mcafee endpoint security 10 - microsa, soluciones y ... · ejecuta en los equipos de la red para...

Guía del producto

McAfee Endpoint Security 10

COPYRIGHTCopyright © 2014 McAfee, Inc. Queda prohibida la copia sin autorización previa.

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee, el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone,Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection,TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU.y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener informaciónsobre los productos y las funciones más recientes.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Endpoint Security 10 Guía del producto

http://mcafee.com

Contenido

McAfee Endpoint Security 5

1 Introducción 7Módulos Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Cómo Endpoint Security protege su equipo . . . . . . . . . . . . . . . . . . . . . . . . 8

Cómo se mantiene actualizada su protección . . . . . . . . . . . . . . . . . . . . 8Interacción con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Acerca del icono de la bandeja del sistema McAfee . . . . . . . . . . . . . . . . . 10Acerca de los mensajes de notificación . . . . . . . . . . . . . . . . . . . . . . 10Acerca de Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . 11

2 Mediante Endpoint Security Client 17Abra Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Responder a avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Responder a un aviso de detección de amenaza . . . . . . . . . . . . . . . . . . 18Responder a aviso de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Introduzca información sobre su protección . . . . . . . . . . . . . . . . . . . . . . . 19Tipos de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Actualizar protección y software manualmente . . . . . . . . . . . . . . . . . . . . . . 20Ver el Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Acerca de los archivos de registro . . . . . . . . . . . . . . . . . . . . . . . . 22Administrar Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Iniciar sesión como administrador . . . . . . . . . . . . . . . . . . . . . . . . 24Desbloquear la interfaz de cliente . . . . . . . . . . . . . . . . . . . . . . . . 24Desactivar y activar funciones . . . . . . . . . . . . . . . . . . . . . . . . . 25Cambiar versión de AMCore content . . . . . . . . . . . . . . . . . . . . . . . 25Utilice archivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Configurar parámetros comunes . . . . . . . . . . . . . . . . . . . . . . . . . 27

3 Mediante Threat Prevention 35Analizar el equipo en busca de malware . . . . . . . . . . . . . . . . . . . . . . . . 35

Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Ejecutar un Análisis completo o Análisis rápido . . . . . . . . . . . . . . . . . . . 36Analizar un archivo o carpeta . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Administrar detecciones de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . 39Administrar elementos en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . 39

Nombres de detecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Administrar Threat Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Excluir elementos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 42Detección de programas potencialmente no deseados . . . . . . . . . . . . . . . . 44Configure la Protección de acceso . . . . . . . . . . . . . . . . . . . . . . . . 46Configurar Prevención de exploit . . . . . . . . . . . . . . . . . . . . . . . . 49Configure Análisis en tiempo real . . . . . . . . . . . . . . . . . . . . . . . . 50Configure Análisis bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . 55

McAfee Endpoint Security 10 Guía del producto 3

Planifique las tareas Análisis completo y Análisis rápido . . . . . . . . . . . . . . . 60Configurar parámetros de análisis comunes . . . . . . . . . . . . . . . . . . . . 60

4 Usar Firewall 63Cómo funciona el Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Administrar Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Modificar opciones de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 64Administración de directivas y grupos de Firewall . . . . . . . . . . . . . . . . . . 66

5 Usar Web Control 77Acerca deWeb Control funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

El botón Web Control identifica las amenazas durante la navegación . . . . . . . . . . 78Los iconos de seguridad identifican las amenazas durante la búsqueda . . . . . . . . . 79Los informes de sitio web proporcionan detalles . . . . . . . . . . . . . . . . . . 79Modo de compilación de las clasificaciones de seguridad . . . . . . . . . . . . . . . 80

Acceder a las funciones de Web Control . . . . . . . . . . . . . . . . . . . . . . . . . 81Acceder a las funciones mientras navega por Internet . . . . . . . . . . . . . . . . 81Ver informe de sitio web durante la búsqueda . . . . . . . . . . . . . . . . . . . 82Ver informes del sitio web . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Solucionar problemas de comunicación . . . . . . . . . . . . . . . . . . . . . . 83

Administrar Web Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configurar opciones de Web Control . . . . . . . . . . . . . . . . . . . . . . . 84Especifique acciones de calificación y bloquee el acceso a sitios web según la categoría web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Índice 135

Contenido


McAfee Endpoint Security

McAfee®

Endpoint Security es una exhaustiva solución de administración de la seguridad que seejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayudase explica cómo utilizar las funciones de seguridad básicas y solucionar problemas.

Introducción

• Módulos Endpoint Security en la página 7

• Cómo Endpoint Security protege su equipo en la página 8

• Interacción con Endpoint Security en la página 9

Tareas frecuentes

• Abra Endpoint Security Client en la página 17

• Actualizar protección y software manualmente en la página 20

• Analizar el equipo en busca de malware en la página 35

• Desbloquear la interfaz de cliente en la página 24

Más información

Para acceder a la información adicional de este producto, consulte:

• McAfee Endpoint Security Guía de instalación

• Notas de la versión de McAfee Endpoint Security

• Ayuda de Endpoint Security Threat Prevention

• Ayuda de Endpoint Security Firewall

• Ayuda de Endpoint Security Web Control

• Soporte de McAfee


http://mysupport.mcafee.com

McAfee Endpoint Security


1 Introducción

Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en losequipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explicacómo utilizar las funciones de seguridad básicas y solucionar problemas.

Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno deestos servidores de administración:

• McAfee® ePolicy Orchestrator® (McAfee ePO™)

• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)

• McAfee® SecurityCenter

Si su equipo está autogestionado, usted (o su administrador) deberán configurar el software medianteEndpoint Security Client.

Contenido Módulos Endpoint Security Cómo Endpoint Security protege su equipo Interacción con Endpoint Security

Módulos Endpoint SecurityEl administrador configura e instala uno o más módulos de Endpoint Security en los equipos cliente.

• Threat Prevention : comprueba la existencia de virus, spyware, programas no deseados y otrasamenazas analizando los elementos, ya sea automáticamente cuando los usuarios acceden a elloso bajo demanda en cualquier momento.

• Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o de Internet.Intercepta las comunicaciones sospechosas.

• Web Control : muestra clasificaciones de seguridad e informes sobre sitios web durante lanavegación y la búsqueda online. Web Control: permite al administrador del sitio web bloquear elacceso a los sitios web basándose en la calificación de seguridad o contenido.

Adicionalmente, el módulo Common proporciona la configuración para las funciones comunes, talescomo la seguridad de interfaz y el registro. Esta módulo se instala automáticamente si se instalacualquier otro módulo.

1


Cómo Endpoint Security protege su equipoTípicamente, un administrador configura Endpoint Security, instala el software en los equipos cliente,supervisa el estado de seguridad y establece las reglas de seguridad, llamadas directivas.

Como usuario de un equipo cliente, usted interactúa con Endpoint Security a través del softwarecliente instalado en su equipo. Las directivas configuradas por el administrador determinan cómoactúan los módulos y funciones en el equipo y si usted puede modificarlas o no.

Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y funciones. Paradeterminar el tipo de administración, consulte la página Acerca de.

Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin deactualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que hayaencontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informespara el administrador sobre las detecciones y los problemas de seguridad del equipo.

Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. Noobstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posibleque desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca demalware. Dependiendo de las directivas configuradas por el administrador, es posible que usted puedapersonalizar la configuración de seguridad.

Si actúa como administrador, podrá administrar y configurar de manera centralizada el software clientemediante McAfee ePO, McAfee ePO Cloud o SecurityCenter.

Véase también Introduzca información sobre su protección en la página 19

Cómo se mantiene actualizada su protecciónLas actualizaciones regulares de Endpoint Security le aseguran que su equipo siempre está protegidocontra las últimas amenazas.

Para realizar actualizaciones, el software cliente se conecta a McAfee ePO local o remotamente, odirectamente a un sitio web en Internet. Endpoint Security realiza las siguientes comprobaciones:

• Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos decontenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones seactualizan a medida que se descubren nuevas amenazas.

• Ampliaciones de los componentes de software, como parches y hotfixes.

En sistemas autogestionados, la tarea Actualización cliente predeterminado actualiza todo el contenidoy el software. En sistemas gestionados, esta tarea solo actualiza el contenido.

Para simplificar la terminología, esta Ayuda se refiere tanto a actualizaciones como a ampliacionescomo actualizaciones.

Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar sihay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su

protección desde Endpoint Security Client haciendo clic en .

Véase también Actualizar protección y software manualmente en la página 20

1 IntroducciónCómo Endpoint Security protege su equipo


Cómo funcionan los archivos de contenidoCuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esosarchivos con información sobre amenazas conocidas almacenada en los archivos de AMCore content.Prevención de exploits utiliza sus propios archivos de contenido para protegerse contra exploits.

AMCore contentMcAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos decontenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza yreparación del daño que el virus detectado pueda causar.

Si la firma de un virus no está en ninguno de los archivos de contenido instalados, el motor de análisisno puede detectar y limpiar ese virus.

Periódicamente aparecen nuevas amenazas. McAfee Labs publica actualizaciones de motor y nuevosarchivos de contenido que incorporan los resultados de investigaciones sobre amenazas en curso, cadadía sobre las 6:00 p.m. (GMT).

Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anterioresen la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restauraruna versión anterior.

Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección fuera de laplanificación de actualizaciones de archivos de contenido, McAfee Labs facilita un archivo Extra.DAT.

Contenido de prevención de exploitsEl contenido de prevención de exploits incluye:

• Firmas de protección de la memoria: protección genérica contra desbordamiento del búfer (GBOP)y Kevlar.

• Lista de protección de aplicaciones: procesos protegidos por la prevención de exploits.

McAfee publica nuevos archivos de contenido de prevención de exploits una vez al mes.

Interacción con Endpoint SecurityEndpoint Security proporciona componentes visuales para la interacción con Endpoint Security Client.

• El icono McAfee en la bandeja del sistema de Windows: le permite iniciar Endpoint Security Client yver el estado de seguridad.

• Mensajes de notificación: le alertan de las detecciones de intrusiones de análisis y firewall y lesolicitarán datos.

• Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo realdetecta una amenaza.

• Endpoint Security Client: muestra el estado actual de la protección y proporciona acceso a lasfunciones.

Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar quécomponentes aparecen.

Véase también Acerca del icono de la bandeja del sistema McAfee en la página 10Acerca de los mensajes de notificación en la página 10Administrar detecciones de amenazas en la página 39Acerca de Endpoint Security Client en la página 11

IntroducciónInteracción con Endpoint Security 1


Acerca del icono de la bandeja del sistema McAfeeEl icono McAfee en la bandeja del sistema de Windows proporciona acceso a Endpoint Security Client.

El icono McAfee podría no estar disponible, dependiendo de como se haya ajustado la configuración.

Use el icono de la bandeja del sistema para:

• Comprobar el estado de seguridad: haga clic con el botón derecho en el icono y seleccione Ver estadode seguridad para mostrar la página Estado de seguridad de McAfee.

• Abrir Endpoint Security Client: haga clic con el botón derecho en el icono y seleccione McAfee EndpointSecurity.

Modo en que el icono indica el estado de Endpoint Security

El aspecto del icono cambia para indicar el estado de Endpoint Security. Coloque el cursor del ratónsobre el icono para ver un mensaje que describe el estado.

Icono Indica...

Endpoint Security está protegiendo su sistema y no hay problemas.

Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnologíadesactivados.• Firewall está desactivado.

• Threat Prevention: prevención de exploit, análisis en tiempo real o ScriptScan estándesactivados.

Endpoint Security informa de los problemas de forma distinta dependiendo del tipo deadministración.

Autogestionado Una o más tecnologías están desactivadas.

Gestionado Una o más tecnologías se han desactivado manualmente, no comoresultado de la implementación de directivas desde el servidor deadministración.

Cuando se detecta un problema, la página Estado de seguridad de McAfee indica qué módulo otecnología está desactivado.

Acerca de los mensajes de notificaciónEndpoint Security usa dos tipos de mensajes para notificarle los problemas de su protección o parapedirle datos. Algunos mensajes podrían no aparecer, según se ajuste la configuración.

Endpoint Security envía dos tipos de notificaciones:

• Alertas emergentes que aparecen desde el icono McAfee durante cinco segundos y luegodesaparecen.

Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión deFirewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ningunaacción.

• Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta queseleccione una opción.

1 IntroducciónInteracción con Endpoint Security


Por ejemplo:

• Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podríapedirle que aplace el análisis.

• Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a ladetección.

En el modo Metro de Windows 8, las notificaciones de alerta aparecen en la esquina superior derechade la pantalla para notificarle las detecciones de amenaza. Haga clic en la notificación de alerta paramostrar la notificación en modo Escritorio.

El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre las alertas y avisos.

Véase también Responder a un aviso de detección de amenaza en la página 18Responder a aviso de análisis en la página 19

Acerca de Endpoint Security ClientEl Endpoint Security Client le permite comprobar el estado de la protección y funciones de acceso ensu equipo.

• Las opciones en el menú Acción proporcionan acceso a las funciones.

Configuración Ajustar la configuración de las funciones.Esta opción de menú está disponible si alguna de las siguientes es verdadera:

• El Modo de interfaz de cliente está establecido en Acceso total.

• Ha iniciado sesión como administrador.

Cargar Extra.DAT Le permite instalar un archivo descargado Extra.DAT.

Revertir AMCorecontent

Revierte AMCore content a una versión anterior.Esta opción de menú está disponible si existe en el sistema una versión previade AMCore content y alguna de las siguientes es verdadera:

• El Modo de interfaz de cliente está establecido en Acceso total.

• Ha iniciado sesión como administrador.

Ayuda Muestra Ayuda.

Asistencia técnica Muestra una página con vínculos a páginas útiles, como el McAfeeServicePortal y Centro de conocimiento.

Inicio de sesión deadministrador

Inicia sesión como administrador del sitio web. (Requiere credenciales deadministrador.)La contraseña predeterminada es mcafee.

Esta opción del menú está disponible si el Modo de interfaz de cliente no estáestablecido en Acceso total. Si ya ha iniciado sesión como administrador, estaopción es Cerrar sesión de administrador.

Acerca de Muestra información acerca de Endpoint Security.

Salir Sale de Endpoint Security Client.



• Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareashabituales.

Analiza en busca de malware con un Análisis completo o Análisis rápido delsistema.

Este botón está disponible solo si el módulo Threat Prevention estáinstalado.

Actualiza los archivos de contenidos y componentes de software en elequipo.

