y Puerto remoto pueden ser:

• Un único servicio. Por ejemplo, 23.

• Un intervalo. Por ejemplo, 1–1024.

• Una lista separada por comas con los puertosindividuales y los intervalos de puertos. Por ejemplo:80, 8080, 1–10, 8443 (hasta 4 elementos).

De manera predeterminada, las reglas se aplican a todoslos servicios y puertos.

• ICMP: en el elemento desplegable Tipo de mensaje,especifique un tipo de mensaje ICMP. Consulte ICMP.

• ICMPv6: en el elemento desplegable Tipo de mensaje,especifique un tipo de mensaje ICMP. Consulte ICMPv6.

• Otros: ofrece una lista de protocolos menos comunes.

Ejecutables Especifica los ejecutables que se aplican a la regla.• Agregar: crea y agrega un ejecutable.


• Eliminar: elimina un ejecutable de la lista.

Planificación Especifica la configuración de la planificacióncorrespondiente a la regla o al grupo.

Planificaciónactivada

Activa la planificación de la regla o el grupo sincronizado.Cuando la planificación está desactivada, la regla o lasreglas del grupo no se aplican.

• Hora de inicio: especifica la hora de inicio para la activaciónde la planificación.

• Hora de finalización:: especifica la hora para la desactivaciónde la planificación.

• Días de la semana: especifica los días de la semana parala activación de la planificación.

Para las horas de inicio y finalización, utilice el formato de24 horas. Por ejemplo, 13:00 = 1:00 p.m.

Puede planificar grupos sincronizados de Firewall o permitiral usuario activarlos desde el icono de la bandeja delsistema de McAfee.



http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml



Desactivar laplanificación yactivar el grupodesde el iconode la bandejadel sistema deMcAfee

Especifica que el usuario puede activar el gruposincronizado durante un número de minutos determinadomediante el icono de la bandeja del sistema de McAfee enlugar de usar la planificación.

Procedimiento recomendado: Utilice esta opción a finde permitir un amplio acceso a la red (por ejemplo, en unhotel) para que se pueda establecer una conexión VPN.

Al seleccionar esta opción se muestran más opciones demenú en Configuración rápida mediante el icono de la bandejadel sistema de McAfee:

• Activar grupos sincronizados de firewall: Activa los grupossincronizados durante un período determinado parapermitir el acceso a Internet antes de que se apliquen lasreglas que restringen el acceso. Cuando los grupossincronizados están activados, la que se muestra esDesactivar grupos sincronizados de firewall.Cada vez que selecciona esta opción, se restablece eltiempo asignado a los grupos.

Dependiendo de la configuración, es posible que se lepida que proporcione al administrador un motivo paraactivar los grupos sincronizados.

• Ver grupos sincronizados de firewall: muestra los nombres de losgrupos sincronizados y el tiempo restante de activaciónde cada grupo.

Número deminutos (1 - 60)para activar elgrupo

Especifica el número de minutos (de 1 a 60) que debe estaractivado el grupo sincronizado después de seleccionar Activargrupos sincronizados de firewall en el icono de la bandeja delsistema de McAfee.

Véase también Creación y administración de directivas y grupos de Firewall en la página 145Creación de grupos sincronizados en la página 148Activación o visualización de los grupos sincronizados de Firewall mediante el icono de labandeja del sistema de McAfee en la página 134Agregar red o Editar red en la página 159Agregar ejecutable o Editar ejecutable en la página 158

Agregar ejecutable o Editar ejecutableAgregue o edite un ejecutable asociado a una regla o un grupo.

Tabla 4-5 Opciones

Opción Definición

Nombre Especifica el nombre que le da al ejecutable.Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo,Descripción del archivo, Hash MD5 o firmante.

Nombre de archivoo ruta






Opción Definición

Descripción delarchivo

Indica la descripción del archivo.



• Permitir cualquier firma: permite los archivos firmados por cualquier firmante deproceso.

• Firmado por: permite solo los archivos firmados por el firmante de procesoespecificado.Se requiere un nombre distintivo del firmante (SDN) que debe coincidirexactamente con las entradas en el campo adjunto, incluidos comas y espacios.

El firmante del proceso aparece en el formato correcto en los eventos del Registrode eventos de Cliente de Endpoint Security y en el Registro de eventos deamenazas de McAfee ePO. Por ejemplo:











• S = California

• C = US


Agregar red o Editar redAgrega o edita una red asociada a una regla o un grupo.

Tabla 4-6 Opciones

Opción Definición Regla Grupo

Nombre Especifica el nombre de la dirección de la red (obligatorio).

Tipo Selecciona una de esta opciones:• Red local: crea y agrega una red local.

• Red remota: crea y agrega una red remota.

Agregar Agrega un tipo de red a la lista de redes.




Opción Definición Regla Grupo

Hacer doble clic enun elemento


Eliminar Elimina el elemento seleccionado.

Tipo de dirección Especifica el origen o el destino del tráfico. Seleccione unelemento de la lista desplegable Tipo de dirección.

Dirección Especifica la dirección IP que agregar a la red.Se aceptan caracteres comodín.

Véase también Tipo de dirección en la página 160

Tipo de direcciónEspecifique el tipo de dirección de una red definida.

Tabla 4-7 Opciones

Opción Definición

Dirección IP única Especifica una dirección IP concreta. Por ejemplo:• IPv4: 123.123.123.123• IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Subred Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo:• IPv4: 123.123.123.0/24• IPv6: 2001:db8::0/32

Subred local Especifica la dirección de subred del adaptador local.

Intervalo Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final delintervalo. Por ejemplo:• IPv4: 123.123.1.0 – 123.123.255.255• IPv6: 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff

Nombre de dominiocompleto

Especifica el FQDN. Por ejemplo, www.ejemplo.com.

Cualquier dirección IPlocal

Especifica cualquier dirección IP local.

Cualquier direcciónIPv4

Especifica cualquier dirección IPv4.

Cualquier direcciónIPv6

Especifica cualquier dirección IPv6.



5 Uso de Control web

Las funciones de Control web se muestran en el navegador mientras navega o busca.

Contenido Acerca de las funciones de Control web Acceso a las funciones de Control web Administrar Control web Referencia de la interfaz del Cliente de Endpoint Security: Control web

Acerca de las funciones de Control webDado que Control web se ejecuta en cada sistema gestionado, notifica a los usuarios si hay amenazasmientras navegan o hacen búsquedas en sitios web.Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadascon colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio.

El software utiliza los resultados de las pruebas para notificar a los usuarios sobre posibles amenazasbasadas en web.

En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El colordel icono indica la calificación de seguridad del sitio web. Los usuarios pueden acceder a informaciónadicional a través de los iconos.

En la ventana del navegador: aparece un botón en el navegador. El color del botón indica lacalificación de seguridad del sitio web. Los usuarios pueden acceder a información adicional haciendoclic en el botón.

El botón también notifica a los usuarios cuando se producen problemas de comunicación y proporcionaacceso rápido a pruebas que ayudan a identificar problemas comunes.

En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación deseguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otrosdatos.

En los sistemas gestionados, los administradores crean directivas para:

• Activar y desactivar Control web en el sistema, y permitir o impedir la desactivación delcomplemento de navegador.

• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo decontenido.Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitiosweb amarillos.

• Identificar sitios web como bloqueados o permitidos, en función de las direcciones URL y losdominios.

5


• Impedir que los usuarios desinstalen o cambien archivos de Control web, claves y valores deRegistro, servicios y procesos.

• Personalizar la notificación que aparece cuando los usuarios intentan acceder a un sitio webbloqueado.

• Supervisar y regular la actividad del navegador en los equipos de red y crear informes detalladosacerca de sitios web.

En los sistemas autogestionados, puede establecer la configuración para:

• Activar y desactivar Control web en el sistema.

• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo decontenido.

Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitiosweb amarillos.

Navegadores compatibles o no compatibles

Control web es compatible con estos navegadores:

• Microsoft Internet Explorer 11

• Google Chrome: versión actual

Chrome no admite la opción Mostrar globo.

• Mozilla Firefox: versión actual

• Mozilla Firefox ESR (Extended Support Release): versión actual y versión anterior

Como Google y Mozilla publican frecuentemente versiones nuevas, es posible que Control web nofuncione con una actualización nueva. Se publicará un parche de Control web tan pronto como seaposible para que sea compatible con los cambios realizados en Google o Mozilla.

Control web no es compatible con Microsoft Edge.

Para obtener la información más reciente sobre los navegadores compatibles con Control web,consulte KB82761.

En los sistemas autogestionados se permiten todos los navegadores de forma predeterminada, tanto loscompatibles como los no compatibles.

Véase también El botón de Control web identifica las amenazas durante la navegación en la página 163Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164Los informes de sitio web proporcionan detalles en la página 165Modo de compilación de las clasificaciones de seguridad en la página 166

5 Uso de Control webAcerca de las funciones de Control web


https://kc.mcafee.com/corporate/index?page=content&id=KB82761#Browsers

Cómo Control web bloquea o advierte de un sitio web odescargaCuando un usuario visita un recurso, o bien accede a él, de un sitio web que se ha bloqueado o quetiene una advertencia, Control web muestra una página o mensaje emergente que indica el motivo.

Si las acciones de calificación para un sitio web están establecidas en:

• Advertir: Control web muestra una advertencia para notificar a los usuarios de daños potencialesasociados con el sitio web.

Cancelar vuelve al sitio web al que se ha navegado previamente.

Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible.

Continuar: continúa con el acceso al sitio web.

• Bloquear: Control web muestra un mensaje de que el sitio web está bloqueado e impide a losusuarios acceder al sitio web.

Aceptar vuelve al sitio web al que se ha navegado previamente.

Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible.

Si las acciones de calificación para las descargas de un sitio web están establecidas en:

• Advertir: Control web muestra una advertencia para notificar a los usuarios de daños potencialesasociados con el archivo descargado.

Bloquear: impide la descarga y vuelve al sitio web.

Continuar: continúa con la descarga.

• Bloquear: Control web muestra un mensaje que indica que el sitio web está bloqueado e impide ladescarga.

Aceptar: vuelve al sitio web.

El botón de Control web identifica las amenazas durante lanavegaciónAl navegar a un sitio web, aparece en el navegador un botón codificado por colores . Elcolor del botón corresponde a la calificación de seguridad del sitio web.

La calificación de seguridad es aplicable a URL de protocolos HTTP y HTTPS únicamente.

Internet Explorery Safari(Macintosh)

Firefox yChrome

Descripción

McAfee SECURE™ prueba y certifica la seguridad de este sitioweb a diario. (Solo Windows)

El sitio web es seguro.

Puede que este sitio web presente algunos problemas.

Este sitio tiene algunos problemas graves.

No hay calificación disponible para este sitio web.Este botón aparece para URL de protocolo FILE (file://).

Se ha producido un error de comunicación con el servidor deMcAfee GTI que contiene información de calificación.

Uso de Control webAcerca de las funciones de Control web 5


Internet Explorery Safari(Macintosh)

Firefox yChrome

Descripción

Control web no ha enviado ninguna consulta a McAfee GTIacerca de este sitio, lo que indica que el sitio web es interno ocorresponde a un intervalo de direcciones IP privadas.

El sitio web es un sitio de phishing.

El phishing es un intento de adquirir información confidencial,por ejemplo, nombres de usuario, contraseñas o datos detarjetas de crédito. Los sitios web de phishing se hacen pasarpor entidades de confianza en las comunicacioneselectrónicas.

Este sitio está autorizado por una opción de configuración.

Una opción de configuración ha desactivado Control web.

La ubicación del botón depende del navegador:

• Internet Explorer: barra de herramientas de Control web

• Firefox: esquina derecha de la barra de herramientas de Firefox

• Chrome: barra de dirección

Véase también Ver información acerca de un sitio al navegar en la página 167

Los iconos de seguridad identifican las amenazas durante labúsquedaCuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!,Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página deresultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web.

Las pruebas no detectaron problemas importantes.

Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio haintentado cambiar los valores predeterminados de los analizadores para el navegador, hamostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correoelectrónico no considerados spam.

Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes deacceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correoelectrónico spam o adware incluido en las descargas.

Este sitio está bloqueado por una .

Este sitio web no tiene clasificación.

Véase también Ver informe de sitio web durante la búsqueda en la página 168

5 Uso de Control webAcerca de las funciones de Control web


Los informes de sitio web proporcionan detallesUsted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazasconcretas.

Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienenla información indicada a continuación.

Esteelemento...

Indica...

Descripcióngeneral

La calificación global del sitio web, determinada por estas pruebas:• Evaluación de las prácticas de correo electrónico y descarga del sitio web usando

nuestras técnicas patentadas de recopilación y análisis de datos.

• Examen del propio sitio web en busca de prácticas molestas como, por ejemplo,un exceso de ventanas emergentes o solicitudes para cambiar la página de iniciodel usuario.

• Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitiossospechosos.

• Combinación de la revisión de sitios sospechosos de McAfee con los comentariosde los servicios Threat Intelligence.

Afiliacionesonline

Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a losusuarios para que vayan a otros sitios web marcados con una calificación roja deMcAfee.Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. Lafinalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite elsitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo,cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Control webconsidera el sitio web rojo por asociación.

Pruebas despam a travésde la Web

La calificación global de las prácticas relacionadas con el correo electrónico de unsitio web en función de los resultados de las pruebas.McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibetras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam.Si alguna de estas medidas está por encima de lo que consideramos aceptable,McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellasparece especialmente notoria, McAfee le otorga una calificación roja.

Pruebas dedescarga

La calificación global del impacto que tiene el software descargable de un sitio weben el equipo de pruebas, en función de sus resultados.McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadascon virus o que agregan software no relacionado que podría considerarse adware ospyware. La calificación también considera los servidores de red con los quecontacta un programa descargado durante su funcionamiento, además de cualquiermodificación realizada a la configuración del navegador o los archivos de Registrode un equipo.

Véase también Ver informe de sitio web durante la búsqueda en la página 168Ver información acerca de un sitio al navegar en la página 167

Uso de Control webAcerca de las funciones de Control web 5


Modo de compilación de las clasificaciones de seguridad Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criteriospara cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes.Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante lassiguientes acciones:

• Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidosen la descarga.

• Introducción de información de contacto en formularios de registro y comprobación del spamresultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio osus asociados.

• Comprobación del exceso de ventanas emergentes.

• Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.

• Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web.

El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además,lo siguiente:

• Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de lasmedidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios.

• Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes dephishing o experiencias negativas de compra.

• Más análisis de los expertos de McAfee.

El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.

Acceso a las funciones de Control webPuede acceder a las funciones de Control web desde el navegador.

Procedimientos• Activar el complemento Control web en el navegador en la página 166

Dependiendo de la configuración, deberá activar manualmente el complemento Control webpara recibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas.

• Ver información acerca de un sitio al navegar en la página 167Utilice el botón Control web del navegador para ver información acerca de un sitio. Estebotón funciona de forma distinta según el navegador.

• Ver informe de sitio web durante la búsqueda en la página 168Use el icono de seguridad en la página de resultados de búsqueda para ver másinformación acerca del sitio web.

Activar el complemento Control web en el navegadorDependiendo de la configuración, deberá activar manualmente el complemento Control web pararecibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas.

Antes de empezarEl módulo Control web debe estar activado.

Los complementos de Internet Explorer no se denominan complementos en Firefox y Chrome, sinoextensiones.

5 Uso de Control webAcceso a las funciones de Control web


Cuando se inicia Internet Explorer o Chrome por primera vez, es posible que se le solicite que activelos complementos. Para obtener la información más reciente, véase el artículo KB87568 de la base deconocimiento.


• Dependiendo del navegador, active el complemento.

InternetExplorer

• Haga clic en Activar.

• Si hay más de un complemento disponible, haga clic en Elegir complementos y luegoen Activar para la barra de herramientas de Control web.

Chrome Haga clic en Activar extensión.Si no se le solicita que active el complemento Control web, puede hacerlomanualmente.

1 Haga clic en Configuración | Extensiones.

2 Haga clic en Activar para activar Control web de Endpoint Security.

3 Reinicie Firefox.

Firefox 1 En la Página de inicio de Mozilla Firefox, Complementos | Extensiones.

2 Seleccione Activar para activar Control web de Endpoint Security.

En Internet Explorer, si desactiva la barra de herramientas de Control web, se le solicitará quedesactive también el complemento Control web. En los sistemas gestionados, si la configuración dedirectiva impide desinstalar o desactivar el complemento, Control web permanece activado aunquela barra de herramientas no sea visible.

Ver información acerca de un sitio al navegarUtilice el botón Control web del navegador para ver información acerca de un sitio. Este botónfunciona de forma distinta según el navegador.

Antes de empezar• El módulo Control web debe estar activado.

• El complemento de Control web debe estar activado en el navegador.

• La opción Ocultar la barra de herramientas en el navegador del cliente en la configuración de Opcionesdebe estar desactivada.

Si Internet Explorer se encuentra en modo de pantalla completa, no aparece la barra de herramientasde Control web.

Para mostrar el menú de Control web:

Internet Explorer y FirefoxHaga clic en el botón de la barra de herramientas.

Chrome Haga clic en el botón de la barra de dirección.

Uso de Control webAcceso a las funciones de Control web 5



Procedimiento1 Mostrar un globo con un resumen de la calificación de seguridad del sitio: mantenga el cursor sobre

el botón en la barra de herramientas de Control web.

(Solo Internet Explorer y Firefox)

2 Mostrar el informe de sitio web detallado, con más información sobre la calificación de seguridaddel sitio:

• Haga clic en el botón Control web.

• Seleccione Ver informe de sitio web en el menú Control web.

• Haga clic en el vínculo Leer informe de sitio web en el globo del sitio web. (Solo Internet Explorer yFirefox)

Véase también El botón de Control web identifica las amenazas durante la navegación en la página 163Los informes de sitio web proporcionan detalles en la página 165

Ver informe de sitio web durante la búsquedaUse el icono de seguridad en la página de resultados de búsqueda para ver más información acercadel sitio web.

Procedimiento1 Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informe

de seguridad para el sitio web.

2 Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otraventana del navegador.

Véase también Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164Los informes de sitio web proporcionan detalles en la página 165

Administrar Control webComo administrador, puede especificar la configuración de Control web para activar y personalizar laprotección, bloquear basándose en las categorías web y configurar el registro.


Configuración de las opciones de Control webPuede activar y configurar las opciones de Control web desde Cliente de Endpoint Security.


5 Uso de Control webAdministrar Control web




2 Haga clic en Control web en la página principal Estado.

O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Control web en lapágina Configuración.



Uso de Control webAdministrar Control web 5


5 Seleccione Activar Control web para activar Control web y modificar sus opciones.

Para... Haga esto... Notas

Ocultar la barra deherramientas deControl web en elnavegador sindesactivar laprotección.

Seleccione Ocultar la barra deherramientas en el navegador del cliente.

Rastrear eventos denavegador para usaren los informes.

Ajuste la configuración en lasección Registro de eventos.

Configure los eventos de Control webenviados desde los sistemas cliente alservidor de administración para usaren consultas e informes.

Bloquear o avisar dedirecciones URLdesconocidas.

En Implementación de acciones,seleccione la acción (Bloquear,Permitir o Advertir) para los sitiosweb que aún no hayan sidoverificados por McAfee GTI.

Analizar archivos antesde su descarga.

En Implementación de acciones,seleccione Permitir análisis de archivospara las descargas de archivos y luegoseleccione el nivel de riesgo deMcAfee GTI que bloquear.

Agregar sitios externosa la red privada local.

En Implementación de acciones, enEspecificar direcciones IP e intervalosadicionales a los que conceder permiso,haga clic en Agregar e introduzcala dirección IP externa o elintervalo.

Bloquear vínculos asitios peligrosos en losresultados de labúsqueda.

En Búsqueda segura, seleccioneActivar búsqueda segura, seleccione elmotor de búsqueda, y luegoespecifique si se deben bloquearlos vínculos a los sitios webpeligrosos.

Búsqueda segura filtraautomáticamente los sitios maliciososde los resultados de búsquedabasándose en su calificación deseguridad. Control web usa Yahoocomo motor de búsquedapredeterminado y es compatible conBúsqueda segura únicamente enInternet Explorer.Si cambia el motor de búsquedapredeterminado, reinicie el navegadorpara que los cambios surtan efecto.

La próxima vez que el usuario abraInternet Explorer, Control webmostrará un aviso emergente queinsta al usuario a cambiar a laBúsqueda segura de McAfee con elmotor de búsqueda especificado. Paraversiones de Internet Explorer en lasque el motor de búsqueda estábloqueado, no aparece la ventanaemergente Búsqueda segura.

6 Seleccione otras opciones según sea necesario.


Véase también Cómo se analizan las descargas de archivos en la página 171Iniciar sesión como administrador en la página 26



Cómo se analizan las descargas de archivosControl web envía solicitudes de descarga de archivos a Prevención de amenazas para su análisisantes de la descarga.

Uso de Control webAdministrar Control web 5


Cómo funciona McAfee GTIEl servidor de McAfee GTI almacena las calificaciones de sitios web y los informes de Control web. Siconfigura Control web para analizar los archivos descargados, el analizador utiliza la reputación dearchivos proporcionada por McAfee GTI para buscar archivos sospechosos.

El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos centralalojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, es posible que ladetección esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfeeLabs publique la actualización.

Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestradetectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtenganmás resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido enMuy alto de manera predeterminada. Establezca el nivel de sensibilidad para analizar descargas dearchivos en la configuración de directiva Opciones de Control web.

Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la informaciónde reputación de McAfee GTI en la configuración de Ajustes generales.

Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.

Especificar acciones de calificación y bloquear el acceso al sitioweb según la categoría web Configure las opciones de Acciones según contenido para especificar las acciones que desea aplicar a lossitios web y las descargas de archivos según las calificaciones de seguridad. También tiene la opciónde bloquear o permitir sitios web en cada categoría web.




2 Haga clic en Control web en la página principal Estado.

O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Control web en lapágina Configuración.


4 Haga clic en Acciones según contenido.

5 En la sección Bloqueo de categorías web, para cada una de las Categorías web, active o desactive la opciónBloquear.

Para los sitios web en las categorías no bloqueadas, Control web aplica las acciones de calificación.




6 En la sección Acciones de calificación, especifique las acciones que desea aplicar a los sitios web y lasdescargas de archivos según las calificaciones de seguridad definidas por McAfee.

Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoríaweb.


Véase también Uso de categorías web para el control de acceso en la página 173Uso de calificaciones de seguridad para controlar el acceso en la página 173Iniciar sesión como administrador en la página 26

Uso de categorías web para el control de accesoLas categorías web le permiten controlar el acceso a los sitios web según las categorías definidas porMcAfee. Puede especificar opciones para permitir o bloquear el acceso a sitios según la categoría de sucontenido.

Cuando activa el bloqueo de categorías web en la configuración de Acciones según contenido, elsoftware bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas,Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105categorías web.

Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitioweb pertenece a una de las categorías definidas, el acceso se bloquea o se permite según laconfiguración de la Acciones según contenido. A los sitios web y las descargas de archivos de lascategorías no bloqueadas se les aplican las Acciones de calificación especificadas.

Uso de calificaciones de seguridad para controlar el accesoConfigure las acciones según las calificaciones de seguridad para determinar si los usuarios puedenacceder a un sitio o a recursos de un sitio web.

En la configuración de Acciones según contenido, especifique si los sitios web y las descargas dearchivos se deben permitir, advertir o bloquear en función de la calificación de seguridad. Esto permiteun mayor nivel de granularidad para proteger a los usuarios contra archivos que pueden presentar unaamenaza para los sitios web con calificación global verde.

Referencia de la interfaz del Cliente de Endpoint Security:Control web


Contenido Control web: Opciones Control web: Acciones según contenido

Control web: OpcionesConfigure las opciones de Control web, entre las que se incluyen la implementación de acciones, laBúsqueda segura y las anotaciones de correo electrónico.


Uso de Control webReferencia de la interfaz del Cliente de Endpoint Security: Control web 5


Tabla 5-1 Opciones


OPCIONES Activar Control web Desactiva o activa Control web. (Opción activada de manerapredeterminada)

Ocultar la barra deherramientas en elnavegador del cliente

Oculta la barra de herramientas de Control web en elnavegador sin desactivar su funcionalidad. (Opción desactivadade manera predeterminada)

Registro deeventos

Registrar categorías webpara sitios web concalificación verde

Registra categorías de contenido para todos los sitios web concalificación verde.Activar esta función podría afectar negativamente alrendimiento del servidor de McAfee ePO.

Registrar eventos deiFrame de Control web

Registra cuando se bloquean los sitios web maliciosos (Rojo) yde advertencia (Amarillo) que aparecen en un iFrame de HTML.

Implementaciónde acciones

Aplicar esta acción asitios aún no verificadospor McAfee GTI

Especifica la acción predeterminada que aplicar a sitios webque McAfee GTI todavía no ha calificado.• Permitir (opción predeterminada): permite que los usuarios

tengan acceso al sitio web.

• Advertir: muestra una advertencia que informa a los usuariossobre los peligros potenciales asociados con el sitio web. Losusuarios deben descartar la advertencia antes de continuar.

• Bloquear: evita que los usuarios tengan acceso al sitio web ymuestra un mensaje que indica que el sitio de descargas estábloqueado.

Permitir compatibilidadcon iFrame de HTML

Bloquea el acceso a sitios web maliciosos (color Rojo) y conadvertencias (color Amarillo) que aparecen en un iFrame HTML.(Opción activada de manera predeterminada)

Bloquear sitiospredeterminados si elservidor de calificacionesMcAfee GTI no estáaccesible

Bloquea el acceso a sitios web de forma predeterminada siControl web no puede acceder al servidor de McAfee GTI.

Bloquear páginas dephishing para todos lossitios

Bloquea todas las páginas de phishing, con independencia delas acciones de calificaciones de contenido. (Opción activada demanera predeterminada)

Permitir análisis dearchivos para lasdescargas de archivos

Analiza todos los archivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scry .com) antes de descargarlos. (Opción activada de manerapredeterminada)Esta opción impide que los usuarios accedan a un archivodescargado hasta que Control web y Prevención de amenazaslo marquen como limpio.

Control web realiza una búsqueda de McAfee GTI del archivo.Si McAfee GTI permite el archivo, Control web envía el archivoa Prevención de amenazas para su análisis. Si un archivodescargado se identifica como una amenaza, Endpoint Securityrealiza una acción en el archivo y alerta al usuario.

Nivel de sensibilidad deMcAfee GTI

Especifica el nivel de sensibilidad de McAfee GTI que Controlweb utiliza para descargar archivos.

5 Uso de Control webReferencia de la interfaz del Cliente de Endpoint Security: Control web




Exclusiones Especificar direcciones IPo intervalos que excluir dela calificación o bloqueode Control web

Agrega direcciones IP e intervalos concretos a la red privadalocal y los excluye de la calificación o bloqueo.Las direcciones IP privadas se excluyen de formapredeterminada.

Procedimiento recomendado: Utilice esta opción paratratar los sitios web externos como si perteneciesen a la redlocal.

• Agregar: agregue una dirección IP a la lista de direccionesprivadas de la red local.


• Eliminar: elimina una dirección IP de la lista de direccionesprivadas de la red local.

Búsqueda segura Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente lossitios web maliciosos de los resultados de búsqueda según sucalificación de seguridad.

Establezca el motor debúsqueda predeterminadoen los navegadorescompatibles

Especifica el motor de búsqueda predeterminado en losnavegadores compatibles:• Yahoo

• Google

• Bing

• Ask

Bloquear vínculos a sitiospeligrosos en losresultados de la búsqueda

Evita que los usuarios hagan clic en vínculos a sitios webpeligrosos en los resultados de la búsqueda.



Anotaciones decorreo electrónico

Activar anotaciones en correo electrónico basadoen navegador

Anota direcciones URL en clientes decorreo electrónico basados en elnavegador (p. ej. Yahoo Mail y Gmail).

Activar anotaciones en clientes de correoelectrónico no basados en Web

Anota las URL de las herramientas deadministración de correo electrónico de32 bits, tales como Microsoft Outlook uOutlook Express.

Véase también Configuración de las opciones de Control web en la página 168Cómo se analizan las descargas de archivos en la página 171McAfee GTI en la página 176



McAfee GTIActive y configure las opciones de McAfee GTI (Global Threat Intelligence).

Tabla 5-4 Opciones


Nivel desensibilidad

Configura el nivel de sensibilidad que se debe utilizar para determinar si unamuestra detectada es malware.Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitirse más detecciones tambiénpuede que se obtengan más resultados de falsos positivos.

Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que conarchivos de contenido de AMCore normales. Puede disponer de una detecciónpara Prevención de amenazas cuando McAfee Labs la publique en lugar en lasiguiente actualización de archivos de AMCore Content.Utilice esta configuración para los equipos de sobremesa y servidores conderechos de usuario restringidos y fuertes configuraciones de seguridad.

Baja Esta configuración es la recomendación mínima para portátiles o equipos deescritorio y servidores con fuertes configuraciones de seguridad.

Media Utilice esta configuración cuando el riesgo normal de exposición a malware seasuperior al riesgo de un falso positivo. Las comprobaciones heurísticaspropietarias de McAfee Labs generan detecciones que probablemente sonmalware. No obstante, algunas detecciones podrían producir un falso positivo.Con esta configuración, McAfee Labs comprueba que las aplicaciones y losarchivos del sistema operativo conocidos no produzcan falsos positivos.Esta configuración es la recomendación mínima para portátiles, equipos desobremesa y servidores.

Alta Utilice esta configuración para el despliegue en sistemas o áreas que seinfectan con frecuencia.

Muy alto Utilice esta configuración en volúmenes que no contengan sistemasoperativos.Las detecciones que se encuentran con este nivel son supuestamentemaliciosas, pero no se han comprobado completamente para determinar si sonfalsos positivos.

Utilice esta configuración únicamente para analizar volúmenes y directoriosque no admitan la ejecución de programas ni sistemas operativos.

Véase también Control web: Opciones en la página 173

Control web: Acciones según contenidoDefine las acciones que debe realizar Control web para los sitios web calificados, las categorías decontenido web y los complementos.

Para los sitios web y las descargas de archivos, Control web aplica las acciones de calificación.



Tabla 5-5 Opciones


Acciones decalificación

Acciones decalificaciónpara sitios

Especifica acciones para los sitios web cuyo valor de calificación es Rojo oAmarillo, o bien que no tienen calificación.Los sitios web y las descargas con calificación verde se permitenautomáticamente.

• Permitir: permite que los usuarios tengan acceso al sitio web.(Opción predeterminada para los sitios web Sin calificar)

• Advertir: muestra una advertencia que informa a los usuarios sobre lospeligros potenciales asociados con el sitio web.Los usuarios deben hacer clic en Cancelar para volver al sitio que habíanvisitado antes o en Continuar para acceder al sitio.

Si en el navegador no se había visitado ningún sitio, la opción Cancelar noestá disponible.

(Opción predeterminada para los sitios web Amarillo)

• Bloquear: evita que los usuarios tengan acceso al sitio web y muestra unmensaje que indica que el sitio web está bloqueado.Los usuarios deben hacer clic en Aceptar para volver al sitio que habíanvisitado antes.

Si en el navegador no se había visitado ningún sitio, la opción Aceptar noestá disponible.

(Opción predeterminada para los sitios web Rojo)

Acciones decalificaciónpara descargasde archivos

Especifica acciones para las descargas de archivos cuyo valor decalificación es Rojo o Amarillo, o bien que no tienen calificación.Estas Acciones de calificación solo se aplican si la opción Permitir análisis dearchivos para las descargas de archivos está activada en la configuración deOpciones.

• Permitir: permite que los usuarios continúen con la descarga.(Opción predeterminada para los sitios web Sin calificar)

• Advertir: muestra una advertencia que informa a los usuarios sobre lospeligros potenciales asociados con la descarga del archivo. Los usuariosdeben descartar la advertencia para finalizar o continuar la descarga.(Opción predeterminada para los sitios web Amarillo)

• Bloquear: muestra un mensaje que indica que la descarga se habloqueado y que evita que los usuarios descarguen el archivo.(Opción predeterminada para los sitios web Rojo)



Bloqueo de categorías web Activar bloqueo decategorías web

Activa el bloqueo de sitios web basado en la categoríade contenido.

Bloquear Evita que los usuarios tengan acceso a cualquier sitioweb en esta categoría y muestra un mensaje queindica que el sitio web está bloqueado.

Categorías web Lista las categorías web.



Véase también Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web enla página 172Uso de calificaciones de seguridad para controlar el acceso en la página 173Uso de categorías web para el control de acceso en la página 173



6 Utilización de Protección adaptablefrente a amenazas

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que analiza elcontenido de su empresa y decide qué hacer en función de la reputación de los archivos, las reglas ylos umbrales de reputación.


Contenido Acerca de Protección adaptable frente a amenazas Respuesta a un aviso de reputación de archivos Administración de Protección adaptable frente a amenazas Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas

Acerca de Protección adaptable frente a amenazasProtección adaptable frente a amenazas analiza el contenido de su empresa y decide qué hacer enfunción de la reputación de los archivos, las reglas y los umbrales de reputación.

Protección adaptable frente a amenazas dispone de la capacidad de contener, bloquear o limpiar losarchivos en función de la reputación. Protección adaptable frente a amenazas se integra con el análisisde Real Protect para llevar a cabo análisis de reputación automatizados en la nube y en los sistemascliente.

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer demás fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat IntelligenceExchange. Para obtener información, póngase en contacto con su reseller o representante de ventas.


Ventajas de Protección adaptable frente a amenazasProtección adaptable frente a amenazas le permite determinar qué ocurre cuando en su entorno sedetecta un archivo con una reputación maliciosa o desconocida. También puede ver información sobreel historial de amenazas y las acciones realizadas.

Protección adaptable frente a amenazas ofrece estas ventajas:

• Detección rápida y protección frente a las amenazas de seguridad y el malware.

• La capacidad de saber qué sistemas o dispositivos están comprometidos, y cómo se ha propagadola amenaza por el entorno.

6


• La capacidad de contener, bloquear o limpiar inmediatamente determinados archivos y certificadosen función de sus reputaciones de amenaza y los criterios de riesgo.

• Integración con el análisis de Real Protect para llevar a cabo análisis de reputación automatizadosen la nube y en los sistemas cliente.

• Integración en tiempo real con McAfee® Advanced Threat Defense y McAfee GTI a fin deproporcionar evaluaciones y datos detallados sobre la clasificación del malware. Esta integraciónpermite responder a las amenazas y compartir la información en todo el entorno.

Componentes de Protección adaptable frente a amenazasProtección adaptable frente a amenazas puede incluir estos componentes adicionales: Servidor de TIEy Data Exchange Layer.

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que le permitecrear directivas para contener, bloquear o limpiar archivos o certificados en función de la reputación.Además, Protección adaptable frente a amenazas se integra con el análisis de Real Protect para llevara cabo análisis de reputación automatizados en la nube y en los sistemas cliente.

Protección adaptable frente a amenazas también se integra con:

• Servidor de TIE: servidor que almacena información sobre reputaciones de archivos ycertificados, información que después transmite a otros sistemas.

El Servidor de TIE es opcional. Para obtener información sobre el servidor, véase la Guía delproducto de Threat Intelligence Exchange.

• Data Exchange Layer: clientes y brókers que permiten la comunicación bidireccional entre elmódulo Protección adaptable frente a amenazas del sistema gestionado y el servidor de TIE.

Data Exchange Layer es opcional, pero es necesario para la comunicación con el servidor de TIE.Para obtener detalles al respecto, véase la Guía del producto de McAfee Data Exchange Layer.

Estos componentes incluyen extensiones de McAfee ePO que incorporan diversos informes y funcionesnuevos.

6 Utilización de Protección adaptable frente a amenazasAcerca de Protección adaptable frente a amenazas


Si Servidor de TIE y Data Exchange Layer están presentes, Protección adaptable frente a amenazas yel servidor se comunican información sobre reputación de archivos. El marco de Data Exchange Layertransmite inmediatamente esa información a los endpoints gestionados. Asimismo, comparteinformación con otros productos de McAfee que acceden a Data Exchange Layer, tales como McAfee

®

Enterprise Security Manager (McAfee ESM) y McAfee®

Network Security Platform.

Figura 6-1 Protección adaptable frente a amenazas con Servidor de TIE y Data Exchange Layer

Utilización de Protección adaptable frente a amenazasAcerca de Protección adaptable frente a amenazas 6


Si Servidor de TIE y Data Exchange Layer no están presentes, Protección adaptable frente a amenazasse comunica con McAfee GTI para transmitir información sobre reputación de archivos.

Figura 6-2 Protección adaptable frente a amenazas con McAfee GTI

Cómo funciona Protección adaptable frente a amenazasProtección adaptable frente a amenazas utiliza reglas para determinar qué acciones se llevan a caboen función de diversos puntos de datos, tales como reputaciones, inteligencia local e informacióncontextual. Las reglas se pueden gestionar de forma independiente.

Protección adaptable frente a amenazas funciona de manera diferente dependiendo de si se comunicacon TIE o no:

• Si el Servidor de TIE está disponible, Protección adaptable frente a amenazas utiliza el marco deData Exchange Layer para compartir la información sobre los archivos y las amenazasinstantáneamente en toda la empresa. Puede ver el sistema concreto donde se ha detectado unaamenaza por primera vez, a qué ubicaciones se ha dirigido desde allí y detenerla inmediatamente.

Protección adaptable frente a amenazas con el Servidor de TIE le permite controlar la reputaciónde los archivos en un nivel local, en su entorno. Usted decide qué archivos se pueden ejecutar ycuáles se bloquean, y Data Exchange Layer comparte la información de manera inmediata en todoel entorno.

• Si el Servidor de TIE no está disponible y el sistema está conectado a Internet, Protecciónadaptable frente a amenazas utiliza McAfee GTI para las decisiones relacionadas con la reputación.

• Si Si el Servidor de TIE no está disponible y el sistema no está conectado a Internet, Protecciónadaptable frente a amenazas determina la reputación de los archivos sirviéndose de la informaciónsobre el sistema local.



Escenarios de uso de Protección adaptable frente a amenazas

• Bloquear un archivo inmediatamente: Protección adaptable frente a amenazas alerta aladministrador de la red sobre un archivo desconocido en el entorno. En lugar de enviar lainformación del archivo a McAfee para su análisis, el administrador bloquea el archivo deinmediato. El administrador puede utilizar entonces el Servidor de TIE, si está disponible, paraaveriguar cuántos sistemas han ejecutado el archivo y Advanced Threat Defense para determinar siel archivo constituye una amenaza.

• Permitir que un archivo personalizado se ejecute: una empresa utiliza habitualmente unarchivo cuya reputación predeterminada es sospechosa o maliciosa; por ejemplo, un archivopersonalizado creado para la empresa. Dado que este archivo está permitido, en lugar de enviar lainformación del archivo a McAfee y recibir un archivo DAT actualizado, el administrador puedeasignar al archivo una reputación de confianza y permitir que se ejecute sin advertencias ni avisos.

• Permitir que un archivo se ejecute en un contenedor: cuando una empresa utiliza porprimera vez un archivo cuya reputación se desconoce, el administrador puede decidir permitir quese ejecute en un contenedor. En este caso, el administrador configura las reglas de contención enla configuración de Contención dinámica de aplicaciones. Las reglas de contención definen lasacciones que la aplicación contenida no puede realizar.

Comprobación del estado de la conexiónPara determinar si Protección adaptable frente a amenazas en el sistema cliente obtiene lasreputaciones de archivo desde Servidor de TIE o McAfee GTI, consulte la página Cliente de EndpointSecurity: Acerca de.



2 En el menú Acción , seleccione Acerca de.

3 Haga clic en Protección adaptable frente a amenazas, en la parte izquierda.

El campo Estado de la conexión indica uno de los siguientes estados para Protección adaptable frente aamenazas:

• Conectividad de Inteligencia de amenazas: está conectado a Servidor de TIE para transmitir informaciónde reputación en el nivel de la empresa.

• Solo conectividad de McAfee GTI: está conectado a McAfee GTI para transmitir información dereputación en un nivel global.

• Desconectado: no está conectado a Servidor de TIE o McAfee GTI. Protección adaptable frente aamenazas determina la reputación de los archivos sirviéndose de la información del sistemalocal.

Cómo se determina una reputaciónLa reputación de archivos y certificados se determina cuando un archivo intenta ejecutarse en unsistema gestionado.

A la hora de determinar la reputación de un archivo o certificado, se realizan los pasos siguientes.

1 Un usuario o un sistema intentan ejecutar un archivo.

2 Endpoint Security comprueba las exclusiones para determinar si debe inspeccionar o no el archivo.

Utilización de Protección adaptable frente a amenazasAcerca de Protección adaptable frente a amenazas 6


3 Endpoint Security inspecciona el archivo y no puede determinar su validez ni su reputación.

4 El módulo Protección adaptable frente a amenazas inspecciona el archivo y recopila las propiedadesde interés del archivo y del sistema local.

5 El módulo busca el hash del archivo en la caché de reputación local. Si se encuentra el hash delarchivo, el módulo obtiene de la caché los datos de reputación y la prevalencia de Enterprisecorrespondientes al archivo.

• Si no se encuentra el hash del archivo en la caché de reputación local, el módulo envía unaconsulta al servidor de TIE. Si se encuentra el hash, el módulo obtiene los datos de prevalenciade Enterprise (y las reputaciones disponibles) correspondientes a ese hash del archivo.

• Si no se encuentra el hash del archivo en la base de datos o el Servidor de TIE, el servidor envíauna consulta a McAfee GTI sobre la reputación del hash del archivo. McAfee GTI envía lainformación disponible, por ejemplo, "desconocido" o "malicioso", y el servidor almacena esainformación.

El servidor envía el archivo para su análisis si se dan estas dos circunstancias:

• Advanced Threat Defense está disponible o activado como proveedor de reputaciones, elservidor busca localmente si la reputación de Advanced Threat Defense está presente; si nolo está, marca el archivo como candidato para el envío.

• La directiva del endpoint está configurada para enviar el archivo a Advanced Threat Defense.

Puede consultar los pasos adicionales en Si Advanced Threat Defense está presente.

6 El servidor devuelve al módulo la antigüedad, los datos de prevalencia y la reputación de empresacorrespondientes al hash del archivo en función de los datos encontrados. Si el archivo es nuevo enel entorno, el servidor también envía un indicador de primera instancia al módulo Protecciónadaptable frente a amenazas. Si McAfee Web Gateway está presente y envía una calificación dereputación, el Servidor de TIE devuelve la reputación del archivo.