Este botón podría no aparecer, según se ajuste la configuración.

• Los botones en la parte izquierda de la página ofrecen información acerca de la protección.

Estado Le devuelve a la página principal de Estado.

Registro de eventos Muestra el registro de todos los eventos de protección y de amenaza en esteequipo.

Poner en cuarentena Abre Quarantine Manager.

Este botón está disponible solo si el módulo Threat Prevention está instalado.

• El Resumen de amenazas le da información acerca de las amenazas que Endpoint Security hayadetectado en su equipo en los últimos 30 días.

Véase también Cargue un archivo Extra.DAT en la página 27Iniciar sesión como administrador en la página 24Analizar el equipo en busca de malware en la página 35Actualizar protección y software manualmente en la página 20Ver el Registro de eventos en la página 21Administrar elementos en cuarentena en la página 39Administrar Endpoint Security en la página 24Acerca del Resumen de amenazas en la página 12

Acerca del Resumen de amenazasLa página Endpoint Security Client Estado le proporciona un resumen en tiempo real de cualquieramenaza detectada en su sistema en los últimos 30 días.

A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la informaciónen el área Resumen de amenazas en el panel inferior.



El Resumen de amenazas incluye:

• Fecha de la última amenaza eliminada

• Los dos principales vectores de amenazas, por categoría:

Web Amenazas procedentes de sitios web o descargas.

Dispositivo o soporteexterno

Amenazas procedentes de dispositivos externos, tales como USB, 1394firewire, eSATA, cintas, CD, DVD o discos.

Red Amenazas procedentes de la red (no de recursos compartido de red).

Sistema local Amenazas procedentes de los archivos de arranque de la unidad local(normalmente C:) o unidades distintas de las clasificadas comoDispositivo o soporte externo.

Recurso compartido dearchivos

Amenazas procedentes de los recursos compartidos de red.

Correo electrónico Amenazas procedentes de correos electrónicos.

Mensaje instantáneo Amenazas procedentes de mensajería instantánea.

Desconocido Amenazas para las cuales no se ha podido determinar el vector de ataque(debido a una condición de error u otro caso de error).

• Número de amenazas por vector de amenaza

Si Endpoint Security Client no puede llegar al Administrador de eventosEndpoint Security Client,muestra un mensaje de error. En ese caso, reinicie el sistema para ver Resumen de amenazas.

Cómo afecta la configuración al acceso al clienteLa configuración del Modo interfaz de cliente asignada a su equipo determina a qué módulos yfunciones puede acceder.

Cambiar el Modo interfaz de cliente en la configuración Common.

En lo que se refiere a los sistemas gestionados, los cambios de directiva realizados en McAfeeePOMcAfee ePO Cloud o en SecurityCenter podrían sobrescribir los cambios de la página Configuración.

Las opciones del Modo de interfaz de cliente son:



Acceso total Permite el acceso a todas las funciones, incluidas:• Activar o desactivar módulos y funciones individuales.

• Acceder a la página Configuración para ver o modificar la configuración de directivaEndpoint Security Client.

Este modo es la configuración predeterminada para los sistemas autogestionados.

Accesoestándar

Muestra el estado de la protección y permite acceder a la mayoría de las funciones:• Actualiza los archivos de contenidos y componentes de software en el equipo (si el

administrador lo ha activado).

• Realice una comprobación exhaustiva de todas las áreas de su sistema, recomendadosi sospecha que su equipo podría estar infectado.

• Ejecute una comprobación rápida (2 minutos) de las áreas de su sistema que sean mássusceptibles de infectarse.

• Acceda al Registro de eventos.

• Administre los elementos en Poner en cuarentena.

Este modo es la configuración predeterminada para los sistemas autogestionados.

Desde la interfaz Acceso estándar, puede iniciar sesión como administrador para acceder atodas las funciones, incluidas todas las configuraciones.

Bloquearinterfaz decliente

Requiere una contraseña para acceder al cliente.La contraseña predeterminada es mcafee.

Una vez desbloquee la interfaz de cliente, podrá acceder a todas las funciones.

Si no puede acceder a Endpoint Security Client o a tareas y funciones específicas que necesita parahacer su trabajo, hable con su administrador.

Véase también Configurar parámetros para seguridad de interfaz cliente en la página 29

Cómo afectan al cliente los módulos instalados Algunos aspectos del cliente podrían no estar disponibles, dependiendo de los módulos instalados ensu equipo.

Estas funciones solo se encuentran disponibles si Threat Prevention está instalado:

• botón

• Botón Poner en cuarentena

Las funciones que aparecen dependen de las funciones instaladas en el sistema:

• En el menú desplegable Registro de eventos Filtrar por módulo.

• En la página Configuración.

Common Aparece si hay algún módulo instalado.

Threat Prevention Aparece solo si Threat Prevention está instalado.

Firewall Aparece solo si Firewall está instalado.

Web Control Aparece solo si Web Control está instalado.

Dependiendo del Modo de interfaz de cliente, y de como el administrador haya configurado el acceso,todas o algunas de estas funciones podrían no estar disponibles.



Véase también Cómo afecta la configuración al acceso al cliente en la página 13



2 Mediante Endpoint Security Client

Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisisdel sistema y administración de elemento en cuarentena.

Contenido Abra Endpoint Security Client Obtener ayuda Responder a avisos Introduzca información sobre su protección Actualizar protección y software manualmente Ver el Registro de eventos Administrar Endpoint Security

Abra Endpoint Security ClientAbra Endpoint Security Client para mostrar el estado de las funciones de protección instaladas en elequipo.

Si el modo interfaz está configurado en Bloquear interfaz de cliente, debe introducir la contraseña deadministrador para abrir el Endpoint Security Client.

Procedimiento1 Use uno de estos métodos para mostrar Endpoint Security Client:

• Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuaciónseleccione McAfee Endpoint Security.

• Seleccione Inicio | Todos los programas | McAfee | McAfee Endpoint Security.

• En Windows 8, inicie la aplicación McAfee Endpoint Security.1 Pulse la tecla Windows para mostrar la pantalla Inicio.

2 Entre en McAfee Endpoint Security y haga doble clic en la aplicación McAfee Endpoint Security.

2 Si se le pide, introduzca la contraseña de administrador en la página Inicio de sesión de administrador, yluego haga clic en Iniciar sesión.

Endpoint Security Client se abre en el modo interfaz que el administrador haya configurado.

Véase también Desbloquear la interfaz de cliente en la página 24

2


Obtener ayudaLos dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú, y elicono ?.

Procedimiento1 Abra Endpoint Security Client.

2 Dependiendo de la página en la que esté:

• Páginas Estado, Registro de eventos, y Cuarentena: desde el menú Acción , seleccione Ayuda.

• Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore content, y Cargar Extra.DAT: haga clic en ?en la interfaz.

Responder a avisosDependiendo de su configuración, Endpoint Security podría pedirle que introduzca información cuandoun análisis bajo demanda planificado esté a punto de empezar.

Procedimientos• Responder a un aviso de detección de amenaza en la página 18

Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realiceuna entrada antes de continuar, dependiendo de cómo se haya realizado la configuración.

• Responder a aviso de análisis en la página 19Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Securitypodría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configurapara permitirle aplazar, pausar, resumir o cancelar el análisis.

Responder a un aviso de detección de amenazaCuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entradaantes de continuar, dependiendo de cómo se haya realizado la configuración.

En el modo Metro de Windows 8, las notificaciones de alerta aparecen en la esquina superior derecha dela pantalla para notificarle las detecciones de amenaza. Haga clic en la notificación de alerta paramostrar la notificación en modo Escritorio.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.

• Desde la página Análisis en tiempo real, seleccione las opciones de administrar las detecciones deamenazas.

Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio deEndpoint Security o el sistema.

Véase también Administrar detecciones de amenazas en la página 39

2 Mediante Endpoint Security ClientObtener ayuda


Responder a aviso de análisisCuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podríapedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirleaplazar, pausar, resumir o cancelar el análisis.

Si no selecciona una opción, el análisis empezará automáticamente.

Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipoestá inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si seconfigura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando estáinactivo.

En el modo Metro de Windows 8, las notificaciones aparecen en la esquina superior derecha de lapantalla para pedirle información. Haga clic en la notificación de alerta para mostrar la notificación enmodo Escritorio.


• Cuando se le pida, seleccione una de estas opciones.

Las opciones que aparecen dependen de cómo está configurado el analizador.

Analizar ahora Iniciar el análisis inmediatamente.

Ver análisis Ver detecciones correspondientes a un análisis en curso.

Pausar análisis Pausa el análisis. Dependiendo de la configuración, si hace clic en Pausar análisispodría reconfigurar el análisis para ejecutarse solo cuando esté inactivo. Haga clicen Reanudar análisis para reanudar el análisis desde el punto en el que se detuvo.

Reanudar análisis Reanudar un análisis pausado.

Cancelar análisis Cancela el análisis.

Aplazar análisis Aplaza el análisis durante el número de horas especificado.

Las opciones de análisis planificado determinan cuántas veces puede aplazar elanálisis durante una hora. Es posible que no pueda aplazar el análisis más de unavez.

Cerrar Cierra la página de análisis.

Si el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entradaantes de continuar, dependiendo de cómo se haya realizado la configuración.

Véase también Responder a un aviso de detección de amenaza en la página 18

Introduzca información sobre su protecciónPuede encontrar más información sobre su protección Endpoint Security, incluidos el tipo de gestión,módulos de protección, funciones, estado, número de versión y licencias.

Procedimiento

1 Abra Endpoint Security Client.

2 En el menú Acción , seleccione Acerca de.

Mediante Endpoint Security ClientIntroduzca información sobre su protección 2


3 Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acercade dicho elemento.

4 Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de.

Véase también Tipos de administración en la página 20Abra Endpoint Security Client en la página 17

Tipos de administraciónEl tipo de administración indica cómo se administra Endpoint Security.


Tipo de administración Descripción

McAfee ePolicy Orchestrator Un administrador gestiona Endpoint Security mediante McAfeeePO (local).

McAfee ePolicy OrchestratorCloud

Un administrador gestiona Endpoint Security mediante McAfeeePO Cloud.

McAfee SecurityCenter Un administrador gestiona Endpoint Security medianteSecurityCenter.

Autogestionado Endpoint Security se gestiona localmente mediante EndpointSecurity Client. Este modo también se llama no gestionado oindependiente.

Actualizar protección y software manualmenteEn función de cómo se hayan configurado los parámetros, puede buscar y descargar actualizacionesde archivos de contenido y componentes de software en el equipo de forma manual.

Si no aparece en el cliente, puede activarlo en la de directiva. Consulte Configure el comportamiento de actualización de en la página 31 para obtener información.

Las actualizaciones manuales también reciben el nombre de actualizaciones bajo demanda.


Para ver las definiciones de las opciones, haga clic en ? en la interfaz.

Procedimiento


2Haga clic en .

Endpoint Security Client busca actualizaciones.

• Haga clic en Cancelar para cancelar la actualización.

Esta opción solo se encuentra disponible en sistemas autogestionados o gestionados medianteMcAfee ePO.

2 Mediante Endpoint Security ClientActualizar protección y software manualmente


• Si el sistema está actualizado, la página muestra No hay actualizaciones disponibles, así como la fechay hora de la actualización más reciente.

• Si la actualización se realiza correctamente, la página mostrará la fecha y hora actuales para laactualización más reciente.

Los mensajes o errores aparecen en el área de Mensajes.

Consulte los registros PackageManager_Activity.log o PackageManager_Debug.log para obtenermás información.

3 Haga clic en Cerrar para cerrar la página Actualizar.

Véase también Cómo se mantiene actualizada su protección en la página 8Acerca de los archivos de registro en la página 22Abra Endpoint Security Client en la página 17Configure el comportamiento de actualización de en la página 31

Ver el Registro de eventosLos registros de actividades y depuración almacenan los eventos que se producen en su sistemaprotegido por McAfee. Puede ver el Registro de eventos desde Endpoint Security Client.

Para obtener ayuda, en el menú Acción , seleccione Ayuda.


2 Haga clic en Registro de eventos en el lado izquierdo de la página.

La página muestra los eventos que Endpoint Security haya registrado en su sistema en los últimos30 días.

Si Endpoint Security Client no puede llegar al Administrador de eventos, muestra un mensaje deerror. En ese caso, reinicie su sistema para ver el Registro de eventos.

3 Seleccione un evento en el panel superior para mostrar los detalles en el panel inferior.

Para cambiar el tamaño relativo de los paneles, haga clic y arrastre el marco deslizante entre lospaneles.

Mediante Endpoint Security ClientVer el Registro de eventos 2


4 En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos.

Las opciones que aparecen dependen de cómo está configurado el analizador.

Ordenar eventos por fecha,funciones, acciónemprendida y gravedad

Haga clic en el encabezado de columna.

Buscar en el registro deeventos

Introduzca el texto de búsqueda en el campo Buscar y pulseIntro o haga clic en Buscar.La búsqueda distingue entre mayúsculas y minúsculas y serealiza en todos los campos del registro de eventos para eltexto de búsqueda. La lista de eventos muestra todos loselementos con texto coincidente.

Para cancelar la búsqueda y mostrar todos los eventos, hagaclic en x en el campo Buscar.

Filtrar eventos segúngravedad o módulo

En la lista desplegable de filtros, seleccione una opción.Para eliminar el filtro y mostrar todos los eventos, seleccioneMostrar todos los eventos de la lista desplegable.

Actualizar la vista del Registrode eventos con eventosrecientes

Haga clic en .

Abrir la carpeta que contienelos archivos de instalación deregistro

Haga clic en Ver directorio de registros.

5 Navegar el Registro de eventos.

Mostrar la página anterior de eventos Haga clic en Página anterior.

Mostrar la página siguiente de eventos Haga clic en Página siguiente.

Mostrar una página específica en elregistro

Introduzca un número de página y pulse Intro ohaga clic en Ir.

De forma predeterminada, el Registro de eventos muestra 20 eventos por página. Para mostrarmás eventos por página, seleccione una opción de la lista desplegable Eventos por página.

Véase también Acerca de los archivos de registro en la página 22Abra Endpoint Security Client en la página 17

Acerca de los archivos de registroLos archivos de registro de actividades, errores y depuración almacenan los eventos que se producenen los sistemas con Endpoint Security activada. Configurar el registro en los parámetros Common.

Los archivos de registro siempre aparecen en el idioma especificado en la configuración regionalpredeterminada del sistema.