7 El módulo evalúa estos metadatos a fin de determinar la reputación del archivo:

• Propiedades del archivo y del sistema

• Datos de prevalencia y antigüedad de Enterprise

• Reputación

8 El módulo actúa de acuerdo con la directiva asignada al sistema que ejecuta el archivo.

9 El módulo actualiza el servidor con la información de reputación, además de indicar si el archivo sepermite, se bloquea o contiene. Además, envía los eventos de amenaza a McAfee ePO medianteMcAfee Agent.

10 El servidor publica el evento de cambio de reputación para el hash del archivo.



Si Advanced Threat Defense está presente

Si Advanced Threat Defense está presente, se producen los procesos siguientes.

1 Si el sistema se ha configurado para enviar archivos a Advanced Threat Defense y el archivo esnuevo en el entorno, el sistema envía el archivo al Servidor de TIE. A continuación, el Servidor deTIE lo envía a Advanced Threat Defense para su análisis.

2 Advanced Threat Defense analiza el archivo y envía los resultados relativos a la reputación delarchivo al Servidor de TIE mediante Data Exchange Layer. El servidor también actualiza la base dedatos y envía la información de reputación actualizada a todos los sistemas con Protecciónadaptable frente a amenazas activado a fin de proteger su entorno de forma inmediata. Protecciónadaptable frente a amenazas o cualquier otro producto de McAfee pueden iniciar este proceso. Encualquier caso, Protección adaptable frente a amenazas procesa la reputación y la guarda en labase de datos.

Para obtener información sobre cómo se integra Advanced Threat Defense con Protección adaptablefrente a amenazas, consulte la Guía del producto de McAfee Advanced Threat Defense.

Si McAfee Web Gateway está presente

Si McAfee Web Gateway está presente, ocurre lo siguiente.

• Cuando se descargan archivos, McAfee Web Gateway envía un informe al Servidor de TIE, el cualguarda la calificación de reputación en la base de datos. Cuando el servidor recibe una solicitud dereputación de archivos del módulo, devuelve la reputación recibida de McAfee Web Gateway y otrosproveedores de reputación.

Para obtener información sobre cómo McAfee Web Gateway intercambia información mediante unServidor de TIE, consulte el capítulo sobre los servidores proxy de la Guía del producto de McAfeeWeb Gateway.

¿Cuándo se vacía la caché?

• Toda la caché de Protección adaptable frente a amenazas se vacía cuando cambia la configuraciónde las reglas:

• El estado de una o varias reglas ha cambiado; por ejemplo, de activada a desactivada.

• La asignación del conjunto de reglas ha cambiado; por ejemplo, de Equilibrio a Seguridad.

• Se vacía la caché de un archivo o certificado individual cuando:

• La caché tiene más de 30 días de antigüedad.

• El archivo ha cambiado en el disco.

• El Servidor de TIE publica un evento de cambio de reputación.

La siguiente vez que Protección adaptable frente a amenazas recibe un aviso sobre el archivo, sevuelve a calcular la reputación.

Respuesta a un aviso de reputación de archivosCuando un archivo con un nivel de reputación determinado intente ejecutarse en su sistema, esposible que Protección adaptable frente a amenazas solicite su intervención para continuar. Tal

Utilización de Protección adaptable frente a amenazasRespuesta a un aviso de reputación de archivos 6


solicitud solo aparece si Protección adaptable frente a amenazas está instalada y configurada paraello.

El administrador configura el umbral de reputación, momento en el que se muestra una confirmación.Por ejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación paratodos los archivos con una reputación desconocida e inferior.

Si no selecciona una opción, Protección adaptable frente a amenazas realiza la acción predeterminadaconfigurada por el administrador.

La solicitud, el tiempo de espera y la acción predeterminada dependen de cómo esté configuradaProtección adaptable frente a amenazas.



1 (Opcional) Cuando se le solicite, introduzca un mensaje para enviar al administrador.

Por ejemplo, utilice el mensaje para describir el archivo o para explicar su decisión de permitir obloquear el archivo en el sistema.

2 Haga clic en Permitir o Bloquear.

Permitir Permitir el archivo.

Bloquear Bloquear el archivo en el sistema.

Para que Protección adaptable frente a amenazas no vuelva a preguntar en relación con el archivo,seleccione Recordar esta decisión.

Protección adaptable frente a amenazas actúa, bien según su elección o bien conforme a la acciónpredeterminada, y cierra la ventana de la solicitud.

Administración de Protección adaptable frente a amenazasEn tanto que administrador, puede especificar la configuración de Protección adaptable frente aamenazas; por ejemplo, seleccionando grupos de reglas, estableciendo umbrales de reputación,activando Real Protect y configurando Contención dinámica de aplicaciones.


Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer demás fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat IntelligenceExchange. Para obtener información, póngase en contacto con su reseller o representante de ventas.


IntroducciónDespués de instalar Protección adaptable frente a amenazas, ¿qué hay que hacer?

Para empezar a utilizar Protección adaptable frente a amenazas, haga lo siguiente:

6 Utilización de Protección adaptable frente a amenazasAdministración de Protección adaptable frente a amenazas


1 Cree directivas de Protección adaptable frente a amenazas para determinar lo que se permite, sebloquea o se contiene.

2 Ejecute Protección adaptable frente a amenazas en el modo de evaluación para crear la prevalenciade archivos y observar lo que Protección adaptable frente a amenazas detecta en el entorno.Protección adaptable frente a amenazas genera eventos Bloquearía, Limpiaría y Contendría paramostrar qué acciones realizaría. La prevalencia de un archivo indica la frecuencia con la que sedetecta en su entorno.

3 Supervise y ajuste las directivas, o bien las reputaciones de archivos o certificados individuales,para controlar lo que se permite en su entorno.

Creación de la prevalencia de archivos y observaciónTras la instalación y el despliegue, empiece a crear la prevalancia de archivos y la información sobreamenazas actual.

Puede ver qué se está ejecutando en su entorno y agregar información de reputación de archivos ycertificados a la base de datos del Servidor de TIE. Esta información también rellena los gráficos ypaneles disponibles en el módulo donde se visualiza la información de reputación detallada sobre losarchivos y los certificados.

Para empezar, cree una o varias directivas de Protección adaptable frente a amenazas a fin deejecutarlas en unos pocos sistemas de su entorno. Las directivas determinan lo siguiente:

• Cuándo se permite que un archivo o certificado con una reputación concreta se ejecuten en unsistema

• Cuándo se bloquea un archivo o certificado

• Cuándo se contiene una aplicación

• Cuándo se solicita confirmación al usuario sobre qué hacer

• Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis

Mientras crea la prevalencia de los archivos, puede ejecutar las directivas en el modo de evaluación.Se agregan las reputaciones de archivos y certificados a la base de datos, y se generan eventosBloquearía, Limpiaría y Podría contener, pero no se lleva a cabo ninguna acción. Puede ver lo queProtección adaptable frente a amenazas bloquea, permite o contiene si se implementa la directiva.

Supervisión y realización de ajustesA medida que las directivas se ejecutan en su entorno, se agregan datos de reputación a la base dedatos.

Utilice los paneles y las vistas de eventos de McAfee ePO para ver los archivos y certificadosbloqueados, permitidos o contenidos en función de las directivas.

Puede visualizar información detallada por endpoint, archivo, regla o certificado, además de ver conrapidez el número de elementos identificados y las acciones realizadas. Puede acceder a informacióndetallada haciendo clic en un elemento, así como ajustar la configuración de reputación para archivoso certificados concretos de manera que se realice la acción adecuada.

Utilización de Protección adaptable frente a amenazasAdministración de Protección adaptable frente a amenazas 6


Por ejemplo, si un archivo de reputación predeterminada es sospechosa o desconocida, pero sabe quees un archivo de confianza, puede cambiar la reputación a de confianza. A partir de ese momento, laaplicación tiene permiso para ejecutarse en su entorno sin que se bloquee o se solicite confirmación alusuario para llevar a cabo la acción. Puede cambiar la reputación de los archivos internos opersonalizados utilizados en su entorno.

• Utilice la función Reputaciones de TIE para buscar el nombre de un archivo o certificadoespecíficos. Puede ver detalles sobre el archivo o certificado, como el nombre de la empresa,valores de hash SHA-1 y SHA-256, MD5, descripción e información de McAfee GTI. En el caso delos archivos, también puede acceder a los datos de VirusTotal directamente desde la página dedetalles de Reputaciones de TIE para ver más información.

• Utilice la página Informes - Paneles para ver diversos tipos de información sobre reputación a lavez. Puede ver el número de archivos nuevos detectados en su entorno en la última semana, losarchivos por reputación, los archivos cuya reputación ha cambiado recientemente, los sistemas quehan ejecutado recientemente archivos nuevos, etc. Al hacer clic en un elemento en el panel,aparece información detallada.

• Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo hanejecutado y podrían estar comprometidos.

• Cambie la reputación de un archivo o certificado según proceda en su entorno. La información seactualiza de inmediato en la base de datos y se envía a todos los dispositivos gestionados porMcAfee ePO. Los archivos y los certificados se bloquean, se permiten o se contienen en función desu reputación.

Si no está seguro de qué hacer con un archivo o certificado concreto, puede:

• Bloquear la ejecución mientras obtiene más información sobre este.

Al contrario que una acción de limpieza de Prevención de amenazas que podría eliminar elarchivo, al bloquearlo se conserva el archivo, pero no se permite su ejecución. El archivopermanece intacto mientras lo investiga y decide qué hacer.

• Permitir la ejecución de los elementos contenidos.

La contención de aplicación dinámica ejecuta aplicaciones con reputaciones específicas en uncontenedor, lo que bloquea acciones según las reglas de contención. La aplicación tiene permisopara ejecutarse; sin embargo, algunas de las acciones podrían provocar un error, según lasreglas.

• Importe las reputaciones de archivos o certificados a la base de datos para permitir o bloqueararchivos o certificados concretos en función de otros orígenes de reputación. Esto permite utilizar laconfiguración importada para archivos y certificados concretos sin tener que establecerlaindividualmente en el servidor.

• La columna Reputación compuesta de la página Reputaciones de TIE muestra la reputación conmayor prevalencia y su proveedor. (Servidor de TIE 2.0 y posterior)

• La columna Regla aplicada más reciente de la página Reputaciones de TIE muestra y rastrea lainformación de reputación basándose en la regla de detección más reciente aplicada para cadaarchivo del endpoint.

Puede personalizar esta página seleccionando Acciones | Elegir columnas.

Envío de archivos para un análisis más detalladoSi la reputación de un archivo es desconocida, puede enviarlo a Advanced Threat Defense para que serealice un análisis más detenido. Especifique en la directiva del Servidor de TIE qué archivos se debenenviar.



Advanced Threat Defense detecta malware de tipo zero-day y combina firmas antivirus, reputación ydefensas de emulación en tiempo real.Puede enviar automáticamente archivos desde Protecciónadaptable frente a amenazas a Advanced Threat Defense en función de su nivel de reputación ytamaño de archivo. La información de reputación de archivos enviada desde Advanced Threat Defensese agrega a la base de datos del Servidor de TIE.

Información de telemetría de McAfee GTI

La información sobre archivos y certificados que se envía a McAfee GTI se utiliza para comprender ymejorar la información sobre reputación. Consulte la tabla para obtener detalles sobre la informaciónque proporciona McAfee GTI para los archivos y certificados, solo para los archivos o solo para loscertificados.

Categoría Descripción

Archivos ycertificados

• Versiones del módulo y del servidor de TIE

• Configuración de omisión de reputación realizada con el servidor de TIE

• Información de reputación externa, por ejemplo, de Advanced Threat Defense

Solo archivos • Nombre, tipo, ruta, tamaño, producto, publicador y prevalencia del archivo

• Información sobre SHA-1, SHA-256 y MD5

• Versión del sistema operativo del equipo que ha informado del archivo

• Reputación máxima, mínima y promedio del archivo

• Si el módulo de generación de informes está en el modo de evaluación

• Si el archivo se ha permitido, bloqueado, contenido o limpiado

• Producto que ha detectado el archivo; por ejemplo, Advanced Threat Defense oPrevención de amenazas

Solocertificados

• Información sobre SHA-1

• El nombre del emisor del certificado y el sujeto

• La fecha en el que certificado era válido y su fecha de caducidad

McAfee no recopila información de identificación personal y no comparte la información fuera deMcAfee.

Contención de aplicaciones de forma dinámicaContención de aplicación dinámica le permite especificar las aplicaciones con una reputación concretaque se ejecutan en un contenedor.

Según el umbral de reputación, Protección adaptable frente a amenazas solicita que Contencióndinámica de aplicaciones ejecute la aplicación en un contenedor. Las aplicaciones contenidas nopueden ejecutar determinadas acciones, según se especifique en las reglas de contención.

Esta tecnología posibilita evaluar las aplicaciones desconocidas y potencialmente no seguraspermitiendo su ejecución en el entorno, pero limitando a la vez las acciones que pueden realizar. Losusuarios pueden utilizar las aplicaciones, pero su funcionamiento podría no ser el esperado siContención dinámica de aplicaciones bloquea determinadas acciones. Una vez haya determinado quela aplicación es segura, puede configurar Protección adaptable frente a amenazas de Endpoint Securityo Servidor de TIE para permitir su ejecución con normalidad.



Para utilizar Contención dinámica de aplicaciones:

1 Active Protección adaptable frente a amenazas y especifique el umbral de reputación para activarContención dinámica de aplicaciones en Opciones.

2 Configure las reglas y las exclusiones de contención definidas por McAfee en Contención dinámica deaplicaciones.

Véase también Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en lapágina 192Configuración de reglas de contención definidas por McAfee en la página 193Activación del umbral de activación de Contención de aplicación dinámica en la página 192

Cómo funciona la Contención dinámica de aplicacionesProtección adaptable frente a amenazas utiliza la reputación de una aplicación para determinar si sedebe solicitar que Contención dinámica de aplicaciones ejecute la aplicación con restricciones. Cuandoen su entorno se ejecuta un archivo con la reputación especificada, Contención dinámica deaplicaciones bloquea o registra las acciones no seguras, en función de las reglas de contención.

Cuando las aplicaciones activan reglas de bloqueo de contención, Contención dinámica de aplicacionesutiliza esta información para contribuir a la reputación general de las aplicaciones contenidas.

Otras tecnologías, tales como McAfee Active Response, pueden solicitar la contención. Si variastecnologías registradas con Contención dinámica de aplicaciones solicitan que se contenga unaaplicación, cada solicitud es acumulativa. La aplicación continúa como contenida hasta que todas lastecnologías la liberen. Si se desactiva o quita una tecnología que ha solicitado la contención,Contención dinámica de aplicaciones libera esas aplicaciones.