Todos los archivos de registro de actividades y depuración se almacenan en una de las ubicacionespredeterminadas siguientes, según el sistema operativo.

Sistema operativo Ubicación predeterminada

Microsoft Windows 8.1(Blue)

%ProgramData%\McAfee\Endpoint Security\Logs%ProgramData%\McAfee\Endpoint Security\Installer\Logs

Microsoft Windows 8

Microsoft Windows 7

2 Mediante Endpoint Security ClientVer el Registro de eventos


Sistema operativo Ubicación predeterminada

Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee\EndpointSecurity\Logs

Microsoft Windows XP Carpeta McAfee\Endpoint Security\Logs en la carpeta Application Data

Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivo aparte.Los módulos almacenan los registros de errores en un solo archivoEndpointSecurityPlatform_Errors.log.

La activación del registro de depuración para cualquier módulo también lo activa para las funciones delmódulo Common, como autoprotección.

Tabla 2-1 Archivos de registro

Módulo Función o tecnología Nombre del archivo

Common EndpointSecurityPlatform_Activity.log

EndpointSecurityPlatform_Debug.log

Autoprotección AccessProtection_Activity.log

AccessProtection_Debug.log

Actualizaciones PackageManager_Activity.log

PackageManager_Debug.log

Errores EndpointSecurityPlatform_Errors.log

Threat PreventionLa activación del registro dedepuración para cualquiertecnología de ThreatPrevention también lo activapara Endpoint Security Client.

ThreatPrevention_Activity.log

ThreatPrevention_Debug.log

Protección de acceso AccessProtection_Activity.log

AccessProtection_Debug.log

Prevención de exploits ExploitPrevention_Activity.log

ExploitPrevention_Debug.log

Analizador en tiempo real OnAccessScan_Activity.log

OnAccessScan_Debug.log

Analizador bajo demanda• Análisis rápido

• Análisis completo

• Análisis con el botón derecho delratón

OnDemandScan_Activity.log

OnDemandScan_Debug.log

Endpoint Security Client MFEConsole_Debug.log

Firewall Firewall_Activity.log

Firewall_Debug.log

FirewallEventMonitor.logRegistros bloqueados y eventos de tráficopermitidos, si se ha configurado.

Web Control WebControl_Activity.log

WebControl_Debug.log

Mediante Endpoint Security ClientVer el Registro de eventos 2


Administrar Endpoint SecurityComo administrador, puede administrar Endpoint Security desde Endpoint Security Client, lo queincluye activar y desactivar funciones, administrar archivos de contenido, especificar cómo secomporta la interfaz de cliente y ajustar la configuración común.


Véase también Iniciar sesión como administrador en la página 24Desbloquear la interfaz de cliente en la página 24Desactivar y activar funciones en la página 25Cambiar versión de AMCore content en la página 25Utilice archivos Extra.DAT en la página 26Configurar parámetros comunes en la página 27

Iniciar sesión como administradorSi el modo de interfaz Endpoint Security Client está configurado como Acceso estándar, puede iniciarsesión como administrador para acceder a toda la configuración.

Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso estándar.



2 En el menú Acción , seleccione Inicio de sesión de administrador.

3 En el campo Contraseña, introduzca la contraseña de administrador, y haga clic en Iniciar sesión.

Ahora tendrá acceso a todas las funciones de Endpoint Security Client.

Para cerrar sesión, seleccione Acción | Cerrar sesión de administrador. El cliente regresa al modo de interfazAcceso estándar.

Desbloquear la interfaz de clienteSi la interfaz para Endpoint Security Client está bloqueada, desbloquéela con la contraseña deadministrador para acceder a todas las opciones de configuración.

Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Bloquear interfaz decliente.


2 En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campoContraseña y, a continuación, haga clic en Iniciar sesión.

2 Mediante Endpoint Security ClientAdministrar Endpoint Security


Endpoint Security Client se abre y se puede acceder a todas las funciones del cliente.

Para cerrar sesión y cliente, en el menú Acción , seleccione Cerrar sesión de administrador.

Desactivar y activar funcionesComo administrador, puede desactivar y activar las funciones de Endpoint Security desde el EndpointSecurity Client.

Antes de empezarEl modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o sedebe haber iniciado sesión como administrador.

La página Estado muestra el estado activado del módulo de función, que puede no reflejar el estado realde la función. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si elparámetro Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: desactivado).



2 Haga clic en el nombre de módulo (como Threat Prevention o Firewall) en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en el nombre demódulo en la página Configuración.

3 Seleccione o anule la selección de la opción Activar módulo o Función.

Activar cualquiera de las funciones Threat Prevention activa también el módulo Threat Prevention.

Véase también Iniciar sesión como administrador en la página 24

Cambiar versión de AMCore content Utilice Endpoint Security Client para cambiar la versión de AMCore content en el sistema.


Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anterioresen la carpeta Program Files\Common Files\McAfee\Engine\content. Si es necesario, puede restauraruna versión anterior.



2 En el menú Acción , seleccione Revertir AMCore content.

3 Seleccione la versión para cargar del elemento desplegable.

4 Haga clic en Aplicar.

Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente.

Mediante Endpoint Security ClientAdministrar Endpoint Security 2


Véase también Cómo funcionan los archivos de contenido en la página 9Iniciar sesión como administrador en la página 24

Utilice archivos Extra.DATPuede instalar un archivo Extra.DAT para proteger los su equipo contra un brote de malwareimportante hasta que se publique la próxima actualización de AMCore content.

Procedimientos• Descargar archivos Extra.DAT en la página 26

Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado porMcAfee Labs.

• Cargue un archivo Extra.DAT en la página 27Para instalar el archivo Extra.DAT descargado, utilice Endpoint Security Client.

Véase también Acerca de archivos Extra.DAT en la página 26

Acerca de archivos Extra.DATSi se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfeeLabs facilita un archivo Extra.DAT. Los archivos Extra.DAT contienen información que ThreatPrevention utiliza para manejar el nuevo malware.

Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud deExtra.DAT de McAfee Labs.

Threat Prevention solo admite el uso de un archivo Extra.DAT.

Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivoExtra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instaladoen el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha decaducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. ElExtra.DAT se elimina del sistema en la siguiente actualización.

Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT.

Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Program Files\Common Files\McAfee\Engine\content\avengine\extradat.

Descargar archivos Extra.DATPara descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfeeLabs.

Procedimiento1 Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT

y haga clic en Guardar.

2 Si es preciso, descomprima el archivo EXTRA.ZIP.

3 Cargue el archivo Extra.DAT con Endpoint Security Client.



https://www.webimmune.net/extra/getextra.aspx

https://www.webimmune.net/extra/getextra.aspx

Cargue un archivo Extra.DAT Para instalar el archivo Extra.DAT descargado, utilice Endpoint Security Client.




2 En el menú Acción, seleccione Cargar Extra.dat.

3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, acontinuación, haga clic en Abrir.

4 Haga clic en Aplicar.

Las nuevas detecciones en el Extra.DAT se aplican inmediatamente.


Configurar parámetros comunesConfigure parámetros aplicables a todos los módulos y las funciones de Endpoint Security en elmódulo Common. Estos parámetros incluyen seguridad de interfaz y configuración de idioma paraEndpoint Security Client, inicio de sesión, servidor proxy para McAfee GTI y configuración de laactualización.

Procedimientos• Proteger recursos de Endpoint Security en la página 28

Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar elsoftware de seguridad del sistema. Configure los parámetros de autoprotección de EndpointSecurity enCommon para impedir que se detengan o modifiquen los servicios y archivos deEndpoint Security.

• Configurar parámetros de registro en la página 28Configure el registro Endpoint Security en los parámetros del Common.

• Configurar parámetros para seguridad de interfaz cliente en la página 29Configure las opciones de visualización y contraseña de la interfaz para Endpoint SecurityClient en la configuración de Common.

• Configuración del servidor proxy para McAfee GTI en la página 30Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI enla configuración deCommon.

• Configure el comportamiento de actualización de en la página 31Especifique el comportamiento de actualizaciones iniciadas desde Endpoint Security Clienten la configuración de Common.

• Configurar sitios de origen para actualizaciones de cliente en la página 32Para los sistemas autogestionados, puede configurar los sitios desde los que EndpointSecurity Client obtiene archivos de seguridad actualizados en la configuración del móduloCommon.

• Planifique la tarea Actualización cliente predeterminado en la página 33Puede modificar o planificar la tarea Actualización de cliente predeterminado desdeEndpoint Security Client en la configuración de Common.



Proteger recursos de Endpoint SecurityUna de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el softwarede seguridad del sistema. Configure los parámetros de autoprotección de Endpoint SecurityenCommon para impedir que se detengan o modifiquen los servicios y archivos de Endpoint Security.


Los usuarios, administradores, desarrolladores o profesionales de la seguridad nunca deberían necesitardesactivar la protección de Endpoint Security en los sistemas.



2 En el menú Acción , seleccione Configuración.

3 Haga clic en Mostrar avanzado.

4 Desde Autoprotección, verifique que Autoprotección está activado.

5 Especifique la acción para cada uno de los siguientes recursos de Endpoint Security:

• Archivos y carpetas: impide que los usuarios modifiquen bases de datos, archivos binarios, archivosde búsqueda segura y archivos de configuración de McAfee.

• Registro: impide que los usuarios modifiquen el subárbol del registro de McAfee y loscomponentes COM, y que desinstalen mediante el valor de registro.

• Procesos — Impide la detención de los procesos de McAfee.

6 Haga clic en Aplicar para guardar los cambios o en Cancelar.


Configurar parámetros de registroConfigure el registro Endpoint Security en los parámetros del Common.






4 Configure los parámetros de Registro de cliente en la página.




Véase también Acerca de los archivos de registro en la página 22Iniciar sesión como administrador en la página 24

Configurar parámetros para seguridad de interfaz clienteConfigure las opciones de visualización y contraseña de la interfaz para Endpoint Security Client en laconfiguración de Common.


Modifique estos parámetros con cuidado porque pueden permitir que los usuarios cambien suconfiguración de la seguridad, lo cual dejaría desprotegidos los sistemas frente a los ataques demalware.




3 Configure los parámetros de Modo de interfaz de cliente en la página.


Véase también Efectos de definir una contraseña de administrador en la página 29Iniciar sesión como administrador en la página 24

Efectos de definir una contraseña de administradorCuando se establece el modo de interfaz en Acceso estándar, también se debe definir una contraseñade administrador.

Definir una contraseña de administrador en Endpoint Security Client afecta a los usuarios siguientes:



No administradores(usuarios sin derechos deadministrador)

Los no administradores pueden:

• Ver algunos parámetros de configuración.

• Ejecutar análisis.

• Buscar actualizaciones (si está activado).

• Ver la Cuarentena.

• Ver el Registro de eventos.

• Acceda a la página Configuración para ver o modificar reglas deFirewall (si está activado).

Los no administradores no pueden:

• Cambiar parámetros de configuración.

• Vea, cree, elimine o modifique la configuración.Una excepción es la posibilidad de ver o modificar reglas de Firewall(si se ha activado).

Administradores(usuarios con derechos deadministración)

Los administradores deben escribir la contraseña para acceder a lasáreas protegidas y modificar parámetros.

Configuración del servidor proxy para McAfee GTI Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en laconfiguración deCommon.






4 Configure los parámetros de Servidor proxy para McAfee GTI en la página.


Véase también Como funciona McAfee GTI en la página 30Iniciar sesión como administrador en la página 24

Como funciona McAfee GTISi activa McAfee GTI para el analizador en tiempo real y bajo demanda, el analizador utiliza heurísticapara buscar archivos sospechosos. El servidor de McAfee GTI almacena las calificaciones de sitio web y



muestra informes para Web Control. Si configura Web Control para analizar archivos descargados, elanalizador utiliza heurística para buscar archivos sospechosos.

El analizador envía huellas digitales de muestras, o hashes, a un servidor de bases de datos centralalojado por McAfee Labs para determinar si son malware. Al enviar hashes, la detección podría estardisponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs publiquela actualización.

Puede configurar el nivel de sensibilidad que McAfee GTI utiliza cuando determina si una muestradetectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitir más detecciones, también pueden obtenerse másresultados falsos positivos. El nivel de sensibilidad de McAfee GTI viene establecido en Medio de formapredeterminada. Configure el nivel de sensibilidad de cada analizador de Threat Prevention. Configureel nivel de sensibilidad para analizar descargas de archivos en los parámetros de Opciones de WebControl.

Puede configurar Endpoint Security para usar un servidor proxy para recuperar la información dereputación de McAfee GTI en los parámetros de Common.

Configure el comportamiento de actualización de Especifique el comportamiento de actualizaciones iniciadas desde Endpoint Security Client en laconfiguración de Common.


Solo puede configurar estos parámetros en sistemas autogestionados o gestionados mediante McAfeeePO.

Utilice estos ajustes para establecer si se mostrará o no el botón en el cliente yqué actualizar cuando el usuario haga clic en el botón o se ejecute la tarea Actualización clientepredeterminado.






4 Configure los parámetros de Actualización cliente predeterminado en la página.


Véase también Iniciar sesión como administrador en la página 24Configurar sitios de origen para actualizaciones de cliente en la página 32Planifique la tarea Actualización cliente predeterminado en la página 33



Configurar sitios de origen para actualizaciones de clientePara los sistemas autogestionados, puede configurar los sitios desde los que Endpoint Security Clientobtiene archivos de seguridad actualizados en la configuración del módulo Common.


Solo puede configurar estos parámetros en sistemas autogestionados.





4 Ajuste la configuración de Sitios de origen para las actualizaciones en la página.

Puede activar o desactivar las dos copias de seguridad predeterminadas de los dos sitios de origen(NAIFtp y NAIHttp), pero no se pueden modificar, eliminar o mover en la lista.

Para... Siga estos pasos

Agregar un sitio ala lista.

1 Haga clic en Agregar.

2 Especifique la configuración del sitio.

3 Haga clic en Aceptar para guardar los cambios.

La regla aparece al principio de la lista de reglas.

Eliminar un sitio. Seleccione el sitio y haga clic en Eliminar.

Modificar un sitioexistente.

1 Haga clic en el nombre del sitio.

2 Cambie la configuración.


Reordenar sitios enla lista.

Para mover elementos:1 Seleccione los elementos que mover.

El control de ajuste aparece a la izquierda de los elementos quepuedan moverse.

2 Arrastre y coloque los elementos en su nueva ubicación.Una línea azul aparece entre elementos allí donde pueda colocar loselementos arrastrados.

El orden determina el orden que Endpoint Security usa para buscar el sitiode actualización.


Véase también Cómo funciona la tarea Actualización cliente predeterminado en la página 33Iniciar sesión como administrador en la página 24Configure el comportamiento de actualización de en la página 31Planifique la tarea Actualización cliente predeterminado en la página 33



Planifique la tarea Actualización cliente predeterminado Puede modificar o planificar la tarea Actualización de cliente predeterminado desde Endpoint SecurityClient en la configuración de Common.



Utilice estos parámetros para configurar cuándo se ejecuta la tarea Actualización clientepredeterminado. Consulte Configure el comportamiento de actualización de en la página 31 paraconfigurar el comportamiento predeterminado de actualizaciones de cliente iniciadas desde EndpointSecurity Client.





4 Haga clic en Tareas.

5 Haga doble clic en Actualización cliente predeterminado, edite la planificación y haga clic en Aceptar paraguardar los cambios o haga clic en Cancelar.


Véase también Cómo funciona la tarea Actualización cliente predeterminado en la página 33Configure el comportamiento de actualización de en la página 31Configurar sitios de origen para actualizaciones de cliente en la página 32

Cómo funciona la tarea Actualización cliente predeterminadoLa tarea Actualización cliente predeterminado descarga la protección más reciente al Endpoint SecurityClient.

Endpoint Security incluye la tarea Actualización cliente predeterminado que se ejecuta cada día a la1:00 a. m. y se repite cada cuatro horas hasta las 11:59 p.m.

La tarea Actualización cliente predeterminado:

1 Conecta al primer sitio de origen activado en la lista.

Si el sitio no está disponible, la tarea contacta el siguiente sitio hasta que logra establecer unaconexión o alcanza el final de la lista.

2 Se descarga un archivo CATALOG.Z codificado desde el sitio.

El archivo contiene información necesaria para llevar a cabo la actualización, incluyendo archivosdisponibles y actualizaciones.

3 Compara las versiones de software contenidas en el archivo con las versiones existentes en elequipo y descarga cualquier actualización de software disponible.

Si la tarea Actualización cliente predeterminado se interrumpe durante la actualización:



Actualización desde Descarga interrumpida

HTTP, UNC o un sitio local Se reanuda desde donde se interrumpió la actualización lapróxima vez que se inicie la tarea de actualización.

Sitio FTP (descarga de un solo archivo) No se reanuda si se interrumpe.

Sitio FTP (descarga de varios archivos) Se reanuda antes del archivo que se estaba descargando enel momento de la interrupción.

Véase también Configurar sitios de origen para actualizaciones de cliente en la página 32Planifique la tarea Actualización cliente predeterminado en la página 33



3 Mediante Threat Prevention

Threat Prevention comprueba la existencia de virus, spyware, programas no deseados y otrasamenazas en el equipo.

Contenido Analizar el equipo en busca de malware Administrar detecciones de amenazas Administrar elementos en cuarentena Administrar Threat Prevention

Analizar el equipo en busca de malwareAnalice en busca de malware en el equipo seleccionando opciones en Endpoint Security Client o desdeel Explorador de Windows.

Procedimientos• Ejecutar un Análisis completo o Análisis rápido en la página 36

Use Endpoint Security Client para realizar un Análisis completo o Análisis rápido en suequipo manualmente.

• Analizar un archivo o carpeta en la página 38Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamenteun archivo o carpeta individual que sospeche que pueda estar infectado.

Véase también Tipos de análisis en la página 35

Tipos de análisisEndpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.

• Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución enlos equipos administrados. En el caso de equipos administrados, configure el analizador en tiemporeal en la página Configuración.

Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real interceptala operación y analiza el elemento según criterios definidos por el administrador.

• Análisis bajo demanda

3


Manual El administrador (o el usuario, en el caso de sistemas autogestionados) configuraanálisis en tiempo real predefinidos que los usuarios pueden ejecutar en equiposadministrados.

• Ejecute un análisis bajo demanda predefinido en cualquier momento desde

Endpoint Security Client haciendo clic en y seleccionandoun tipo de análisis:Análisis rápido ejecuta una comprobación rápida de las áreas del sistema mássusceptibles de infección.

Análisis completo realizar una comprobación exhaustiva de todas las áreas delsistema. (Se recomienda si sospecha que el equipo está infectado.)

• Analice un archivo o una carpeta en cualquier momento desde el Explorador deWindows haciendo clic con el botón derecho y seleccionando Analizar en busca deamenazas en el menú emergente.

Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura yplanifica análisis bajo demanda para su ejecución en los equipos.

Cuando un análisis bajo demanda planificado está a punto de iniciarse, EndpointSecurity muestra un mensaje de análisis en la parte inferior de la pantalla. Puedeiniciar el análisis inmediatamente o aplazarlo, si se ha configurado.

Para configurar y planificar los análisis bajo demanda predefinidos, Análisis rápidoy Análisis completo:1 Configuración | Análisis bajo demandaFicha Análisis completo o Análisis rápido: configura

análisis bajo demanda.

2 Configuración | Common | Tareas planifica análisis bajo demanda.

Véase también Planifique las tareas Análisis completo y Análisis rápido en la página 60Responder a aviso de análisis en la página 19

Ejecutar un Análisis completo o Análisis rápidoUse Endpoint Security Client para realizar un Análisis completo o Análisis rápido en su equipomanualmente.

Antes de empezarEl módulo Threat Prevention debe estar instalado.

El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado laconfiguración. Con credenciales de administrador puede modificar y planificar estos análisis en laconfiguración Análisis bajo demanda.



2Haga clic en .

3 Mediante Threat PreventionAnalizar el equipo en busca de malware


3 En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo.

Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema,recomendado si sospecha que su equipo podría estar infectado.

Análisis rápido Ejecuta una comprobación rápida de las áreas de su sistema que sean mássusceptibles de infectarse.

Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.

También puede que vea el botón Ver detecciones en el análisis en tiempo real, dependiendo de laconfiguración y de si se ha detectado una amenaza. Haga clic en este botón para abrir la páginaAnálisis en tiempo real para administrar las detecciones en cualquier momento. Consulte Administrardetecciones de amenazas en la página 39.

Endpoint Security Client muestra el estado del análisis en una nueva página.

La Fecha de creación de AMCore content indica la última vez que se ha actualizado el contenido. Siel contenido tiene una antigüedad superior a los dos días, McAfee le recomienda que actualice suprotección antes de ejecutar el análisis.

4 Haga clic en los botones en la parte superior de la página de estado para controlar el análisis.

Pausar análisis Pausa el análisis antes de que se complete.


Cancelar análisis Cancela un análisis en ejecución.

5 Una vez completado el análisis, las detecciones se muestran en la página.

Nombre de detección Identifica el nombre del malware detectado.

Tipo Muestra el tipo de amenaza.

Nombre del archivo Identifica el archivo infectado.

Acción Describe la última acción de seguridad emprendida en el archivo infectado:• Acceso denegado

• Limpiado

• Eliminado

• Ninguno

La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajodemanda.

6 Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivoinfectado.

Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no esténdisponibles.

7 Haga clic en Cerrar para cerrar la página.

Véase también Tipos de análisis en la página 35Configure Análisis bajo demanda en la página 55Planifique las tareas Análisis completo y Análisis rápido en la página 60Nombres de detecciones en la página 41Actualizar protección y software manualmente en la página 20Administrar detecciones de amenazas en la página 39

Mediante Threat PreventionAnalizar el equipo en busca de malware 3


Analizar un archivo o carpetaHaga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivoo carpeta individual que sospeche que pueda estar infectado.


El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado laconfiguración. Con credenciales de administrador puede modificar estos análisis en la configuraciónAnálisis bajo demanda.

Procedimiento1 En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y

seleccione Analizar en busca de amenazas desde el menú emergente.

Endpoint Security Client muestra el estado del análisis en la página Analizar en busca de amenazas.

2 Haga clic en los botones en la parte superior de la página para controlar el análisis.

Pausar análisis Pausa el análisis antes de que se complete.


Cancelar análisis Cancela un análisis en ejecución.

3 Una vez completado el análisis, las detecciones se muestran en la página.

Nombre de detección Identifica el nombre del malware detectado.

Tipo Muestra el tipo de amenaza.

Nombre del archivo Identifica el archivo infectado.

Acción Describe la última acción de seguridad emprendida en el archivo infectado:• Acceso denegado

• Limpiado

• Eliminado

• Ninguno


4 Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivoinfectado.

Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no esténdisponibles.

5 Haga clic en Cerrar para cerrar la página.

Véase también Tipos de análisis en la página 35Configure Análisis bajo demanda en la página 55Nombres de detecciones en la página 41

3 Mediante Threat PreventionAnalizar el equipo en busca de malware


Administrar detecciones de amenazasDependiendo de su configuración, puede gestionar las detecciones de amenazas desde EndpointSecurity Client.




2 Haga clic en Analizar ahora para abrir la página Analizar sistema.

3 Desde Análisis bajo demanda, haga clic en Ver detecciones.

Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería deusuario está desactivada.


4 Desde la página Análisis en tiempo real, seleccione una de estas opciones.

Limpiar Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena.

Endpoint Security usa información de los archivos de contenido para limpiar losarchivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado yno se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfeerecomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copiade seguridad limpia.

Eliminar Elimina el elemento que contiene la amenaza.

Eliminar entrada Elimina una entrada de la lista de detección.

Cerrar Cierra la página de análisis.

Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible.Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.


Administrar elementos en cuarentena Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puederealizar acciones en los elementos en cuarentena.


Mediante Threat PreventionAdministrar detecciones de amenazas 3


Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenidocon información que limpia la amenaza.

Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos,registros o todo lo que Endpoint Security analice en busca de malware.



2 Haga clic en Poner en cuarentena en el lado izquierdo de la página.

La página muestra todos los elementos en cuarentena.

Si Endpoint Security Client no puede llegar al Administrador de cuarentena, muestra un mensaje deerror. En ese caso, reinicie su sistema para ver la página Cuarentena.

3 Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.

Cambiar el tamaño relativo de los paneles Haga clic y arrastre el marco deslizante entrelos paneles.

Ordenar elementos de la tabla por nombre otipo de amenaza

Haga clic en el encabezado de columna.

4 En la página Cuarentena, realice acciones en elementos seleccionados.

Eliminar elementosen cuarentena

Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminarpara confirmar.

Los archivos eliminados no se pueden restaurar.

Restaurarelementos encuarentena

Seleccione elementos, haga clic en Restaurar, a continuación haga clic denuevo en Restaurar para confirmar.Endpoint Security restaura los elementos a su ubicación original y los quitade la cuarentena.

Si un elemento aún es una amenaza válida, Endpoint Security lo devolveráa la cuarentena la próxima vez que se acceda a dicho elemento.

Volver a analizarelementos

Seleccione elementos, luego haga clic en Volver a analizar.Por ejemplo, puede volver a analizar un elemento tras actualizar laprotección. Si el elemento ya no es una amenaza, lo puede restaurar a suubicación original y quitarlo de la cuarentena.

Ver un elementoen el Registro deeventos

Seleccione un elemento, luego haga clic en el vínculo Ver en Registro de eventosen el panel de detalles.La página Registro de eventos se abre, y el evento relacionado con el elementoseleccionado aparecerá resaltado.

Obtener másinformación sobreuna amenaza

Seleccione un elemento, luego haga clic en el vínculo Obtenga más informaciónsobre esta amenaza en el panel de detalles.Se abre una nueva ventana de navegador en el sitio web McAfee Labs conmás información acerca de la amenaza que provocó que el elemento sepusiera en cuarentena.

Véase también Nombres de detecciones en la página 41Abra Endpoint Security Client en la página 17Actualizar protección y software manualmente en la página 20

3 Mediante Threat PreventionAdministrar elementos en cuarentena


Nombres de deteccionesLos La cuarentena informa de amenazas por nombre de detección.

Nombre dedetección

Descripción

Adware Genera ingresos mostrando anuncios dirigidos al usuario. El adware generaingresos a través del proveedor o los socios del proveedor. Algunos tipos deadware pueden capturar o transmitir información personal.

Marcador Redirige las conexiones de Internet a otra parte distinta del proveedor deservicios de Internet predeterminado del usuario. Los marcadores estándiseñados para agregar costes de conexión para un proveedor de contenidos, unvendedor u otro.

Broma Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas noafectan a la seguridad o la privacidad, pero pueden alarmar o molestar alusuario.

Registrador depulsaciones deteclado

Intercepta datos entre el usuario que los introduce y la aplicación a la que ibandestinados. Un caballo troyano y un programa no deseado registrador depulsaciones de teclado pueden funcionar de manera idéntica. El software deMcAfee detecta los dos tipos para evitar intrusiones de privacidad.

Cracker decontraseñas

Permite al usuario o administrador recuperar las contraseñas perdidas uolvidadas desde las cuentas o archivos de datos. En manos de un atacante,permiten el acceso a información confidencial y son una amenaza para laseguridad y la privacidad.

Programapotencialmente nodeseado

A menudo incluye software legítimo (que no es malware) que puede alterar elestado de seguridad o la política de privacidad del sistema. Este software sepuede descargar con un programa que el usuario desea instalar. Puede incluirspyware, adware, registradores de pulsaciones de teclado, crackers decontraseñas, herramientas de hacker y aplicaciones de marcador.

Herramienta deadministraciónremota

Otorga a un administrador el control remoto de un sistema. Estas herramientaspueden suponer una amenaza de seguridad grave si las controla un atacante.

Spyware Transmite información personal a terceros sin el conocimiento o consentimientodel usuario. El spyware genera exploits en los equipos infectados con finalidadescomerciales mediante:• Envío de anuncios emergentes no solicitados

• Robo de información personal, incluida su información financiera, como puedeser el número de las tarjetas de crédito

• Supervisión de la actividad de navegación por la Web para fines de marketing

• Enrutamiento de solicitudes HTTP a sitios de publicidad

Consulte también Programa potencialmente no deseado.

Sigiloso Es un tipo de virus que intenta evitar ser detectado por el software antivirus.También conocido como interceptor interruptor.

Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando unaaplicación antivirus intenta leer archivos o sectores de arranque para encontrarvirus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virusesconden el tamaño real del archivo infectado y muestran el tamaño del archivoantes de infectarse.