Flujo de trabajo de Contención de aplicación dinámica

1 Se inicia el proceso.

2 Protección adaptable frente a amenazas comprueba la reputación del archivo.

Protección adaptable frente a amenazas utiliza el servidor de TIE, si está disponible, paracomprobar la reputación de la aplicación. Si el servidor de TIE no está disponible, Protecciónadaptable frente a amenazas utiliza McAfee GTI para obtener la información de reputación.

Si no se conoce la reputación y los analizadores de Real Protect basado en la nube y basado en elcliente están activados, Protección adaptable frente a amenazas consulta la reputación a RealProtect.

3 Si la reputación de la aplicación coincide con el umbral de reputación de contención o se encuentrapor debajo de él, Protección adaptable frente a amenazas notifica a Contención dinámica deaplicaciones que el proceso se ha iniciado y solicita la contención.

4 Contención dinámica de aplicaciones contiene el proceso.

Puede ver Contención de aplicación dinámica en el Registro de eventos de amenazas de McAfeeePO.

5 Si considera que la aplicación contenida es segura, puede permitir que se ejecute con normalidad(no como si estuviese calificada como contenida).



Véase también Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en lapágina 192



Concesión de permiso a las aplicaciones contenidas para que se ejecutencon normalidadUna vez que determine que una aplicación contenida es segura, puede permitir que se ejecute en elentorno con normalidad.

• Agregue la aplicación a la lista de Exclusiones globales de la configuración de Contención dinámicade aplicaciones.

En este caso, se libera la aplicación de la contención y se ejecuta con normalidad,independientemente del número de tecnologías que solicitaron su contención.

• Configure Protección adaptable frente a amenazas para aumentar el umbral de reputación yliberarla de la contención.

En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos queotra tecnología haya solicitado la contención de esta aplicación.

• Si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita suejecución, como Conocido de confianza.En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos queotra tecnología haya solicitado la contención de esta aplicación.

Consulte la Guía del producto de McAfee Threat Intelligence Exchange.

Véase también Exclusión de los procesos de Contención de aplicación dinámica en la página 194

Activación del umbral de activación de Contención de aplicación dinámicaCon la tecnología Contención dinámica de aplicaciones, puede especificar que las aplicaciones conreputaciones específicas se ejecuten en un contenedor, lo que limita las acciones que pueden llevar acabo. Active la implementación de acciones de Contención dinámica de aplicaciones y especifique elumbral de reputación al que se deben las aplicaciones se deben ejecutar en un contenedor.




2 Haga clic en Protección adaptable frente a amenazas en la página principal Estado.

O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptablefrente a amenazas en la página Configuración.



5 Verifique que Protección adaptable frente a amenazas está activada.

6 Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.



7 Especifica el umbral de reputación en el que se deben contener las aplicaciones.

• Posiblemente de confianza

• Desconocido (valor predeterminado para el grupo de reglas Seguridad)

• Posiblemente malicioso (valor predeterminado para el grupo de reglas Equilibrado)

• Probablemente malicioso (valor predeterminado para el grupo de reglas Productividad)

• Conocido malicioso

El umbral de reputación de la contención de aplicación dinámica debe ser mayor que el de Bloqueary Limpiar. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de lacontención de aplicación dinámica debe ser Probablemente malicioso o superior.


Configuración de reglas de contención definidas por McAfeeLas reglas de contención definidas por McAfee bloquean o registran las acciones que las aplicacionescontenidas pueden ejecutar. Puede modificar la configuración de bloqueo e información, pero por lodemás no es posible modificar ni eliminar estas reglas.


Para obtener información sobre las reglas de Contención dinámica de aplicaciones, incluidos losprocedimientos recomendados para saber cuándo configurar una regla de informe o bloqueo, véaseKB87843.






4 Haga clic en Contención dinámica de aplicaciones.

5 En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones para la regla.



6 En la sección Exclusiones, configure los ejecutables que excluir de Contención de aplicación dinámica.

Los procesos en la lista de Exclusiones se ejecutan con normalidad (no como los contenidos).


Véase también Exclusión de los procesos de Contención de aplicación dinámica en la página 194




Administración de aplicaciones contenidasCuando en la Contención dinámica de aplicaciones se incluye la aplicación de confianza, puedeexcluirla de la contención en el Cliente de Endpoint Security. Al excluir la aplicación, se libera, se quitade las Aplicaciones contenidas y se añade a Exclusiones, lo que impide que se contenga en un futuro.







4 Haga clic en Contención dinámica de aplicaciones.

5 En la sección Aplicaciones contenidas, seleccione la aplicación y, a continuación, haga clic en Excluir.

6 En la página Agregar ejecutable, configure las propiedades del ejecutable y, a continuación, haga clicen Guardar.

La aplicación aparecerá en la lista Exclusiones. La aplicación permanece en la lista Aplicaciones contenidashasta que haga clic en Aplicar. Cuando vuelva a la página Configuración, la aplicación solo aparece enla lista Exclusiones.


Exclusión de los procesos de Contención de aplicación dinámicaSi un programa de confianza está contenido, exclúyalo creando una exclusión de Contención deaplicación dinámica.

Las exclusiones creadas mediante el Cliente de Endpoint Security solo son de aplicación al sistemacliente. Estas exclusiones no se envían a McAfee ePO ni aparecen en la sección Exclusiones de laconfiguración de Contención dinámica de aplicaciones.

En los sistemas gestionados, cree exclusiones globales en la configuración de Contención dinámica deaplicaciones en McAfee ePO.








4 Haga clic en Contención de aplicación dinámica.

5 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.



Configuración de las opciones de Protección adaptable frente aamenazasLa configuración de Protección adaptable frente a amenazas determina cuándo se permite ejecutar, secontiene, se limpia o se bloquea un archivo o certificado, o bien si se pregunta qué hacer a losusuarios.


Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la páginaConfiguración.








Archivos y certificados bloqueados o permitidosLos archivos y los certificados tienen reputaciones de amenaza basadas en su contenido y suspropiedades. Las directivas de Protección adaptable frente a amenazas determinan si se bloquean o



permiten los archivos y los certificados en los sistemas de su entorno en función de los niveles dereputación.

Existen tres niveles de seguridad en función de cómo se desee equilibrar las reglas correspondientes atipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican losarchivos y certificados sospechosos y maliciosos.

• Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalacionesde programas de confianza, y que reciben actualizaciones frecuentes. Ejemplos de este tipo desistemas son los equipos que se utilizan en los entornos de desarrollo. Para esta configuración seemplean menos reglas con las directivas. Los usuarios ven escasos bloqueos y solicitudes deconfirmación cuando se detectan nuevos archivos.

• Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizancambios con poca frecuencia. Para esta configuración se emplean más reglas con las directivas. Losusuarios experimentan más bloqueos y solicitudes de confirmación.

• Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios.Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entornofinanciero o gubernamental. Esta configuración también se usa para los servidores. Para estaconfiguración se emplea el número máximo de reglas con las directivas. Los usuarios experimentanaún más bloqueos y solicitudes de confirmación.

Para ver las reglas específicas asociadas con cada nivel de seguridad, seleccione Menú | Configuración delservidor. En la lista Categorías de configuración, seleccione Protección adaptable frente a amenazas.

A la hora de determinar qué nivel de seguridad asignar a una directiva, tenga en cuenta el tipo desistema donde se emplea la directiva y qué cantidad de bloqueos y solicitudes quiere que experimenteel usuario. Tras crear una directiva, asígnela a los equipos o dispositivos a fin de determinar quécantidad de bloqueos y solicitudes de confirmación se producen.

Utilización del análisis de Real ProtectEl analizador de Real Protect inspeccione los archivos y las actividades sospechosos de un endpointpara detectar patrones maliciosos mediante técnicas de aprendizaje automático. Sirviéndose de estainformación, el analizador puede detectar malware de tipo zero-day.

La tecnología Real Protect no es compatible con algunos sistemas operativos Windows. VéaseKB82761 para obtener información.

El analizador de Real Protect ofrece dos opciones para realizar análisis automatizados:

• En la nube

Real Protect basado en la nube recopila y envía los atributos y la información relacionada con elcomportamiento del archivo al sistema de aprendizaje automático de la nube para realizar unanálisis en busca de malware.

Esta opción necesita conectividad a Internet para mitigar los falsos positivos utilizando lareputación de McAfee GTI.

Procedimiento recomendado: Desactive Real Protect basado en nube en los sistemas que noestán conectados a Internet.




• En el sistema cliente

Real Protect basado en cliente utiliza el aprendizaje automático en el sistema cliente paradeterminar si el archivo coincide con malware conocido. Si el sistema cliente está conectado aInternet, Real Protect envía información de telemetría a la nube, pero no utiliza la nube para elanálisis.

Si el sistema cliente utiliza TIE para las reputaciones, no necesita conectividad a Internet paramitigar los falsos positivos.

Procedimiento recomendado: Active ambas opciones de Real Protect a menos que el servicio desoporte le recomiende anular la selección de una de ellas o de ambas para reducir los falsos positivos.

No se envía información de identificación personal a la nube.

Referencia de la interfaz del Cliente de Endpoint Security:Protección adaptable frente a amenazas


Contenido Protección adaptable frente a amenazas: Contención dinámica de aplicaciones Protección adaptable frente a amenazas: Opciones

Protección adaptable frente a amenazas: Contención dinámicade aplicacionesLimite las acciones que las aplicaciones contenidas pueden ejecutar según las reglas configuradas paraproteger el sistema.

Tabla 6-1 Opciones


Reglas decontención

Configura reglas de Contención dinámica de aplicaciones.Puede modificar si las reglas de contención definidas por McAfee bloquean oinforman; sin embargo, no podrá cambiar o eliminar estas reglas.

• (Solo) Bloquear: bloquea, pero no registra, aplicaciones contenidas para queno ejecuten las acciones específicas de la regla.

• (Solo) Informar: registra las aplicaciones que intentan ejecutar accionesrecogidas en la regla, pero no evita que las realicen.

• Bloquear e informar: Bloquea y registra los intentos de acceso.

Procedimiento recomendado: Si no se conoce la repercusión total de unaregla, seleccione Informar y no Bloquear para recibir una advertencia sinbloquear los intentos de acceso. Para determinar si se debe bloquear elacceso, supervise los registros e informes.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primerafila.


Aplicacionescontenidas

Muestra la lista de aplicaciones que están contenidas actualmente.• Excluir: mueve la aplicación contenida a la lista de exclusiones, lo que las

libera de la contención y permite que se ejecuten con normalidad.

Utilización de Protección adaptable frente a amenazasReferencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas 6




Exclusiones Excluye procesos de la contención.• Agregar: agrega un proceso a la lista de exclusión.




Véase también Cómo funciona la Contención dinámica de aplicaciones en la página 190Agregar exclusión o Editar exclusión en la página 198Configuración de reglas de contención definidas por McAfee en la página 193Exclusión de los procesos de Contención de aplicación dinámica en la página 194

Agregar exclusión o Editar exclusiónAgregue o edite un ejecutable que se deba excluir de Contención dinámica de aplicaciones.







Tabla 6-3 Opciones

Opción Definición

Nombre Especifica el nombre que le da al ejecutable.Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o ruta, HashMD5 o Firmante.





6 Utilización de Protección adaptable frente a amenazasReferencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas



Opción Definición


• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.

• Firmado por: permite solo los archivos firmados por el firmante de procesoespecificado.Se requiere un nombre distintivo del firmante (SDN) que debe coincidirexactamente con las entradas en el campo adjunto, incluidos comas y espacios.

El firmante del proceso aparece en el formato correcto en los eventos del Registrode eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazasde McAfee ePO. Por ejemplo:











• S = California

• C = US


Protección adaptable frente a amenazas: OpcionesConfigure las opciones del módulo Protección adaptable frente a amenazas.

Tabla 6-4 Opciones


Opciones Activar Protecciónadaptable frente aamenazas

Activa el módulo Protección adaptable frente a amenazas.(Opción activada de forma predeterminada)

Permitir a ThreatIntelligenceExchange Serverrecopilar datosanónimos dediagnóstico y de uso

Permite que el Servidor de TIE envíe información anónima sobrearchivos a McAfee.





Usar la reputación dearchivos de McAfeeGTI si ThreatIntelligenceExchange Server noestá disponible

Obtiene información de reputación de archivos del proxy de GlobalThreat Intelligence si el Servidor de TIE no está disponible.

Impedir que losusuarios cambien laconfiguración (soloclientes de ThreatIntelligenceExchange 1.0)

Impide que los usuarios de los sistemas gestionados cambien laconfiguración de Threat Intelligence Exchange 1.0.

Asignación deregla

Productividad Asigna el grupo de reglas Productividad.Utilice este grupo para sistemas con muchos cambios einstalaciones y actualizaciones frecuentes de software deconfianza.

Este grupo es el que emplea menos reglas. El usuario recibe unmínimo de solicitudes y experimenta el menor número debloqueos cuando se detectan nuevos archivos.

Equilibrio Asigna el grupo de reglas Equilibrio.Utilice este grupo para sistemas empresariales típicos en los quelos cambios y el software nuevo son poco frecuentes.

Este grupo emplea más reglas (y los usuarios reciben mássolicitudes y experimentan bloqueos) que el grupo Productividad.

Seguridad Asigna el grupo de reglas Seguridad.Utilice este grupo para sistemas con pocos cambios, tales comoservidores y sistemas administrados por el departamento de TIcon un elevado nivel de control.

El usuario recibe más solicitudes y experimenta más bloqueos quecon el grupo Equilibrio.

Análisis de RealProtect

Activar análisisbasado en el cliente

Activa el análisis de Real Protect basado en cliente, que utiliza elaprendizaje automático en el sistema cliente para determinar si elarchivo coincide con malware conocido. Si el sistema cliente estáconectado a Internet, Real Protect envía información de telemetríaa la nube, pero no utiliza la nube para el análisis.Si el sistema cliente utiliza TIE para las reputaciones, no necesitaconectividad a Internet para mitigar los falsos positivos.

Procedimiento recomendado: Seleccione esta opción a menosque el servicio de soporte le recomiende anular su selección parareducir los falsos positivos.

La tecnología Real Protect no es compatible con algunos sistemasoperativos Windows. Véase KB82761 para obtener información.