Mediante Threat PreventionAdministrar elementos en cuarentena 3


Nombre dedetección

Descripción

Troyano Es un programa dañino que se hace pasar por una aplicación benigna. Untroyano no se replica pero causa daño o pone en peligro la seguridad del equipo.Los equipos suelen infectarse:

• Cuando un usuario abre un troyano adjunto en un correo electrónico.

• Cuando un usuario descarga un troyano de un sitio web.

• Redes de igual a igual.

Como no se replican, los troyanos no se consideran virus.

Virus Capaz de incrustarse en discos u otros archivos y replicarse repetidamente,normalmente sin el conocimiento o permiso del usuario.Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo,el virus también se ejecuta. Otros virus permanecen en la memoria del equipo einfectan más archivos a medida que ese equipo los va abriendo, modificando ocreando. Algunos virus presentan síntomas, mientras que otros dañan losarchivos y sistemas del equipo.

Administrar Threat PreventionComo administrador, puede especificar la configuración de Threat Prevention para prevenir el accesode amenazas y configurar los análisis.


Véase también Excluir elementos de análisis en la página 42Detección de programas potencialmente no deseados en la página 44Configure la Protección de acceso en la página 46Configurar Prevención de exploit en la página 49Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55Planifique las tareas Análisis completo y Análisis rápido en la página 60Configurar parámetros de análisis comunes en la página 60

Excluir elementos de análisisThreat Prevention permite ajustar la lista de elementos analizados especificando elementos queexcluir.

Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloqueeun archivo utilizado por una base de datos o un servidor. (Un archivo bloqueado puede hacer que seproduzcan errores en la base de datos o el servidor.)

3 Mediante Threat PreventionAdministrar Threat Prevention


Para esta función... Especificarelementos queexcluir

Dóndeconfigurar

Excluirelementos por

¿Usarcomodines?

Protección de acceso Procesos (paratodas las reglas opara una reglaespecificada)

Protección de accesoconfiguración

Nombre delproceso

No

Prevención de exploits Procesos Prevención deexploitsconfiguración

Nombre delproceso

No

Análisis en tiempo real• Predeterminado

• Riesgo alto

• Riesgo bajo

Archivos, tipos dearchivo y carpetas

Análisis en tiemporeal configuración

Patrón, tipo oantigüedad dearchivo

Sí

URL ScriptScan Análisis en tiemporeal configuración

Nombre de URL No

Nombres dedetecciones

Opcionesconfiguración

Nombre dedetección(distingue entremayúsculas yminúsculas)

No

Programaspotencialmente nodeseados


Nombre Sí

Análisis bajo demanda• Análisis rápido


• Análisis con el botón derechodel ratón

Archivos, carpetas yunidades

Análisis bajodemandaconfiguración

Patrón, tipo oantigüedad dearchivo

Sí(* y ?)

Nombres dedetecciones


Nombre dedetección(distingue entremayúsculas yminúsculas)

No

Programaspotencialmente nodeseados


Nombre Sí

Véase también Caracteres comodín en exclusiones de análisis en la página 44

Mediante Threat PreventionAdministrar Threat Prevention 3


Caracteres comodín en exclusiones de análisisPuede usar caracteres comodín para representar caracteres en exclusiones para el análisis dearchivos, carpetas y programas potencialmente no deseados.

Tabla 3-1 Caracteres comodín válidos

Caráctercomodín

Nombre Representa

? Signo deinterrogación

Un solo carácter.

Este comodín se aplica solamente si el número decaracteres coincide con la longitud del nombre de archivoo carpeta. Por ejemplo: La exclusión W?? excluye WWW,pero no WW o WWWW.

* Asterisco Varios caracteres.

** Doble asterisco Cero o más caracteres, incluida la barra invertida (\).

Este comodín corresponde a cero o más caracteres. Porejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZy C:\ABC\XYZ.

Los comodines pueden aparecer delante de una barra invertida (\) en una ruta. Por ejemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.

Detección de programas potencialmente no deseadosPara proteger el equipo gestionado contra programas potencialmente no deseados, especifiquearchivos y programas que detectar en el entorno y luego active la detección.

Los programas potencialmente no deseados son programas de software que molestan o que puedenalterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmenteno deseados pueden ir incrustados en programas que los usuarios descargan intencionalmente. Losprogramas no deseados pueden incluir spyware, adware y marcadores.

1 Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajodemanda los detecten en la configuración de la Opciones.

2 Active la detección de programas no deseados y especifique acciones que emprender cuando seproducen detecciones en estas configuraciones:

• Configuración de Análisis en tiempo real

• Configuración de Análisis bajo demanda

Véase también Especificar programas potencialmente no deseados a detectar en la página 45Activar y configurar la detección de programas potencialmente no deseados y respuestas en lapágina 45Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55



Especificar programas potencialmente no deseados a detectarEspecifique programas adicionales para que los analizadores en tiempo real y bajo demanda los tratencomo programas no deseados en la configuración de Opciones.


Los analizadores detectan tanto los programas que especifique como los especificados en los archivosde AMCore content.



2 Haga clic en Threat Prevention en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Prevention enla página Configuración.


4 Haga clic en Opciones.

5 Desde Detecciones de programas potencialmente no deseados:• Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o

programa que tratar como programa potencialmente no deseado.

La Descripción aparece como nombre de detección cuando se produce una detección.

• Haga doble clic en el nombre o descripción de un programa potencialmente no deseado yaexistente para modificarlo.

• Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic enEliminar para quitarlo de la lista.


Activar y configurar la detección de programas potencialmente nodeseados y respuestasActive que los analizadores en tiempo real o bajo demanda detecten programas potencialmente nodeseados, y especifique respuestas cuando se encuentre alguno.





1 Configure la Análisis en tiempo real.

a Abra Endpoint Security Client.

b Haga clic en Threat Prevention en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Preventionen la página Configuración.

c Haga clic en Mostrar avanzado.

d Haga clic en Análisis en tiempo real.

e En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas nodeseados.

f En Acciones, configure respuestas a los programas no deseados.

2 Configure la Análisis bajo demanda.

a Abra Endpoint Security Client.

b Haga clic en Threat Prevention en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Threat Preventionen la página Configuración.

c Haga clic en Mostrar avanzado.

d Haga clic en Análisis bajo demanda.

e Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):

• Seleccione Detectar programas no deseados.

• En Acciones, configure respuestas a los programas no deseados.

Véase también Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55Iniciar sesión como administrador en la página 24

Configure la Protección de accesoUse reglas en la configuración de Protección de acceso para proteger los puntos de acceso del sistema.


Puede activar, desactivar y cambiar estas reglas, pero no las puede eliminar.








4 Haga clic en Protección de acceso.

5 Compruebe que la protección de acceso esté activada.

La protección de acceso está activada de forma predeterminada.

6 En la sección Exclusiones, agregue procesos que excluir de todas las reglas.

Utilice el nombre exacto del proceso. Por ejemplo, especifique estas exclusiones: avtask.exe,cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe.

La protección de acceso permite acceder a los procesos que especifique.

7 En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para cada regla.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

Para deshabilitar una regla, cancele la selección de las acciones Bloquear e Informa.

8 Seleccione una regla, haga clic en Agregar e introduzca un proceso que excluir de la reglaseleccionada.



Protección de los puntos de acceso del sistemaLa primera línea de defensa contra el malware es proteger los puntos de acceso del sistema clientecontra el acceso de amenazas. Protección de acceso impide cambios no deseados en el equipogestionado mediante la restricción del acceso a determinados puertos, archivos, recursos compartidos,registro y claves.

Protección de acceso utiliza reglas para informar del acceso a elementos o bloquearlo. El analizador entiempo real compara una acción solicitada contra una lista de reglas, y realiza la acción especificadaen la regla.

El analizador en tiempo real se debe activar para detectar los intentos de acceso a puertos, archivos,recursos compartidos, valores de Registro y claves de Registro.



Cómo obtienen acceso las amenazasLas amenazas obtienen acceso a un sistema mediante varios puntos de acceso.

Punto de acceso Descripción

Macros Incluidas en documentos de procesamiento de textos y aplicaciones dehojas de cálculo.

Archivos ejecutables Los programas aparentemente benignos pueden incluir virus junto con elprograma esperado. Algunas extensiones de archivo comunesson .EXE, .COM, .VBS, .BAT, .HLP y .DLL.

Scripts Los scripts como ActiveX y JavaScript están asociados a páginas web ycorreo electrónico y, si se permite su ejecución, pueden incluir virus.

Mensajes de InternetRelay Chat (IRC)

Los archivos enviados junto con estos mensajes pueden contener malwarecomo parte del mensaje. Por ejemplo, los procesos de inicio automáticopueden incluir gusanos y troyanos.

Archivos de ayuda deaplicaciones ynavegadores

La descarga de estos archivos de ayuda expone el sistema a virusincrustados y ejecutables.

Correo electrónico Bromas, juegos e imágenes incluidos en mensajes de correo electrónicoque contienen datos adjuntos.

Combinaciones de todosestos puntos de acceso

Los creadores del malware más sofisticado combinan todos los métodos deentrega anteriores e incluso incluyen un elemento de malware dentro deotro a fin de intentar acceder al equipo gestionado.

Cómo la Protección de acceso detiene amenazasProtección de acceso detiene amenazas potenciales al gestionar acciones mediante reglas deprotección predefinidas.

Threat Prevention sigue este proceso básico para proporcionar protección de acceso.

Cuando se produce una amenaza

Cuando un usuario o proceso actúa:

1 Protección de acceso analiza dicha acción conforme a las reglas definidas.

2 Si la acción incumple una regla, Protección de acceso administra la acción mediante la informaciónen las reglas configuradas.

3 Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor deadministración, si está administrado.

Ejemplo de amenaza de acceso

1 Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.

2 El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado.

3 MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.

4 Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.

5 Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo einforme.

6 Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra losdetalles del intento. Protección de acceso también genera y envía una alerta al servidor deadministración.



Configurar Prevención de exploitPara impedir que las aplicaciones ejecuten código arbitrario en su equipo, configure Prevención deexploits.







4 Haga clic en Prevención de exploits.

5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar loscambios o en Cancelar.


Bloqueo de vulnerabilidades de desbordamiento del búferPrevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Estafunción supervisa las llamadas de modo usuario de API y reconoce cuándo son el resultado de undesbordamiento del búfer.Cuando se produce una detección, la información se incluye en el registro de actividades y se muestraen el sistema cliente, y se envía al servidor de administración, si se ha configurado.

Threat Prevention utiliza el archivo de contenido de prevención de exploits para proteger aplicacionescomo Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger.

Vulnerabilidades de desbordamiento del búferLos atacantes utilizan las vulnerabilidades de desbordamiento del búfer para ejecutar un código quedesborda el búfer de tamaño fijo reservado para procesos de entrada. Este código permite al atacantetomar el control del equipo de destino o poner en peligro sus datos.Más del 25 % de los ataques de malware son ataques de desbordamiento del búfer que intentansobrescribir la memoria adyacente en el marco de pila.

Los dos tipos de vulnerabilidades de desbordamiento del búfer son:

• Ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas deusuario (más comunes).

• Ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).

El objeto de memoria en pila de tamaño fijo se encuentra vacía a la espera de que el usuario realiceuna entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenanen la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesala pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa.



A continuación se describe un ataque por desbordamiento del búfer basado en pila:

1 Desbordar la pila.

Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para losdatos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado paraellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.

2 Vulnerar el desbordamiento.

El programa espera por información del usuario. Si el atacante introduce un comando ejecutableque excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.

3 Ejecutar el malware.

El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En unprincipio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó undirección de retorno proporcionada que hace referencia al comando malicioso, el programa intentarecuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el comandomalicioso se ejecuta.

4 Vulnerar permisos.

El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta enpeligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisosheredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total delsistema operativo.

Configure Análisis en tiempo realEstos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación demensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso.


Consulte los parámetros de Common para ver más opciones de configuración.






4 Haga clic en Análisis en tiempo real.

5 Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.



6 Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintospara procesos de riesgo alto o bajo.

• Configuración estándar: configure los parámetros de análisis en la ficha Estándar.

• Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgobajo) y configure los parámetros de análisis para cada tipo de proceso.


Véase también Iniciar sesión como administrador en la página 24Configurar parámetros de análisis comunes en la página 60

Cómo funciona el análisis en tiempo realEl analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador defiltro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez.

El analizador en tiempo real envía notificaciones a la interfaz del servicio del sistema cuando seproducen detecciones.

Cuando se produce un intento de abrir o cerrar un archivo, el analizador intercepta la operación y:

1 El analizador determina si el elemento debe analizarse según estos criterios:

• La extensión del archivo coincide con la configuración.

• El archivo no se ha guardado en caché, excluido o analizado anteriormente.

Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.

2 Si el archivo cumple los criterios de análisis, el analizador lo compara con las firmas que seencuentran en ese momento en los archivos de AMCore content.

• Si el archivo está limpio, el resultado se guarda en caché y se garantizan las operaciones delectura o escritura.

• Si el archivo contiene una amenaza, se deniega la operación y el analizador lleva a cabo laacción configurada.

Por ejemplo, si la acción es limpiar el archivo, el analizador:

1 Se utiliza la información en el archivo de AMCore content cargado en ese momento paralimpiar el archivo.

2 Registra los resultados en el registro de actividades.

3 Notifica al usuario que ha detectado una amenaza en el archivo, y solicita la acción querealizar (limpiar o eliminar el archivo).

Windows 8: si el analizador detecta una amenaza en la ruta de una aplicación de la TiendaWindows instalada, el analizador la marca como alterada. Windows 8 agrega la marca dealterada al título para la aplicación. Cuando intenta ejecutarla, Windows notifica el problema yremite a la Tienda Windows para una reinstalación.



3 Si el archivo no cumple los requisitos del análisis, el analizador guarda en caché el archivo ypermite la operación.

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de EndpointSecurity o el sistema.

Threat Prevention vacía la caché de análisis global y vuelve a analizar todos los archivos cuando:

• La configuración de Análisis en tiempo real cambia.

• Se agrega un archivo Extra.DAT.

Analizar al escribir en disco, leer del disco o dejar que decida McAfee

Puede especificar cuándo debe analizar archivos el analizador en tiempo real: al escribir en disco, alleer del disco o cuando lo decida McAfee.



Cuando se escriben archivos en el disco, el analizador en tiempo real analiza estos archivos:

• Archivos entrantes escritos en la unidad de disco duro local.

• Archivos (nuevos, modificados, o copiados o trasladados de una unidad a otra) creados en launidad de disco duro local o en una unidad de red asignada (si se ha habilitado).

Cuando se leen archivos del disco, el analizador analiza estos archivos:

• Archivos salientes que se leen desde la unidad de disco duro local o desde unidades de redasignadas (si se han habilitado).

• Los archivos que intenten ejecutar un proceso en la unidad de disco duro local.

• Archivos abiertos en el disco duro local.

Si opta por que McAfee decida si analizar un archivo, el analizador en tiempo real utiliza la lógica deconfianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta elrendimiento al evitar análisis innecesarios. Por ejemplo, McAfee analiza y considera fiables algunosprogramas. Si McAfee determina que dichos programas no se han alterado, puede que el analizadorrealice un análisis reducido u optimizado.

Análisis de scripts

El analizador de scripts de Threat Prevention funciona como un componente de proxy del WindowsScripting Host nativo, e intercepta y analiza los scripts antes de su ejecución.

Por ejemplo:

• Si el scripts está limpio, su analizador la pasa al Windows Script Host nativo.

• Si el script contiene una posible amenaza, no se ejecuta.

Si se desactiva ScriptScan al iniciar Internet Explorer y a continuación se activa, no detectará scriptsmaliciosos en esa instancia de Internet Explorer.

Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scriptsmaliciosos.

Anule la selección de esta opción para que el equipo cliente utilice tanto las exclusionesespecificadas aquí como las especificadas localmente en el cliente.

Puede especificar sitios web que excluir de la inspección si utilizan scripts.

En los sistemas Windows Server 2008, las exclusiones de URL de ScriptScan no funcionan con WindowsInternet Explorer a menos que se habiliten las extensiones de explorador de terceros y se reinicie elsistema. Consulte el artículo de la base de datos KnowledgeBase KB69526.



https://kc.mcafee.com/corporate/index?page=content&id=KB69526

Cómo determinar la configuración de análisis para procesosSiga este proceso para determinar si necesita configurar opciones distintas basadas en un tipo deproceso.



Configure Análisis bajo demanda Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisiscompleto, Análisis rápido y Análisis con el botón derecho.


Consulte los parámetros de Common para ver más opciones de configuración.






4 Haga clic en Análisis bajo demanda.

5 Haga clic en una ficha para configurar parámetros para el análisis especificado.


• Análisis rápido

• Análisis con el botón derecho del ratón


Véase también Iniciar sesión como administrador en la página 24Configurar parámetros de análisis comunes en la página 60Planifique las tareas Análisis completo y Análisis rápido en la página 60

Cómo funciona el análisis bajo demandaEl analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otroselementos en busca de malware que pueda haber infectado el equipo.

Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizarsistemas manualmente, a una hora programada o cuando el sistema arranca.

1 El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debeanalizar:

• La extensión del archivo coincide con la configuración.

• El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizadorutiliza la caché de análisis).

Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.



2 Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas demalware conocido que se encuentran en ese momento en los archivos de AMCore content.

• Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba elsiguiente elemento.

• Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.

Por ejemplo, si la acción es limpiar el archivo, el analizador:

1 Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiarel archivo.

2 Registra los resultados en el registro de actividades.

3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre delelemento y la acción que se ha realizado.

Windows 8: si el analizador detecta una amenaza en la ruta de una aplicación de la TiendaWindows instalada, el analizador la marca como alterada. Windows 8 agrega la marca dealterada al título para la aplicación. Cuando intenta ejecutarla, Windows notifica el problema yremite a la Tienda Windows para una reinstalación.

3 Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, elanalizador continúa hasta que se han analizado todos los datos.




Threat Prevention vacía la caché de análisis global y vuelve a analizar todos los archivos cuando secarga un Extra.DAT.

Reducción del impacto de los análisis en los usuariosPara minimizar el impacto de los análisis bajo demanda en el sistema, especifique opciones derendimiento al configurar estos análisis.

Analizar solo cuando el sistema está inactivo

La forma más fácil de cerciorarse de que el análisis no afecte a los usuarios es realizando el análisisbajo demanda solo cuando el equipo esté inactivo.

Cuando se selecciona esta opción, Threat Prevention pausa el análisis cuando detecta actividad deldisco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Threat Prevention reanuda elanálisis si el usuario no accede al sistema durante tres minutos.



Como opción, puede:

• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad delusuario.

• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.

McAfee recomienda desactivar esta opción solo en los sistemas servidor y en los sistemas en que losusuarios acceden mediante una conexión de escritorio remoto (RDP). Threat Prevention depende deMcTray para determinar si el sistema está inactivo. En sistemas a los que solo se accede medianteescritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta.

Para evitar este problema, los usuarios pueden iniciar McTray (de manera predeterminadaen C:\Program Files\McAfee\Agent\mctray.exe) manualmente cuando inicie sesión en elescritorio remoto.

Seleccionar Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la configuración deAnálisis bajo demanda.

Pausar análisis automáticamente

Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de labatería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completauna aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisisse reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se estáejecutando en modo de pantalla completa.

Seleccione estas opciones en la sección Rendimiento de la configuración de Análisis bajo demanda:

• No analizar si el sistema funciona mediante la batería

• No analizar si el sistema está en modo de presentación (disponible cuando se ha seleccionado Analizar en cualquiermomento)

Permitir que los usuarios aplacen los análisis

Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisisplanificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cadausuario puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, elusuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horasmáximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción acero, el usuario puede seguir aplazando el análisis para siempre.

Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la configuración de Análisisbajo demanda.

Limitar la actividad de análisis con análisis incrementales

Utilice análisis incrementales, o reanudable, para limitar cuándo se produce la actividad del análisisbajo demanda, y analizar igualmente todo el sistema en varias sesiones. Para usar análisisincrementales, agregue un límite al análisis planificado. El análisis se detiene cuando se alcanza ellímite de tiempo. La próxima vez que se inicia esta tarea, continúa el análisis desde el lugar de laestructura del archivo y carpeta en que se detuvo el análisis previo.

Seleccione Detener la tarea si se ejecuta durante más de en la categoría Tiempo de espera de la tarea Análisis bajodemanda. Consulte Planifique las tareas Análisis completo y Análisis rápido en la página 60.



Configurar utilización del sistema

Utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante elanálisis. Para los sistemas con actividad del usuario final, establezca la utilización del sistema en Bajo.

Seleccione Utilización del sistema en la sección Rendimiento de la configuración de Análisis bajo demanda.

Véase también Configure Análisis bajo demanda en la página 55Planifique las tareas Análisis completo y Análisis rápido en la página 60

Funcionamiento de la utilización del sistemaEl analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisisy la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite alsistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibedurante el proceso de análisis.

Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto deaplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuariofinal. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finalizamás rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y pocaactividad del usuario final.

Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.

Tabla 3-2 Configuración de procesos predeterminada

Configuración deprocesos de ThreatPrevention

Esta opción... parámetroWindows SetPriority

Bajo Proporciona un rendimiento mejorado del restode las aplicaciones en ejecución. Seleccione estaopción para sistemas con actividad del usuariofinal.

Bajo

Por debajo de lo normal Establece la utilización del sistema para elanálisis en el valor predeterminado de McAfeeePO.

Por debajo de lonormal

Normal (predeterminado) Permite que el análisis finalice más rápido.Seleccione esta opción para sistemas que tienengrandes volúmenes y poca actividad del usuariofinal.

Normal

Funcionamiento del análisis de Almacenamiento remotoPuede configurar el analizador bajo demanda para que analice el contenido de archivos gestionadospor Almacenamiento remoto.

Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuandoresulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivospertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta.Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recuperaautomáticamente los datos del dispositivo de almacenamiento.

Seleccione la opción Analizar archivos que se han migrado al almacenamiento para configurar el analizador bajodemanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando elanalizador se encuentra un archivo con contenido migrado, restaura el archivo al sistema local antesdel análisis.

Para obtener más información, consulte Qué es el Almacenamiento remoto.



http://technet.microsoft.com/en-us/library/cc759742(v=ws.10).aspx

Planifique las tareas Análisis completo y Análisis rápido Puede planificar las tareas Análisis completo y Análisis rápido desde el Endpoint Security Client en el móduloCommon.


Utilice estos parámetros para configurar cuándo se ejecutarán las tareas Análisis completo y Análisisrápido. Consulte Configure Análisis bajo demanda en la página 55 para configurar el comportamientopredeterminado de análisis iniciados desde el Endpoint Security Client.






4 Haga clic en Tareas.

5 Haga doble clic en Análisis completo o en Análisis rápido, edite la planificación, a continuación haga clicen Aceptar para guardar los cambios o haga clic en Cancelar.


Véase también Iniciar sesión como administrador en la página 24Configure Análisis bajo demanda en la página 55

Configurar parámetros de análisis comunesPara especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, realice laconfiguración de Opciones de Threat Prevention.


Esta configuración se aplicará a todos los análisis:

• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antesde eliminarlos automáticamente

• Nombres de detección que se excluirán de los análisis

• Programas potencialmente no deseados que detectar, como spyware y adware










Véase también Iniciar sesión como administrador en la página 24Configure Análisis en tiempo real en la página 50Configure Análisis bajo demanda en la página 55



4 Usar Firewall

Firewall actúa como filtro entre su equipo y la red o Internet.

Contenido Cómo funciona el Firewall Administrar Firewall

Cómo funciona el FirewallEl Firewall analiza todo el tráfico entrante y saliente.

A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es unconjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla,el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall.

La información sobre detecciones de amenazas se guarda para crear informes que notifican aladministrador sobre cualquier problema de seguridad relativo al equipo.

Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan lasreglas de firewall para una administración más fácil.

Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador,puede configurar las reglas y grupos mediante Endpoint Security Client. Para los sistemas gestionados,las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegue una directivaactualizada.

Véase también Configurar Firewall opciones en la página 64Cómo funcionan las reglas de firewall en la página 66Cómo funcionan los grupos de reglas de firewall en la página 68

Administrar FirewallComo administrador, puede configurar las opciones de Firewall y crear reglas y grupos en EndpointSecurity Client.


Véase también Modificar opciones de Firewall en la página 64Creación y administración de directivas y grupos de Firewall en la página 72

4


Modificar opciones de FirewallComo administrador, puede modificar las opciones de Firewall desde el Endpoint Security Client.

Procedimientos• Configurar Firewall opciones en la página 64

Configurar parámetros en Opciones active o desactive la protección por firewall, active elmodo de adaptación y configure otras opciones de Firewall.

• Bloquear el tráfico DNS en la página 64Para ajustar la protección por firewall, puede crear una lista de nombres de dominiocompletos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que seresuelven en los nombres de dominio.

Véase también Preguntas frecuentes: McAfee GTI y Firewall en la página 65

Configurar Firewall opciones Configurar parámetros en Opciones active o desactive la protección por firewall, active el modo deadaptación y configure otras opciones de Firewall.




2 Haga clic en Firewall en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en lapágina Configuración.

3 Seleccione Activar Firewall para activarlo y modificar sus opciones.




Bloquear el tráfico DNSPara ajustar la protección por firewall, puede crear una lista de nombres de dominio completos quedesee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombresde dominio.


4 Usar FirewallAdministrar Firewall






3 En Bloqueo de DNS, haga clic en Agregar.

4 Introduzca los nombres completos de los dominios que desee bloquear.

Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.

Las entradas duplicadas se eliminan automáticamente.


Preguntas frecuentes: McAfee GTI y FirewallA continuación se incluyen las respuestas a las preguntas más frecuentes.

La configuración de las Opciones de Firewall le permiten bloquear el tráfico entrante y saliente de unaconexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentesexplican qué hace McAfee GTI y cómo afecta al firewall.

¿Qué es McAfee GTI?

McAfee GTI es un sistema de inteligencia global de reputación en Internet que determina qué esun buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa el análisis entiempo real de comportamientos mundiales y de patrones de envío de correo electrónico, laactividad web, el malware y el comportamiento de sistema a sistema. Usando los datosobtenidos del análisis, McAfee GTI calcula de forma dinámica las calificaciones de reputación querepresentan el nivel de riesgo para su red cuando visita una página web. El resultado es unabase de datos de calificaciones de reputación para direcciones IP, dominios, mensajesespecíficos, URL e imágenes.

¿Cómo funciona?

Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitirservicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexióna McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y elumbral de bloqueo configurado.

¿Qué quiere decir "reputación"?

McAfee GTI calcula un valor de reputación para cada dirección IP en Internet. McAfee GTI sebasa en el comportamiento de envío y de hosting, y los varios datos de entorno recogidos de losclientes y socios acerca del panorama de amenazas en Internet. La reputación se expresa encuatro clases, basadas en nuestro análisis:• No bloquear (riesgo mínimo): es una fuente o destino legítimo de contenido/tráfico.

• Sin verificar: este sitio web parece ser una fuente o destino legítimo de contenido/tráfico. Sinembargo, también muestra algunas propiedades que sugieren la necesidad de una inspecciónadicional.

Usar FirewallAdministrar Firewall 4


• Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos quecreemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino oprocedente del mismo requiere un escrutinio especial.

• Riesgo alto: se sabe o sospecha que esta fuente/destino envía/aloja contenido/tráficopotencialmente malicioso. Creemos que supone un serio riesgo.

¿McAfee GTI introduce latencia? ¿Cuánta?

Cuando McAfee GTI recibe una solicitud de búsqueda de reputación, algo de latencia esinevitable. McAfee ha hecho todo lo posible para minimizar dicha latencia. McAfee GTI:• Comprueba la reputación solo cuando se seleccionan las opciones.

• Usa una arquitectura de almacenamiento en caché inteligente. En un uso normal de la red, lacaché resuelve la mayoría de las conexiones deseadas sin consultas a la reputación en línea.

Si el firewall no puede llegar a los servidores de McAfee GTI, ¿se detiene el tráfico?

Si el firewall no puede llegar a cualquiera de los servidores de McAfee GTI, asignaautomáticamente a todas las conexiones aplicables una reputación predeterminada permitida. Acontinuación, el firewall sigue con un análisis de las reglas posteriores.

Administración de directivas y grupos de FirewallComo administrador, puede configurar las reglas y grupos de Firewall desde Endpoint Security Client.

Procedimientos• Creación y administración de directivas y grupos de Firewall en la página 72

Para los sistemas gestionados, las reglas o grupos que configure desde Endpoint SecurityClient podrían sobrescribirse cuando el administrador despliegue una directiva actualizada.