Activar análisisbasado en la nube

Activa el análisis de Real Protect basado en nube, que recopila yenvía los atributos y la información relacionada con elcomportamiento del archivo al sistema de aprendizaje automáticode la nube para su análisis.Esta opción necesita conectividad a Internet para mitigar los falsospositivos utilizando la reputación de McAfee GTI.

Procedimiento recomendado: Desactive Real Protect basadoen nube en los sistemas que no están conectados a Internet.

La tecnología Real Protect no es compatible con algunos sistemasoperativos Windows. Véase KB82761 para obtener información.

Implementación deacciones

Activar el modo deevaluación

Genera eventos de Protección adaptable frente a amenazas —Bloquearía, Limpiaría o Contendría— y los envía al servidor, pero noimplementa ninguna acción.Active el modo de evaluación temporalmente en unos pocossistemas solo mientras ajusta Protección adaptable frente aamenazas.

Dado que activar este modo hace que Protección adaptablefrente a amenazas genere eventos, pero no que implementeacciones, es posible que sus sistemas sean vulnerables a lasamenazas.

Activar Contencióndinámica deaplicaciones cuandoel umbral dereputación alcance

Incluye las aplicaciones cuando la reputación alcanza un umbralconcreto:• Posiblemente de confianza

• Desconocido (valor predeterminado para el grupo de reglasSeguridad)

• Posiblemente malicioso (valor predeterminado para el grupo dereglas Equilibrado)

• Probablemente malicioso (valor predeterminado para el grupo dereglas Productividad)

• Conocido malicioso

El umbral de reputación de la contención de aplicación dinámicadebe ser mayor que el de Bloquear y Limpiar. Por ejemplo, si elumbral de bloqueo configurado es Conocido malicioso, el umbral de lacontención de aplicación dinámica debe ser Probablemente malicioso osuperior.

Si una aplicación con un umbral de reputación específico intentaejecutarse en su entorno, la contención de aplicación dinámicapermite que se ejecute en un contenedor y bloquea o registraacciones no seguras, según las reglas de contención.






Bloquear cuando elumbral de reputaciónalcance

Bloquea los archivos cuando la reputación de archivos alcanza unumbral determinado, y especifica el umbral:• Posiblemente de confianza

• Desconocido

• Posiblemente malicioso (valor predeterminado para el grupo dereglas Seguridad)

• Probablemente malicioso (valor predeterminado para el grupo dereglas Equilibrio)

• Conocido malicioso (valor predeterminado para el grupo de reglasProductividad)

Cuando un archivo con el umbral de reputación especificadointenta ejecutarse en su entorno, se le impedirá la ejecución, perose conservará en su lugar. Si un archivo es seguro y desea que seejecute, cambie su reputación a un nivel que permita su ejecución,como Posiblemente de confianza.

Limpiar cuando elumbral de reputaciónalcance

Limpia los archivos cuando la reputación de archivos alcanza unumbral determinado, y especifica el umbral:• Posiblemente malicioso

• Probablemente malicioso

• Conocido malicioso (valor predeterminado para los grupos de reglasEquilibrado y Seguridad)

El valor predeterminado del grupo de reglas Productividad está sinseleccionar.

Procedimiento recomendado: Utilice esta opción con lasreputaciones de archivo de tipo Conocido malicioso, porque esposible que se elimine un archivo al limpiarlo.





AdvancedThreat Defense

Enviar archivos quetodavía no se hanverificado a McAfeeAdvanced ThreatDefense paraanalizarlos

Envía los archivos ejecutables a McAfee Advanced Threat Defensepara su análisis.Cuando esta opción está activada, Protección adaptable frente aamenazas envía los archivos de manera segura a través de HTTPSmediante el puerto 443 a Advanced Threat Defense si:

• El Servidor de TIE no tiene información de Advanced ThreatDefense sobre el archivo.

• El archivo está al nivel de reputación indicado o por debajo.

• El archivo alcanza el límite de tamaño indicado o está por debajo.

Si no se consigue a través de HTTPS, Protección adaptable frente aamenazas envía los archivos a través de HTTP.

Especifique la información del servidor de Advanced Threat Defenseen la directiva de administración del Servidor de TIE.

Enviar archivoscuando el umbral dereputación alcance

Envía archivos a Advanced Threat Defense cuando la reputación dearchivos alcanza un umbral determinado:• Probablemente de confianza

• Desconocido

• Probablemente malicioso

El valor predeterminado de todos los grupos de reglas esDesconocido.

Limitar tamaño (MB) a Limita el tamaño de los archivos enviados a Advanced ThreatDefense, entre 1 y 10 MB.El valor predeterminado es 5 MB.

Véase también Configuración de las opciones de Protección adaptable frente a amenazas en la página 195Activación del umbral de activación de Contención de aplicación dinámica en la página 192Archivos y certificados bloqueados o permitidos en la página 195Utilización del análisis de Real Protect en la página 196



Índice

Aacciones, Prevención de amenazas

realizar en elementos en cuarentena 60

acciones, Threat Preventionespecificar qué sucede cuando se descubre una amenaza

83, 90

permitir que los usuarios limpien y eliminen archivosinfectados 83, 90

programas no deseados 81

Acerca de, página 10

actualizacionesbotón Actualizar ahora, Cliente de Endpoint Security 22

cancelar 22

Opción Actualizar seguridad 13

qué se actualiza 23

actualizaciones bajo demanda, véase actualizaciones manuales,ejecución

actualizaciones de contenido 11

actualizaciones de productoscomprobar si hay actualizaciones de forma manual 13, 22

planificar desde el cliente 37

actualizaciones de softwarecomprobar si hay actualizaciones de forma manual 13, 22

planificar desde el cliente 37

actualizaciones manuales, ejecución 22

actualizaciones, Endpoint SecurityActualización de cliente predeterminada, configurar 36

configurar comportamiento 34

configurar sitios de origen para actualizaciones 34

configurar y planificar desde el cliente 37

tarea Actualización de cliente predeterminada, acerca de 37

actualizaciones, Firewallcomprobación de actualizaciones de forma manual 22

actualizaciones, Prevención de amenazascomprobación de actualizaciones de forma manual 22

comprobar 13

comprobar si hay actualizaciones de forma manual 22

descripción general 11

actualizaciones, Threat Preventionarchivos de contenido 11

archivos Extra.DAT 29

adaptadores de red, permitir conexiones 141

administradorescontraseña 27

administradores (continuación)definición 10

iniciar sesión en el Cliente de Endpoint Security 26

Advanced Threat Defense 188

enviar archivos 195

uso para determinar reputaciones 183

adware, acerca de 62

ajustesactualizaciones, configurar 34

Ajustes generales, Cliente de Endpoint Security 9Ajustes generales, configurar módulo

ajustes de actualización 34

alertas, Firewall 14

alertas, Threat Preventiondescripción general de análisis bajo demanda 91

amenazasadministrar detecciones 59

aplicaciones de la Tienda Windows 85, 91

archivos de AMCore content 11

Carpeta de cuarentena 60

detecciones durante el análisis 58

infracciones de puntos de acceso 66

obtener información adicional de McAfee Labs 60

proceso de Protección de acceso 66

responder a detecciones 20

tipos 62

volver a analizar elementos en cuarentena 63

y calificaciones de seguridad 166

ampliaciones, componentes de software cliente 11

análisisanálisis con el botón derecho del ratón 58

aplazar, pausar, reanudar y cancelar 21

Control web 171

ejecutar en Cliente de Endpoint Security 56

lectura y escritura 85

parámetros de ajustes generales para análisis en tiemporeal y bajo demanda 82

personalizados, crear y planificar en el cliente 95

planificación con Cliente de Endpoint Security 95

responder a avisos 21

tipos 55

usar caracteres comodín en exclusiones 65

análisis bajo demandaacerca de 55


análisis bajo demanda (continuación)análisis con el botón derecho del ratón 58

análisis de Almacenamiento remoto 95

analizar archivos o carpetas 58

archivos de registro 24

configurar 82


ejecutar Análisis completo o Análisis rápido 56

exclusión de elementos 64

planificación en el cliente 95

programas potencialmente no deseados, activar detección81

responder a avisos 21

utilización del sistema 94

Análisis completoacerca de 55

configurar 90



Análisis con el botón derecho del ratónacerca de 55

analizar desde el Explorador de Windows 58

configurar 90

análisis con impacto cero 93

análisis de Almacenamiento remoto, descripción general 95

análisis de escritura 84

flujo de trabajo 85

análisis de lectura 84

flujo de trabajo 85

análisis del sistema, tipos 55

análisis en tiempo realacerca de 55

análisis de scripts 88


configurar 82, 83


detecciones de tareas 20

escritura o lectura del disco 84


número de directivas de análisis 89

optimización con lógica de confianza 84

programas potencialmente no deseados, activar detección81

ScriptScan 88

análisis incrementales 93

análisis manualejecutar en Cliente de Endpoint Security 56

análisis manualesacerca de tipos de análisis 55

ejecución desde Endpoint Security Client 58

análisis personalizados, véase análisis bajo demanda Análisis rápido

configurar 90



tipos de análisis 55

análisis reanudables, véase análisis incrementales análisis, bajo demanda

configurar 90

detección de amenazas en las aplicaciones de la TiendaWindows 91


reducción del impacto sobre los usuarios 93

utilización del sistema 94

análisis, en tiempo realconfigurar 83


detección de amenazas en aplicaciones de la TiendaWindows 85

detecciones de tareas, responder a 20


número de directivas 89

optimización con lógica de confianza 84

reducción del impacto en los usuarios 87

ScriptScan 88

análisis, personalizados, véase análisis, bajo demanda analizador de Real Protect 190, 196

actualizaciones de archivos de contenido 11

Analizador de Real Protectadministrar 186

analizadoresReal Protect 190

analizadores, Real Protect 196

analizar página, mostrar 20

aplazamiento de análisis, descripción general 93

aplicaciones contenidas, Contención de aplicación dinámicagestión en el Cliente de Endpoint Security 194

aplicaciones de la Tienda Windows, detección de amenazas 85,91

aplicaciones, acerca de 139

aplicaciones, contenidasconcesión de permiso para que se ejecuten con normalidad

192

gestión en el Cliente de Endpoint Security 194

aplicaciones, Tienda Windows 85, 91

aprendizaje automático, analizador de Real Protect 196

archivosadministración en la cuarentena 60


caracteres comodín en exclusiones 65

cómo se determinan las reputaciones 183

configurar archivos de registro 31

configurar para cuarentena 82

ejecución de análisis 58

exclusión de tipos específicos de los análisis 64

prevención de modificaciones 30

registros de Cliente de Endpoint Security 23

tipos en los que evitar el análisis 93

tipos para evitar el análisis 87

volver a analizar en la Cuarentena 63

archivos de almacenamiento comprimidos, elusión de análisis93

Índice


archivos de almacenamiento comprimidos, elusión del análisis87

archivos de almacenamiento, elusión de análisis 93

archivos de almacenamiento, elusión del análisis 87

archivos de AMCore contentanalizador y reglas de Protección adaptable frente a

amenazas 11

archivos Extra.DAT 28, 29

cambio de la versión 28

descripción general de análisis bajo demanda 91

descripción general del análisis en tiempo real 85

firmas y actualizaciones de motores 11

motor de Real Protect y contenido 11

Archivos de AMCore contentacerca de 11

archivos de contenidoacerca de 11

actualizaciones para Prevención de exploits 75

archivos Extra.DAT 28, 29

cambio de la versión de AMCore 28

comprobación manual de actualizaciones 22

comprobar si hay actualizaciones de forma manual 13, 22


planificar actualizaciones desde el cliente 37

y detecciones 20

archivos de definiciones de detección, véase archivos decontenido

archivos de registroconfigurar 31

errores de actualización 22

ubicaciones 24

ver 23

archivos Extra.DATacerca de 28

archivos de AMCore Content 11

cargar 29

descargar 29


descripción general del análisis en tiempo real 85

usar 28

archivos y certificados, bloquear 195

archivos y certificados, enviar 195

archivos, contenidoarchivos Extra.DAT 28, 29

cambio de la versión de AMCore content 28

cargar archivos Extra.DAT 29


Extra.DAT y AMCore 11

firmas y actualizaciones 11

Prevención de exploits 11

Protección adaptable frente a amenazas 11

uso de archivos Extra.DAT 28

archivos, especificar opciones de análisis 83, 90

ataques basados en montón, exploits de desbordamiento delbúfer 75

ataques basados en pila, exploits de desbordamiento del búfer75

ataques, exploits de desbordamiento del búfer 75

autogestionado, acerca de 22

Autoprotección, configuración 30

avisos, Endpoint Securityacerca de 14

responder a análisis 21

respuestas a la reputación de archivos 185

Windows 8 y 10 20

Ayuda, visualización 15, 20

Bbajo demanda, análisis

análisis de Almacenamiento remoto 95

Bloquear interfaz de clienteal abrir Endpoint Security Client 19

Bloquear modo de interfaz de clientedesbloqueo de la interfaz 27

y configuración de directivas 17

botónVer detecciones 59

botón Actualizar ahora 23

botón analizar ahora 56

Botón Ver análisis 56

Botón Ver detecciones 59

botonesAnalizar ahora 56

Ver análisis 56

botones, Control web 163

bromas, acerca de 62

Búsqueda segura, configuración de Control web 168

búsquedasbloqueo de sitios peligrosos en resultados 168

iconos de seguridad 164

Ccaché de análisis

análisis bajo demanda 91

análisis en tiempo real 85

caché de análisis globalanálisis bajo demanda 91


caché, análisis globalanálisis bajo demanda 91


calificación, Web Control, véase calificaciones de seguridad calificaciones de seguridad

configurar acciones para sitios web y descargas 172

control de acceso a los sitios web 173

Control web y 161


calificaciones, seguridad, véase calificaciones de seguridad

Índice


caracteres comodínen exclusiones 65

en exclusiones a nivel de raíz 65

usar en exclusiones 65

usar en reglas de firewall 146

carpetasadministración en la cuarentena 60


configurar para cuarentena 82

ejecución de análisis 58

volver a analizar en la Cuarentena 63

categorías de contenido, véase categorías web categorías web, bloquear o advertir en función de 172, 173

certificadoscómo se determinan las reputaciones 183

certificados de confianza, y elusión de análisis 85

certificados, y elusión de análisis 85

Chromeactivación del complemento Control web 166

botones de Control web 163

navegadores compatibles 161, 167

ver información acerca de un sitio 167

clasificaciones de seguridadcómo se obtienen las clasificaciones de sitios web 166