• Creación de grupos de aislamiento de conexión en la página 74Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjuntode reglas que se apliquen solo cuando se conecta a una red con unos parámetrosdeterminados.

Véase también Cómo funcionan las reglas de firewall en la página 66Cómo funcionan los grupos de reglas de firewall en la página 68

Cómo funcionan las reglas de firewallLas reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece unconjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear eltráfico.

Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acciónasociada.

Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (porejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones.Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para asífacilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red,transporte, aplicación, programa y localización.



Firewall usa la prioridad para aplicar reglas:

1 Firewall aplica la regla situada en primera posición en la lista de reglas de firewall.Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intentaaplicar ninguna otra regla de la lista.

2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguienteregla de la lista hasta que encuentre una regla que coincida con el tráfico.

3 Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente.

Figura 4-1 Prioridad de reglas

Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, eltráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewallaplique solo la primera regla coincidente de la lista.

RecomendacionesColoque las reglas más específicas al principio de la lista y las reglas más generales al final. Este ordenasegura que Firewall filtra el tráfico adecuadamente.

Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, ladirección IP 10.10.10.1), cree dos reglas:

• Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla esespecífica.

• Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.



Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewallque la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde ladirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico através del firewall.

Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraríauna coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla debloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTPprovenientes de una dirección específica.

Cómo funcionan los grupos de reglas de firewallUse los grupos de reglas de Firewall para organizar las reglas de firewall de forma que puedanadministrarse con mayor facilidad. Los grupos de reglas de Firewall no afectan a la forma en queFirewall trata las reglas incluidas en ellos, es decir, Firewall sigue procesándolos de arriba a abajo.

Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas quecontiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.

Hacer que los grupos detecten la ubicación

Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento deconexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detectenel adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador paraequipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre,los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientespara cada adaptador de red:

Ubicación:

• Requerir que McAfee ePO sea accesible • Dirección IP del servidor WINS principal

• Sufijo DNS específico de conexión • Dirección IP del servidor WINS secundario

• Dirección IP de la gateway predeterminada • Posibilidad de alcance del dominio

• Dirección IP del servidor DHCP • Clave de Registro

• Servidor DNS consultado para resolver lasURL

Red:

• Dirección IP local

• Tipo de soporte

Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normaly procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en elprimer grupo, prosigue con el procesamiento de la regla.

Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y unaconexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeñode reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado,el firewall las omite.



Si esta opción estáseleccionada...

Entonces...

Activar detección de ubicación Se requiere un nombre de localización.

Requerir el acceso a McAfeeePO

El servidor McAfee ePO es accesible y se ha resuelto el nombre dedominio completo del servidor.

Red local La dirección IP del adaptador debe coincidir con una de las entradasde la lista.

Sufijo DNS específico deconexión

El sufijo DNS del adaptador debe coincidir con una de las entradasde la lista.

Gateway predeterminada La dirección IP de gateway predeterminada del adaptador debecoincidir al menos con una de las entradas de la lista.

Servidor DHCP La dirección IP del servidor DHCP del adaptador debe coincidir almenos con una de las entradas de la lista.

Servidor DNS La dirección IP del servidor DNS del adaptador debe coincidir concualquiera de las entradas de la lista.

Servidor WINS principal La dirección IP del servidor WINS principal del adaptador debecoincidir al menos con una de las entradas de la lista.

Servidor WINS secundario La dirección IP del servidor WINS secundario del adaptador debecoincidir al menos con una de las entradas de la lista.

Posibilidad de alcance deldominio (HTTPS)

El dominio especificado debe ser accesible mediante HTTPS.

Grupos de reglas y aislamiento de conexión de FirewallUse el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una reddesignada.

Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC)activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con:

• Permitir reglas anteriores al grupo en la lista de reglas de firewall

• Criterios de grupo



El resto del tráfico se bloquea.

Cualquier grupo con el aislamiento de conexión activado no puede tener asociadas opciones detransporte ni ejecutables.

Figura 4-2 Aislamiento de conexión de red



Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: unentorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en esteorden:

1 Reglas para una conexión básica

2 Reglas para una conexión VPN

3 Grupo con reglas de conexión de LAN corporativa

4 Grupo con reglas de conexión VPN

Ejemplo: aislamiento de conexión en la red corporativa

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LANcorporativa. Este grupo contiene esta configuración:

• Tipo de soporte = con cable

• Sufijo DNS específico de conexión: mycompany.com

• Gateway predeterminada

• Aislamiento de conexión = Activado

El el equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa conuna conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que seconecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas deacceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable estáactiva y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través deLAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que nopasa por la LAN queda bloqueado.

Ejemplo: aislamiento de conexión en un hotel

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Estegrupo contiene esta configuración:

• Tipo de soporte = Virtual

• Sufijo DNS específico de conexión: vpn.mycompany.com

• Dirección IP: una dirección en un intervalo específico para el concentrador VPN

• Aislamiento de conexión = Activado

Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel parapoder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN.Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criteriosdel grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráficobásico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder alequipo a través de la red, ya sea por cable o de forma inalámbrica.



Creación y administración de directivas y grupos de FirewallPara los sistemas gestionados, las reglas o grupos que configure desde Endpoint Security Clientpodrían sobrescribirse cuando el administrador despliegue una directiva actualizada.


Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar lasreglas por columna.





3 Use estas tareas para administrar las reglas de firewall y grupos, luego haga clic en Aplicar paraguardar los cambios a las Reglas de firewall.

Para hacer esto... Siga estos pasos

Vea las reglas en un grupo delfirewall.

Haga clic en .

Contraiga un grupo de firewall. Haga clic en .

Modificar una regla existente.

Puede modificar las reglassolo en el grupo Agregado porel usuario.

1 Expandir el grupo Agregado por usuario.

2 Haga doble clic en la regla.

3 Cambie la configuración de reglas.


Ver una regla existente encualquier grupo.

1 Expanda el grupo.

2 Seleccione la regla para ver sus detalles en el panel inferior.

Crear una regla. 1 Haga clic en Agregar regla.

2 Especifique la configuración de reglas.


La regla aparece al final del grupo Agregado por el usuario.

Crear copias de reglas. 1 Seleccione la regla o reglas y haga clic en Duplicar.Las reglas copiadas aparecen con el mismo nombre al finaldel grupo Agregado por el usuario.

2 Modificar las reglas para cambiar el nombre y laconfiguración.



Para hacer esto... Siga estos pasos

Eliminar reglas.

Puede eliminar reglas solodesde los grupos Agregado porel usuario y Adaptación.

1 Expanda el grupo.

2 Seleccione la regla o reglas y haga clic en Eliminar.

Crear un grupo. 1 Haga clic en Agregar grupo.

2 Especifique la configuración del grupo.


El grupo aparece en el grupo Agregado por el usuario.

Mover reglas y grupos dentro yentre grupos.

Puede modificar las reglas ygrupos solo en el grupoAgregado por el usuario.

Para mover elementos:1 Seleccione los elementos que mover.

El control de ajuste aparece a la izquierda de loselementos que puedan moverse.

2 Arrastre y coloque los elementos en su nueva ubicación.Una línea azul aparece entre elementos allí donde puedacolocar los elementos arrastrados.


Véase también Caracteres comodín en reglas de firewall en la página 73Permitir conexiones FTP en la página 74Iniciar sesión como administrador en la página 24Creación de grupos de aislamiento de conexión en la página 74

Caracteres comodín en reglas de firewallPuede usar caracteres comodín para representar caracteres para algunos valores en las reglas defirewall.

Caracteres comodín en valores de ruta y dirección

Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientescaracteres comodín.

Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen losvalores de los comodines.

? Signo de interrogación Un solo carácter.

* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utiliceeste carácter para hacer coincidir los contenidos del nivel raíz de unacarpeta sin subcarpetas.

** Doble asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).

| canalización Escape de caracteres comodín.

Para el asterisco doble (**), el escape es |*|*.



Caracteres comodín en todos los demás valoresPara los valores que normalmente no contienen información de ruta con barras, use los siguientescaracteres comodín.

? Signo de interrogación Un solo carácter.

* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).

| canalización Escape de caracteres comodín.

Creación de grupos de aislamiento de conexiónCree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglasque se apliquen solo cuando se conecta a una red con unos parámetros determinados.






3 En REGLAS, haga clic en Agregar grupo.

4 En Descripción, especifique las opciones para el grupo.

5 En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación,seleccione los criterios de ubicación para la búsqueda de coincidencias.

6 Bajo Opciones de red, para Tipos de soporte, seleccione el tipo de conexión (Con cable, Inalámbrica, o Virtual)para aplicar a las reglas de este grupo.

La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.


8 Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglasde firewall.

Véase también Grupos de reglas y aislamiento de conexión de Firewall en la página 69Cómo funcionan los grupos de reglas de firewall en la página 68

Permitir conexiones FTPPara permitir conexiones FTP en modo activo, cree reglas de firewall para permitir conexionesentrantes y salientes en puertos específicos.

El protocolo FTP usa dos conexiones: control para los comandos y datos para la información.

Dado que Firewall no inspecciona paquetes de protocolo FTP, las conexiones FTP no se permiten deforma predeterminada. Para permitir conexiones FTP, cree reglas de firewall para permitir conexionesen puertos específicos.



FTP en modo activo

Cuando un cliente se conecta a un servidor FTP en modo activo:

• El canal de control se establece en el puerto TCP 21.

• El canal de datos se establece en el puerto TCP 20.

Para permitir que un cliente FTP se conecte y cargue/descargue datos en un servidor FTPen modo activo, cree las siguientes reglas de firewall en el cliente:

• Permitir las conexiones salientes en el puerto TCP 21 del servidor.

• Permitir las conexiones entrantes en el puerto TCP 20 del servidor.

Para que un servidor FTP permita a un cliente FTP conectarse y cargar/descargar datos,cree las siguientes reglas de firewall en el servidor:



FTP en modo pasivo

El FTP en modo pasivo requiere que abra una serie de puertos para el canal de datos en el servidor FTP.

Cuando un cliente se conecta a un servidor FTP en modo pasivo:

• El canal de control se establece en el puerto TCP 21.

• El canal de datos se establece en el intervalo de puertos TCP entre 1025 y 5000.

Para permitir que un cliente FTP se conecte y cargue/descargue datos en un servidor FTPen modo pasivo, cree las siguientes reglas de firewall en el cliente:


• Permitir las conexiones entrantes y salientes en el intervalo de puertos TCP entre 1025 y 5000 delservidor.

Para que un servidor FTP permita a un cliente FTP conectarse y cargar/descargar datos,cree las siguientes reglas de firewall en el servidor:


• Permitir las conexiones entrantes y salientes en el intervalo de puertos TCP entre 1025 y 5000 delservidor.

Véase también Creación y administración de directivas y grupos de Firewall en la página 72



5 Usar Web Control

Acceda a funciones de protección de Web Control desde el navegador mientras navega o busca.

Contenido Acerca deWeb Control funciones Acceder a las funciones de Web Control Administrar Web Control

Acerca deWeb Control funciones Dado que Web Control se ejecuta en cada sistema gestionado, le notificará a usted acerca de lasamenazas mientras realiza búsquedas o navega por sitios web.

Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadascon colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio.

El servicio de protección del navegador utiliza los resultados de las pruebas para notificarle a usted lasamenazas basadas en la Web con las que que podría encontrarse.

En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El colordel icono indica la calificación de seguridad del sitio web. Puede acceder a información adicional através de los iconos.

En la ventana del navegador: aparece un botón de menú en la esquina superior derecha. El colordel botón indica la calificación de seguridad del sitio. Puede acceder a información adicional haciendoclic en el botón.

Este botón también le notifica cuando se produce un problema de comunicación y proporciona accesorápido a pruebas que ayudan a identificar problemas comunes.

En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación deseguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otrosdatos.

En los sistemas gestionados, los administradores crean directivas para:

• Activar y desactivar Web Control en su sistema y evitar o permitir que los usuarios desactiven elcomplemento para software y navegador.

• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo decontenido.

Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitiosweb amarillos.

• Bloqueo o autorización de sitios en función de las direcciones URL y dominios.

5


• Evitar que desinstale o cambie archivos, claves de Registro, valores de Registro, servicios yprocesos de Web Control.

• Personalizar la notificación que aparece cuando intenta acceder a un sitio web bloqueado.

• Supervisar y regular la actividad del navegador en los equipos de red y crear informes detalladosacerca de sitios web.

En los sistemas autogestionados, puede establecer la configuración para:

• Activar y desactivar Web Control en el sistema y evitar o permitir que se desactive el complementopara software y navegador.

• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo decontenido.

Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitiosweb amarillos.

El software es compatible con los navegadores Microsoft Internet Explorer, Mozilla Firefox y GoogleChrome.

Firefox no le permite verificar las descargas de archivos ni ocultar el botón de Web Control con elcomando Ver | Barras de herramientas .

Chrome no es compatible con la implementación de descarga de archivos ni la opción Mostrarglobo.

Véase también El botón Web Control identifica las amenazas durante la navegación en la página 78Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 79Los informes de sitio web proporcionan detalles en la página 79Modo de compilación de las clasificaciones de seguridad en la página 80

El botón Web Control identifica las amenazas durante lanavegaciónCuando usted navega a un sitio web, un botón codificado por color apareceen la esquina superior derecha del navegador. El color del botón corresponde a la calificación deseguridad del sitio web.

La ventana del navegador Chrome muestra un pequeño botón en la barra de dirección.

Verde McAfee SECURE™ prueba y certifica la seguridad de este sitioweb a diario.

Verde Este sitio web es seguro.

Amarillo Este sitio web podría presentar algunos problemas.

Rojo Este sitio web podría presentar serios problemas.

Gris No hay calificación disponible para el sitio web.

Naranja Se ha producido un error de comunicación con el servidor deMcAfee GTI que contiene información de calificación.

Azul No hay información disponible para calificar el sitio web. Elmotivo podría ser que se trata de un sitio web interno o unintervalo de direcciones IP privadas.

5 Usar Web ControlAcerca deWeb Control funciones


Negro El sitio web es un sitio de phishing.

El phishing es un intento de adquirir información confidencial(por ejemplo, nombres de usuario, contraseñas o datos detarjetas de crédito). Los sitios de phishing se hacen pasar poruna entidad fiable en comunicaciones electrónicas.

Blanco Este sitio web está autorizado por una .

Plata Un ajuste de desactivó Web Control.