cliente, véase Cliente de Endpoint Security Cliente de Endpoint Security

abrir 13

acerca de 15

actualización de la protección 22

Análisis completo y Análisis rápido, planificación 95

configuración de directivas 17

configuración de la seguridad 32


desbloqueo de la interfaz 27

ejecutar análisis 56

iniciar sesión como administrador 26

interactuar con 12

módulos 17

protección con una contraseña 32

registros, acerca de 24

tarea Actualización de cliente predeterminada, acerca de 37

tarea de Actualización de cliente predeterminada,configurar 36

tarea de Actualización de cliente predeterminada, planificar37

tareas de actualización personalizadas, crear 37

tareas de duplicación, acerca de 39

tareas de duplicación, configurar y planificar 38

tipos de administración 10

ver el Registro de eventos 23

visualización de la ayuda 20

cliente de McAfee, véase Cliente de Endpoint Security cliente de protección de McAfee, véase Endpoint Security Client colores, botones de Control web 163

complementosactivación 166

complementos del navegador, véase complementos complementos, navegador, véase complementos conectividad, McAfee GTI o Servidor de TIE 183

configuraciónactualizaciones, configurar para 36

sitios de origen para actualizaciones de cliente, configurar34

sitios de origen, configurar para 34

configuración de acción según contenidoControl web 173

configuración de acciones según contenido, Control web 172

configuración de FirewallOpciones 138

configuración de procesos, análisis bajo demanda 94

configuración, Control webcontrol de acceso a sitios web 172

configuración, FirewallOpciones 138

Configuración, páginaajustes de actualización, configurar 34

y Modo de interfaz de cliente 17

configuración, Prevención de amenazasfunción Protección de acceso 68

configuración, Protección adaptable frente a amenazasContención dinámica de aplicaciones, tecnología 193

configuración, Threat Preventionanálisis bajo demanda 81


configurar programas potencialmente no deseados 80

Contención de aplicación dinámicaactivación del umbral de activación 192

gestión de aplicaciones contenidas 194

procesos, inclusión y exclusión 194

Contención dinámica de aplicacionesacerca de 189

administrar 186


cómo funciona 190

concesión de permiso a las aplicaciones contenidas paraque se ejecuten con normalidad 192

procedimientos recomendados 193

Protección adaptable frente a amenazas 182

reglas definidas por McAfee, configuración 193

contenido, actualización desde el cliente 22

contraseñasadministrador 26, 27

configuración de la seguridad del cliente 32

control del acceso al cliente 32

contraseñas de administradorefectos 32

Control webacerca de 9activación 168

activar el complemento 166


botones, descripción 163

Índice


Control web (continuación)Cliente de Endpoint Security 17

cómo se cómo se analizan las descargas de archivos 171

comportamiento, sitios web bloqueados, y descargas 163

comportamiento, sitios web y descargas con advertencia163

configuración 168

funciones 161

menú 163

registro de actividades 24

registro de depuración 24


ver informes de sitios 167

copias de seguridad, especificar opciones de análisis 83, 90

crackers de contraseñas, acerca de 62

credenciales, lista de repositorios 35

Cuarentena, Prevención de amenazasconfigurar parámetros de ubicación y retención 82

volver a analizar elementos en cuarentena 63

cuentas de usuario, control del acceso al cliente 32

DData Exchange Layer, y Protección adaptable frente a amenazas

180, 182

definición de redes 137

descargascomportamiento de bloqueo y advertencia 163

descargas de archivosanálisis con Prevención de amenazas 171

bloqueo de sitios web desconocidos 168

bloqueo o advertencia de acceso según calificaciones 172

destinos, Protección de accesoejemplos 73

evaluar con subreglas 73

deteccionesadministrar 56, 59

excluir por nombre 82

informar al servidor de administración 10

mostrar mensajes a usuarios 83, 90

nombres 62

responder a 20

tipos 56, 58

direcciones IP 137

grupos con reconocimiento de ubicación 141

grupos de reglas 141

Direcciones IPde confianza 138

direcciones URLexcluir del análisis de secuencia de comandos 83

directivasacceso al Cliente de Endpoint Security 17

definición 10

funciones de cliente 12

directivas de acción según contenidoControl web 173

directivas, Commonconfigurar 29

directivas, Control webcontrol de acceso con calificaciones de seguridad 173

control de acceso con categorías web 173

directivas, Prevención de amenazasanálisis bajo demanda, aplazamiento 93

parámetros de análisis de ajustes generales 82

directivas, Threat Preventionanálisis en tiempo real 89

dominios, bloqueo 136

Eejecutables

configuración de confianza 138

de confianza, véase ejecutables de confianzaexclusión de Prevención de exploits 78

exclusión de Protección de acceso 73

ejecutables de confianzaconfiguración 138

definición 139

ejemplos de flujo de trabajo 186

crear prevalencia de archivos y observar 187

enviar archivos para análisis más detallado 188

supervisión y ajuste 187

elusión de análisiscertificados de confianza 85

opción de análisis Dejar que McAfee decida 84

procedimientos recomendados para análisis 64

procedimientos recomendados para análisis bajo demanda93

procedimientos recomendados para análisis en tiempo real87

Endpoint Security Clientabrir 19

administrar detecciones de amenazas 59

análisis del sistema 55

analizar en busca de malware 55

mostrar información de protección 21

Resumen de amenazas 16

tipo de administración 21

Endpoint Security, administrar 26

Endpoint Security, cómo protege su equipo 10

enviar archivos para análisis más detalladoAdvanced Threat Defense 188

Product Improvement Program 188

errores, actualización 22

Escritorio remoto, y función de análisis durante inactividad 93

estadoconexión, comprobación 183

estado de la conexión, comprobación 183

estado, Endpoint Security, estado, Endpoint Security, mostrarcon icono de McAfee de la bandeja del sistema 13

eventosmodo de evaluación 186, 187

Índice


eventos Bloquearía 186, 187

eventos Contendría 186

eventos Limpiaría 186, 187

eventos Podría contener 187

eventos, rastreo de eventos del navegador de Control web 168

excepcionesMcAfee GTI 138

excepciones, Prevención de exploits, véase exclusionesPrevención de exploits

exclusionesanálisis bajo demanda, especificar 90

análisis en tiempo real, especificar archivos, carpetas yunidades 83

configuración 64

Contención de aplicación dinámica 194

especificar URL para ScriptScan 83

globales, Prevención de exploits 79

nivel de raíz 65

nombre de detección 82

Prevención de exploits 79

Prevención de exploits, todas las reglas 78

procedimientos recomendados de ScriptScan 88

Protección de acceso, todas las reglas 73

usar caracteres comodín 65

exclusiones a nivel de raíz, véase exclusiones exclusiones globales, Prevención de exploits 79

exploitsbloqueo de desbordamientos del búfer 77

cómo se producen los exploits de desbordamiento del búfer75

exploits de desbordamiento del búfer, acerca de 75

Extended Support Release, véase Firefox ESR, navegadorescompatibles

extensiones del navegador, véase complementos extensiones, navegador, véase complementos

Ffalsos positivos

Firewall, reducir 139

reducción mediante la creación de exclusiones dePrevención de exploits 79

Firefoxactivación del complemento Control web 166


ESR, navegadores compatibles 161



firewallacerca de grupos sincronizados 13

activar en el icono de la bandeja del sistema de McAfee 13

Firewallacerca de 9activación y visualización de grupos sincronizados 134

activar y desactivar en el icono de la bandeja del sistema133

activar y desactivar protección 135

Firewall (continuación)actualización del contenido desde el cliente 22

administración de directivas y grupos 145

administrar 134

alertas de intrusos 14


bloqueo del tráfico DNS 136

Cliente de Endpoint Security 17

cómo funciona 133

cómo funcionan las reglas de firewall 139

creación de grupos sincronizados 148

ejecutables de confianza 139

grupos con reconocimiento de ubicación, acerca de 141

grupos con reconocimiento de ubicación, crear 147

grupos sincronizados, acerca de 134

modificar opciones 135

preguntas frecuentes de McAfee GTI 136



reglas, véase reglas de firewallfirewall, grupos de reglas

configurar 139

predefinidos 144

firmasinformación sobre amenazas conocidas 11

firmas de GBOP, véase Firmas de protección genérica contradesbordamiento del búfer

Firmas de GPEP, véase Firmas de Prevención genérica de laescalación de privilegios

firmas de protección genérica contra desbordamiento del búfer11

firmas de supervisión de API dirigida 11

firmas, Prevención de exploitsacerca de 75

configuración 77

exclusión por el ID de firma 79

función de análisis durante inactividad 21, 93

funcionesacceso al Cliente de Endpoint Security basado en directivas

17

activación y desactivación 27

Gglobos, Web Control 164, 168

GoogleChrome 161


motores de búsqueda compatibles 164

grupo de reglas agregado por administrador, Firewall 144

grupo de reglas agregado por el usuario, Firewall 145

grupo de reglas agregado por usuario, Firewall 144

grupo de reglas de adaptación, Firewall 144, 145

grupo de reglas de redes principales de McAfee, Firewall 144

grupo de reglas predeterminado, Firewall 144

grupo de reglas, Firewall, véase grupos de reglas de firewall

Índice


grupos con reconocimiento de ubicaciónacerca de 141

aislamiento de conexión 142

crear 147

grupos de firewall, véase grupos de reglas de firewall grupos de reglas de firewall

administrar grupos sincronizados desde el icono de labandeja del sistema 13

cómo funciona el Firewall 133

creación de grupos sincronizados 148

gestión de grupos sincronizados mediante el icono de labandeja del sistema 134

grupos con reconocimiento de ubicación, acerca de 141

grupos sincronizados, acerca de 134

prioridad 141

reconocimiento de ubicación, crear 147

y aislamiento de conexión 142

grupos de reglas predefinidos 144

grupos sincronizadosadministrar desde el icono de la bandeja del sistema de

McAfee 13

grupos sincronizados, Firewallacerca de 134

creación 148

gestión mediante el icono de la bandeja del sistema 134

grupos, firewall, véase grupos de reglas de firewall

Hhashes, acerca de 83, 172

herramientas de administración remota, acerca de 62

Host Intrusion Prevention, y Prevención de exploit 74

Host IPS, y Prevención de exploit 74

Iicono de la bandeja del sistema

opción Actualizar seguridad 23

icono de la bandeja del sistema, definido porMcAfee 13

icono de la bandeja del sistema, McAfee 12

abrir Endpoint Security Client 19

activación y visualización de grupos sincronizados 134

activar y desactivar Firewall 133

actualizar seguridad 13

configuración del acceso a Endpoint Security 32

grupos sincronizados de Firewall 13

icono de McAfee, véase icono de la bandeja del sistema deMcAfee

iconos, McAfee, véase icono de la bandeja del sistema deMcAfee

iconos, Web Control 164

inclusionesPrevención de exploits, reglas de protección de aplicaciones

78

subreglas de Protección de acceso 73

independiente, véase autogestionado, acerca de información de identificación personal, véase PII

información, mostrar protección 21

informes de seguridad, véase informes, Web Control informes del sitio, véase informes, Web Control informes, Control web

seguridad 161

ver 167

informes, Web Control 165, 166

seguridad de sitios web 165

visualización 168

instaladores de confianza, analizar 83

instaladores, analizar de confianza 83

Internety el analizador de Real Protect 196

y Protección adaptable frente a amenazas 182

Internet Exploreractivación del complemento Control web 166

compatibilidad de ScriptScan 88



visualización de la ayuda de Endpoint Security 20

intrusiones, activar alertas de Firewall 135

Llas reglas personalizadas, véase reglas definidas por usuario,

Protección de acceso Lista de aplicaciones contenidas, gestión 194

lista de repositoriosdescripción general 35

orden de preferencia, lista de repositorios 35

ubicación en cliente 35

lógica de confianza, optimización de análisis en tiempo real 84

Mmalware

analizar en busca de 55

detecciones durante el análisis 56, 58


marcadores, acerca de 62

McAfee Active Response y Contención dinámica de aplicaciones190

McAfee Agenttarea de actualización de producto y lista de repositorios 35

McAfee Endpoint Security Client, véase Endpoint Security Client

McAfee ePOactualizar protección 11

y tipos de administración 22

McAfee GTIanálisis bajo demanda, cómo funcionan 91

análisis bajo demanda, configurar 90

análisis de archivos antes de su descarga 168

análisis en tiempo real, cómo funcionan 85

análisis en tiempo real, configurar 83

analizar archivos antes de su descarga 171

calificaciones de seguridad de Web Control 166

Índice


McAfee GTI (continuación)comentarios de telemetría 82

configurar nivel de sensibilidad 82

descripción general, Control web 172

descripción general, Prevención de amenazas 83

enviar eventos de bloqueo al servidor 135

especificación de la configuración del servidor proxy 33

estado de la conexión de Protección adaptable frente aamenazas 183

excepciones 138

informes de sitio web de Web Control 165

opciones de firewall, configurar 135

preguntas frecuentes, Firewall 136

problema de comunicación de Control web 163

reputación de red para firewall, configurar 135

y categorías web 173

y el analizador de Real Protect 196

y Protección adaptable frente a amenazas 180, 182

McAfee Labsactualizaciones de archivos de AMCore Content 11

descarga de Extra.DAT 28

Extra.DAT 29

obtener más información sobre amenazas 60

y McAfee GTI 83, 136, 172

McAfee SECURE, botón de Control web 163

McTray, inicio 93

Mensajes de error, mensajes de error, estados del icono de labandeja del sistema 13

mensajes de notificaciónacerca de 14

interactuar con el Cliente de Endpoint Security 12

Windows 8 y 10 14

mensajes emergentes, y calificaciones de seguridad 166

mensajes, Endpoint Securityacerca de 14

mostrar al detectar amenaza 83, 90

Menú Acción, acerca de 15

Menú Inicio, abrir Endpoint Security Client 19

menúsAcción 15, 27

Acerca de 21

Ayuda 15, 20

Configuración 15, 17, 135, 145

Control web 167

Microsoft Internet Explorer, véase Internet Explorer modo Acceso estándar

efectos de establecer una contraseña 32

Modo Acceso estándaradministrar reglas y grupos de firewall 145


modo Acceso totalmodificar opciones de firewall 135

modo de acceso Bloquear interfaz de clienteefectos de establecer una contraseña 32

Modo de acceso estándariniciar sesión como administrador 26

Modo de acceso estándar (continuación)y configuración de directivas 17

Modo de acceso totalconfiguración de directivas 17

Modo de adaptaciónconfigurar en Firewall 135

prioridad de reglas 139

modo de evaluacióneventos de Advanced Threat Protection 187

eventos de Protección adaptable frente a amenazas 186

Modo de interfaz de cliente, opciones 17

modo Escritorio, Windows 8 y 10mensajes de notificación 14

respuesta a los avisos de detección de amenazas 20

modos de acceso, Cliente de Endpoint Security 17

modos de interfazAcceso estándar 26, 32

Bloquear interfaz de cliente 32


módulo Ajustes generales, Cliente de Endpoint Security 17

módulo Ajustes generales, configuraciónAutoprotección 30

configuración del servidor proxy de McAfee GTI 33

seguridad de la interfaz de cliente 32

módulo Ajustes generales, configurarconfiguración de actualización 36

sitios de origen para actualizaciones de cliente 34


módulo Common, configurarconfiguración 29

registro 31

módulosacceso al Cliente de Endpoint Security basado en directivas

17

acerca de Endpoint Security 9instalados en Cliente de Endpoint Security 17

muestra información acerca de 21

módulos, Ajustes generalesajustes de actualización, configurar 34


configuración de actualización, configurar 36

configuración del servidor proxy de McAfee GTI,especificación 33

configurar sitios de origen para actualizaciones de cliente34


módulos, Commonregistro, configurar 31

módulos, Control webcómo funciona McAfee GTI 172

módulos, Prevención de amenazascómo funciona McAfee GTI 83

motores de análisis, descripción general de archivos de AMCorecontent 11

Motores de búsqueda Ask, e iconos de seguridad 164

Índice


Motores de búsquedas Bing, e iconos de seguridad 164

Mozilla Firefox, véase Firefox

Nnavegador Edge, no compatible con Control web 161

navegadoresactivación del complemento Control web 166

compatibles 161, 167

comportamiento, sitios web y descargas bloqueados 163

desactivación del complemento de Control web 168

no compatibles 161


nivel de sensibilidad, McAfee GTI 83, 172

niveles de seguridadejemplos 195

no gestionado, véase autogestionado, acerca de notificaciones de alerta, Windows 8 y 10 14, 20

Oopción de la bandeja del sistema Actualizar seguridad 23

opcionesanalizar en busca de malware 55

configurar análisis bajo demanda 90

configurar análisis en tiempo real 83

opciones de análisis, reducción del impacto en el usuario 87

opciones de análisis, reducción del impacto sobre el usuario 93

opciones de Firewallmodificación 135

opciones de utilización del sistema, descripción general 94

Opciones, Ajustes generalesajustes de actualización, configurar 34



configuración del servidor proxy, especificación 33


sitios de origen para las actualizaciones de cliente,configurar 34

Opciones, Commonconfigurar 29

parámetros de registro, configurar 31

programación de análisis bajo demanda 55

opciones, Firewallejecutables de confianza 139

redes definidas 137

Opciones, Prevención de amenazasparámetros de análisis de ajustes generales 82

Opciones, Threat Preventionprogramas no deseados 80

Ppágina Acerca de

estado de la conexión de Protección adaptable frente aamenazas 183

Página Acerca de 21

Página Análisis en tiempo real 59

Página Analizar en busca de amenazas 58

Página Analizar sistema 59

página ConfiguraciónAutoprotección, configuración 30


configuración del servidor proxy, especificación 33

modificar opciones de firewall 135

registro, configurar 31

seguridad de la interfaz de cliente, configuración 32

Página Configuraciónadministrar reglas y grupos de firewall 145

parámetros de análisis bajo demanda, configurar 90

parámetros de análisis en tiempo real, configurar 83

página de actualización 22

página de análisis, mostrar 56

página de cuarentena 60

Página de estado de seguridad de McAfee, mostrar 13

Página de estado, ver Resumen de amenazas 16

página de iniciar sesión como administradordesbloqueo de la interfaz del cliente 27

Página de iniciar sesión como administradoral abrir Endpoint Security Client 19

página de Scan System 56

página Revertir contenido de AMCore 28

páginasAcerca de 10, 21

Actualizar 22

Análisis en tiempo real 20, 59

análisis, mostrar 56

Analizar en busca de amenazas 58

Analizar sistema 59

Configuración 17, 30–34, 36, 90, 135

cuarentena 60

estado de seguridad de McAfee 13

Registro de eventos 23

Revertir contenido de AMCore 28

Scan System 56

parámetro Windows Set Priority 94

phishing, informes enviados por usuarios del sitio web 166

PII, no enviado a la nube 196

planificaciones, análisis bajo demanda, aplazamiento 93

prácticas recomendadasutilizar redes de confianza 138

preguntas frecuentes, McAfee GTI 136

Prevención adaptable frente a amenazasactualizaciones de archivos de contenido 11

Prevención de amenazasacerca de 9análisis de archivos antes de su descarga 168

análisis en tiempo real, acerca de 85

analizar archivos antes de su descarga 171


función Prevención de exploits 77

función Protección de acceso 68

Índice


Prevención de exploity Host IPS 74

Prevención de exploitsacerca de las firmas 75

actualizaciones de archivos de contenido 11

archivos de contenido 75


configuración 77

exclusión de procesos 64

procesos, exclusiones 79


reglas de protección de aplicaciones 77

Prevención de vulnerabilidadesacerca de 74

Prevención genérica de la escalación de privilegios 11

prioridadgrupos de firewall 141

reglas de firewall 139

prioridades, análisis en tiempo real 94

procedimientos recomendadosanalizador de Real Protect 196


Contención dinámica de aplicaciones 193

contraseñas 32

exclusión de McAfee GTI del servidor proxy 33

exclusiones de ScriptScan 88

mejora del rendimiento de los análisis 64

reducción del impacto de los análisis bajo demanda 93

reducción del impacto del análisis en tiempo real 87

reglas de contención definidas por McAfee 193

procesosexclusión de Prevención de exploits 78, 79

inclusión y exclusión en Protección de acceso 73

procesos de alto riesgo, especificar 83

procesos de bajo riesgo, especificar 83

procesos, Contención de aplicación dinámicaexclusiones 194

procesos, Prevención de amenazasanálisis 85

exclusión 64

incluir y excluir en Protección de acceso 68

procesos, Protección adaptable frente a amenazasinclusión y exclusión en Contención de aplicación dinámica

194

procesos, Threat Preventionanálisis 83

especificar alto y bajo riesgo 83

Product Improvement Program 188

programas potencialmente no deseadosacerca de 62

activar detección 81, 83, 90


configurar detección 80


especificar 80

programas potencialmente no deseados (continuación)especificar programas que detectar 82


programas, activar detección de potencialmente no deseados83, 90

protecciónconfiguración de autoprotección 30

interactuar con 12

mantener actualizado 11

muestra información acerca de 21

Protección adaptable frente a amenazasacerca de 9, 179

acerca de Real Protect 196

administrar 186

analizador de Real Protect 196



componentes 180

configuración 195

configuración del umbral de activación de Contención deaplicación dinámica 192

ejemplos de flujo de trabajo 186

escenarios 182



tecnología Contención dinámica de aplicaciones 193

ventajas 179

Protección de accesoacerca de 66


ejemplos 66

exclusión de procesos 64

procesos, incluir y excluir 68


reglas definidas por el usuario, configurar 72

reglas definidas por McAfee, acerca de 69

reglas definidas por McAfee, configurar 68

reglas, acerca de 67

Rransomware

creación de reglas de Protección de acceso para protegercontra 72

red privada, inclusión de sitios externos 168

redesde confianza 138

definición 137

redes de confianza, véase redes registradores de pulsaciones de teclado, acerca de 62

registro de cliente 31

registros de actividades, Cliente de Endpoint Security 24

registros de depuración, Cliente de Endpoint Security 24

registros de errores, Cliente de Endpoint Security 24

registros de eventos, Cliente de Endpoint Securityacerca de 24

Índice


registros de eventos, Cliente de Endpoint Security(continuación)

errores de actualización 22

ver página Registro de eventos 23

reglasProtección de acceso, exclusiones e inclusiones 73

protección de aplicaciones, exclusiones e inclusiones 78

reglas de contenciónContención dinámica de aplicaciones 189

reglas de contención definidas por McAfeeprocedimientos recomendados 193

reglas de firewallcómo funciona el Firewall 133

cómo funcionan 139

configurar 139

orden y prioridad 139

permitir y bloquear 139

usar caracteres comodín 146

reglas de Protección de accesoexclusiones e inclusiones 73

reglas de protección de aplicaciones 77

configuración 77

exclusiones e inclusiones 78

reglas definidas por el usuario, Protección de accesoconfigurar 72

reglas definidas por McAfee, Contención dinámica deaplicaciones 193

reglas definidas por McAfee, Protección de acceso 69

reglas, Contención dinámica de aplicacionesconfiguración 193

procedimientos recomendados 193

reglas, firewall, véase Firewall reglas, Prevención de amenazas

configurar 68

reglas, Prevención de exploitsreglas de protección de aplicaciones 77

reglas, Protección de accesotipos 67

reglas, Threat Preventioncómo funciona la protección de acceso 66

regulación, configurar 94

rendimiento, véase rendimiento del sistema rendimiento del sistema

reducción del impacto de los análisis 93

reducción del impacto del análisis 87

reputación de archivosrespuesta a avisos 185

reputacionesactivación del umbral de activación de Contención de

aplicación dinámica 192

cómo se determinan 183

Contención dinámica de aplicaciones 189

estado de la conexión para determinarlas 183

requisitosanalizador de Real Protect 196

respuestas, configurar para detección de programas nodeseados 81

Resumen de amenazas, acerca de 16

SSafari (Macintosh)


scripts, análisis 88

ScriptScanacerca de 88

activar 83

compatible solo con Internet Explorer 88

desactivado de manera predeterminada 88

exclusión de URL 64

procedimientos recomendados para las exclusiones 88

sectores de arranque, analizar 83, 90

seguridadconfiguración de la seguridad de la interfaz de cliente 32

Servidor de Threat Intelligence Exchange, véase Servidor deTIE

Servidor de TIEestado de la conexión de Protección adaptable frente a

amenazas 183

y el analizador de Real Protect 196

y Protección adaptable frente a amenazas 180, 182

servidor proxyconfiguración en lista de repositorios 35

configuración para McAfee GTI 33

servidores, proxy, véase servidores proxy sigiloso, acerca de 62

sistemas servidor, y función de análisis durante inactividad 93

sitiosprotección de navegación 163

ver informes de sitios web de Control web 167

sitios webclasificaciones de seguridad 166

comportamiento de bloqueo y advertencia 163

protección de navegación 163

protección durante la búsqueda 164

ver informes de sitios web de Control web 167

sitios web, advertenciasegún las calificaciones de seguridad 173

sitios web, advertirsegún calificaciones 172

sitios web, bloquearsegún calificaciones 172

según categoría web 172, 173

según las calificaciones de seguridad 173

sitios web, bloqueosegún las calificaciones de seguridad 173

sin calificar o desconocidos 168

sitios web peligrosos en los resultados de búsqueda 168

sitios web, control de accesocon calificaciones de seguridad 173

con categorías web 172, 173

Índice


sitios web, controlar accesocon calificaciones de seguridad 173

sitios, advertirsegún calificaciones 172

sitios, bloquearsegún calificaciones 172

según categoría web 172, 173

sitios, control de accesocon categorías web 172, 173

software cliente, definición 10

solicitudes de descarga, véase descargas de archivos solicitudes, Endpoint Security

respuesta ante 20

respuesta ante detección de amenaza 20

spyware, acerca de 62

subprocesos, prioridad 94

subreglas, Protección de accesoevaluar con destinos 73

exclusión e inclusión 73

Ttarea Actualización de cliente predeterminada

acerca de 37

tarea de Actualización de cliente predeterminadaconfigurar 36


planificación con Cliente de Endpoint Security 37

tareas cliente de actualización de productolista de repositorios 35

tareas de actualización de productoacerca de 35

tareas de actualización personalizadas, véase tareas, Cliente deEndpoint Security

tareas de duplicaciónacerca de 39

configurar y planificar 38

tareas iniciales de Protección adaptable frente a amenazas 186

tareas, Cliente de Endpoint SecurityActualización de cliente predeterminada, configurar 36

actualización personalizada, configurar y planificar 37

configurar y planificar tareas de duplicación 38

tarea de Actualización de cliente predeterminada, planificar37

tareas de duplicación, acerca de 39

tareas, Endpoint SecurityActualización de cliente predeterminada, acerca de 37

tareas, Prevención de amenazasAnálisis completo y Análisis rápido, planificación 95

análisis personalizados, planificación 95

tareas, Threat PreventionAnálisis completos y rápidos, acerca de 55

Threat Preventionadministrar 63

análisis bajo demanda, acerca de 91

análisis bajo demanda, configurar 90

Threat Prevention (continuación)análisis en tiempo real, configurar 83

Opciones, programas no deseados 80

programas potencialmente no deseados, detecciones 80

tiempo de CPU, análisis bajo demanda 94

tipo de administraciónvisualización 21

tipo de administración de McAfee ePO Cloud 22

tipos de administraciónacerca de 22

tráficoanalizados por Firewall 133

permitir saliente hasta inicio de servicios de firewall 135

Tráfico DNS, bloqueo 136

troyanosacerca de 62


Uumbrales

activación del umbral de activación de Contención deaplicación dinámica 192

unidades de red, especificar opciones de análisis 83

URLexclusión de los análisis de scripts 64

Vvirus

acerca de 62


firmas 11


vulnerabilidadesVéase también amenazas

bloquear desbordamientos del búfer 74

WWeb Control

administrar 168

globos e iconos 168

iconos, descripción 164

informes del sitio 165

motores de búsqueda e iconos de seguridad 164

Windows 8 y 10abrir Endpoint Security Client 19

acerca de los mensajes de notificación 14

respuesta a los avisos de detección de amenazas 20

YYahoo


motor de búsqueda compatible 164

Índice


Yahoo (continuación)motor de búsqueda predeterminado 168

Índice


McAfee Endpoint Security 10 · Control web permite al administrador de sitios web bloquear el...

Documents

Transcript of McAfee Endpoint Security 10 · Control web permite al administrador de sitios web bloquear el...