Véase también Acceder a las funciones mientras navega por Internet en la página 81Solucionar problemas de comunicación en la página 83

Los iconos de seguridad identifican las amenazas durante labúsquedaCuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!,Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página deresultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web.

Las pruebas no detectaron problemas importantes.

Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio haintentado cambiar los valores predeterminados de los analizadores para el navegador, hamostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correoelectrónico no considerados spam.

Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes deacceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correoelectrónico spam o adware incluido en las descargas.

Este sitio está bloqueado por una .

Este sitio web no tiene clasificación.

Véase también Ver informe de sitio web durante la búsqueda en la página 82

Los informes de sitio web proporcionan detallesUsted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazasconcretas.

Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienenla información indicada a continuación.

Usar Web ControlAcerca deWeb Control funciones 5


Esteelemento...

Indica...

Descripcióngeneral

La calificación global del sitio web, determinada por estas pruebas:• Evaluación de las prácticas de correo electrónico y descarga del sitio web usando

nuestras técnicas patentadas de recopilación y análisis de datos.

• Examen del propio sitio web en busca de prácticas molestas como, por ejemplo,un exceso de ventanas emergentes o solicitudes para cambiar la página de iniciodel usuario.

• Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitiossospechosos.

• Combinación de la revisión de sitios sospechosos de McAfee con los comentariosde los servicios Threat Intelligence.

Afiliacionesonline

Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a losusuarios para que vayan a otros sitios web marcados con una calificación roja deMcAfee.Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. Lafinalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite elsitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo,cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Web Controlconsidera el sitio web rojo por asociación.

Pruebas despam a travésde la Web

La calificación global de las prácticas relacionadas con el correo electrónico de unsitio web en función de los resultados de las pruebas.McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibetras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam.Si alguna de estas medidas está por encima de lo que consideramos aceptable,McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellasparece especialmente notoria, McAfee le otorga una calificación roja.

Pruebas dedescarga

La calificación global del impacto que tiene el software descargable de un sitio weben el equipo de pruebas, en función de sus resultados.McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadascon virus o que agregan software no relacionado que podría considerarse adware ospyware. La calificación también considera los servidores de red con los quecontacta un programa descargado durante su funcionamiento, además de cualquiermodificación realizada a la configuración del navegador o los archivos de Registrode un equipo.

Véase también Ver informe de sitio web durante la búsqueda en la página 82Ver informes del sitio web en la página 82

Modo de compilación de las clasificaciones de seguridad Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criteriospara cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes.Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante lassiguientes acciones:

• Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidosen la descarga.

• Introducción de información de contacto en formularios de registro y comprobación del spamresultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio osus asociados.

• Comprobación del exceso de ventanas emergentes.

5 Usar Web ControlAcerca deWeb Control funciones


• Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.

• Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web.

El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además,lo siguiente:

• Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de lasmedidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios.

• Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes dephishing o experiencias negativas de compra.

• Más análisis de los expertos de McAfee.

El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.

Acceder a las funciones de Web ControlAcceder a las funciones de Web Control desde el navegador.

Procedimientos• Acceder a las funciones mientras navega por Internet en la página 81

Acceda a las funciones Web Control desde el botón en el navegador. El botón funciona deforma distinta según el navegador empleado.

• Ver informe de sitio web durante la búsqueda en la página 82Use el icono de seguridad en la página de resultados de búsqueda para ver másinformación acerca del sitio web.

• Ver informes del sitio web en la página 82Para obtener más información acerca de la calificación de seguridad de un sitio web,consulte los informes del sitio web.

• Solucionar problemas de comunicación en la página 83En el equipo cliente, ejecute una prueba desde el navegador para determinar el motivo delos problemas de comunicación con el servidor de calificaciones de seguridad de McAfeeGTI.

Acceder a las funciones mientras navega por InternetAcceda a las funciones Web Control desde el botón en el navegador. El botón funciona de formadistinta según el navegador empleado.

Internet Explorer y Firefox

• Mantenga el cursor sobre este botón para mostrar un globo con un resumen del informe deseguridad para el sitio web.

• Haga clic en el botón para mostrar el informe de seguridad detallado.

• Haga clic en el botón junto al icono para mostrar un menú de funciones.

Chrome: haga clic en el botón para mostrar un menú de funciones.

En Chrome, no se pueden mostrar los globos de seguridad mediante el botón de menú. Los globos soloestán disponibles en las páginas de resultados de la búsqueda.

Usar Web ControlAcceder a las funciones de Web Control 5


Procedimiento

1 Desde el menú, seleccione opciones.

Opción Para hacer esto... Notas

Ver informe delsitio

Vea el informe de seguridad para el sitio webactual.

También puede hacer clic en Leer informe desitio web en el globo del sitio web.

Disponible solo cuando WebControl está activado.

Mostrar globo Muestra el globo para el sitio web actual. Disponible solo cuando WebControl está activado, y solo paranavegadores que no seanChrome.

2 Si aparece el botón de error de comunicación, muestre el globo para elsitio web y haga clic en Solución de problemas.

La página de estado de conexión indica la posible causa del error de comunicación.

Véase también El botón Web Control identifica las amenazas durante la navegación en la página 78

Ver informe de sitio web durante la búsquedaUse el icono de seguridad en la página de resultados de búsqueda para ver más información acercadel sitio web.

Procedimiento

1 Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informede seguridad para el sitio web.

2 Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otraventana del navegador.

Véase también Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 79Los informes de sitio web proporcionan detalles en la página 79

Ver informes del sitio webPara obtener más información acerca de la calificación de seguridad de un sitio web, consulte losinformes del sitio web.

Procedimiento

• Ver el informe para un sitio web.

Desde esta ubicación... Haga lo siguiente...

Sitio web • Seleccione Ver informe del sitio desde el menú Web Control.

• Haga clic en el globo.

• Haga clic en Leer informe de sitio web en el globo.

Página de resultados debúsqueda

Haga clic en el icono de seguridad que sigue al vínculo de la páginaWeb.

5 Usar Web ControlAcceder a las funciones de Web Control


Véase también Los informes de sitio web proporcionan detalles en la página 79

Solucionar problemas de comunicaciónEn el equipo cliente, ejecute una prueba desde el navegador para determinar el motivo de losproblemas de comunicación con el servidor de calificaciones de seguridad de McAfee GTI.

En la esquina superior derecha del navegador hay un botón anaranjado queindica problemas de comunicación con el servidor McAfee GTI.

La solución de problemas de comunicación no está disponible para Chrome. Para realizar estas pruebas,use Internet Explorer o Firefox.

Procedimiento1 En los navegadores Internet Explorer o Firefox, mantenga el cursor sobre el botón naranja para ver

el globo de seguridad.

2 Haga clic en Solución de problemas para ejecutar pruebas y ver los resultados.

Una página de estado de la conexión muestra el motivo del error de comunicación y posiblessoluciones una vez finalizadas las pruebas.

Prueba Comprueba... Una prueba fallida significa...

Acceso a Internet ¿El navegador tieneacceso a Internet?

El equipo no puede acceder a Internet. Estefallo podría indicar que la conexión de red nofunciona o que la configuración de proxy no escorrecta. Póngase en contacto con eladministrador.

Disponibilidad delservidor McAfee GTI

¿Está desconectado elservidor de McAfee GTI?

Los servidores de McAfee GTI no funcionan.

3 Compruebe los resultados cuando se muestren y siga las instrucciones para resolver el problema.

4 Vuelva a comprobar la conexión haciendo clic en Repetir pruebas.

El botón Repetir pruebas le permite ver si el error persiste o si se ha corregido mientras la página estáabierta.

Véase también El botón Web Control identifica las amenazas durante la navegación en la página 78

Administrar Web ControlComo administrador, puede especificar la configuración de Web Control para activar y personalizar laprotección, bloquear basándose en las categorías web y configurar el registro.


Véase también Configurar opciones de Web Control en la página 84Especifique acciones de calificación y bloquee el acceso a sitios web según la categoría web enla página 87

Usar Web ControlAdministrar Web Control 5


Configurar opciones de Web ControlPuede activar y configurar las opciones de Web Control desde Endpoint Security Client.




2 Haga clic en Web Control en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Web Control en lapágina Configuración.



5 Seleccione Activar Web Control para activar Web Control y modificar sus opciones.

Para... Haga esto... Notas

Oculte la barra deherramientas de WebControl en el navegadorsin desactivar laprotección.

Seleccione Ocultar la barra deherramientas en el navegador del cliente. Use esta configuración para

resolver problemas decompatibilidad de terceros.

Rastrear eventos denavegador para usar enlos informes.

Ajustar la configuración en lasección Registro de eventos.

Configure los eventos de Web Controlenviados desde los sistemas clienteal servidor de administración parausar en consultas e informes.

Bloquear o avisar dedirecciones URLdesconocidas.

En Implementación de acciones,seleccione la acción (Bloquear,Permitir o Advertir) para los sitiosweb que aún no hayan sidoverificados por McAfee GTI.

Analizar archivos antesde su descarga.

Seleccione Permitir análisis de archivospara las descargas de archivos, luegoseleccione el nivel de riesgo deMcAfee GTI que bloquear.

Bloquear vínculos asitios peligrosos en losresultados de labúsqueda.

En Búsqueda segura, seleccioneActivar búsqueda segura, seleccioneel motor de búsqueda, y luegoespecifique si se deben bloquearlos vínculos a los sitios webpeligrosos.

Búsqueda segura filtraautomáticamente los sitios maliciososde los resultados de búsquedabasándose en su calificación deseguridad. Web Control usa Yahoocomo motor de búsquedapredeterminado.

Si cambia el motor de búsquedapredeterminado, reinicie elnavegador para que los cambiossurtan efecto.

6 Seleccione otras opciones según sea necesario.


5 Usar Web ControlAdministrar Web Control


Véase también Cómo se analizan las descargas de archivos en la página 86Iniciar sesión como administrador en la página 24



Cómo se analizan las descargas de archivosWeb Control envía solicitudes de descarga a Threat Prevention para su análisis antes de la descarga.



Especifique acciones de calificación y bloquee el acceso a sitiosweb según la categoría web Configure la Acciones según contenido para especificar las acciones que desea aplicar a los sitios web y lasdescargas de archivos según las calificaciones de seguridad. También tiene la opción de bloquear opermitir sitios web en cada categoría web.


Web Control aplica las acciones de calificación a los sitios web en las categorías no bloqueadasespecificadas en la sección Bloqueo de categorías web, en Avanzado.

Use la configuración en Mensajes de implementación para personalizar el mensaje que se muestra a losusuarios para las descargas y sitios web bloqueados o con advertencia, y para los sitios de phishingbloqueados.



2 Haga clic en Web Control en la página Estado principal.

O, desde el menú Acción , seleccione Configuración y, a continuación, haga clic en Web Control en lapágina Configuración.


4 Haga clic en Acciones según contenido.

5 En la sección Bloqueo de categorías web, para cada Categoría web, active o desactive la opción Bloquear.

Para los sitios web en las categorías no bloqueadas, Web Control aplica las acciones de calificación.

6 En la sección Acciones de calificación, especifique las acciones a aplicar a cualquier sitio web y descargasegún la calificación de seguridad definida por McAfee.

Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoríaweb.


Véase también Uso de categorías web para el control de acceso en la página 87Uso de calificaciones de seguridad para controlar el acceso en la página 88Iniciar sesión como administrador en la página 24

Uso de categorías web para el control de accesoLas categorías web le permiten controlar el acceso a los sitios web según las categorías definidas porMcAfee. Puede especificar opciones para permitir o bloquear el acceso a sitios según la categoría de sucontenido.

Cuando active el bloqueo de categorías web en la configuración de Acciones según contenido, elsoftware bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas,Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105categorías web.



De forma predeterminada, la mayoría de categorías web con calificación verde de McAfee se permiten,las amarillas van acompañadas de una advertencia y las rojas se bloquean. Pero también se puedenaplicar advertencias o bloqueos de forma predeterminada a categorías de contenido sin calificar, segúnlas recomendaciones de McAfee GTI. Use la configuración de de Acciones según contenido parabloquear o permitir categorías web. Use la configuración de Acciones según calificación paraespecificar las acciones para los sitios web y descargas en las categorías no bloqueadas.

Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitioweb pertenece a una de las categorías definidas, el acceso se bloquea o se permite según laconfiguración de la Acciones según contenido. A los sitios web y las descargas de archivos de lascategorías no bloqueadas se les aplican las Acciones de calificación especificadas.

Uso de calificaciones de seguridad para controlar el accesoConfigurar las acciones basadas en calificaciones de seguridad para determinar si los usuarios puedenacceder a un sitio web o a los recursos dentro de un sitio.

Para cada sitio web o descarga de archivo, especifique si se debe permitir, bloquear o advertir según lacalificación. Esto permite un mayor nivel de granularidad para proteger a los usuarios contra archivosque pueden presentar una amenaza para los sitios web con calificación global verde.



6 Referencia a la interfaz de cliente

Los temas de ayuda de referencia de la interfaz proporcionan ayuda sensible al contexto para laspáginas de la interfaz de cliente.

Contenido página Registro de eventos Página Poner en cuarentena Common: Página Common: Tareas Página Threat Prevention — Protección de acceso Threat Prevention — Prevención de vulnerabilidades Página Threat Prevention — Análisis en tiempo real Página Threat Prevention — Análisis bajo demanda Ubicaciones de análisis McAfee GTI Acciones Agregar o Editar exclusiones La página Threat Prevention — Opciones Revertir AMCore content Firewall: Opciones Página Firewall, Reglas Web Control — Opciones Web Control: Acciones según contenido

página Registro de eventosMuestra los eventos de actividad y depuración en el Registro de eventos.

Opción Definición

Número de eventos Muestra el número de eventos que Endpoint Security haya registrado en elsistema en los últimos 30 días.

Actualiza la vista del Registro de eventos con cualquier información de eventoreciente.

Ver directorio deregistros

Abre la carpeta que contiene los archivos de instalación de registro en elexplorador de Windows.

Mostrar todos loseventos

Elimina cualquier filtro.

6


Opción Definición

Filtrar por gravedad Filtra los eventos por nivel de gravedad:

Crítico Muestra solo los eventos de nivel de gravedad 1.

Importante y crítico Muestra solo los eventos de nivel de gravedad 1 y 2.

Mínimo, importante y crítico Muestra solo los eventos de nivel de gravedad 1, 2 y3.

Advertencias y másimportantes

Muestra los eventos de nivel de gravedad 1, 2, 3 y 4.

Filtrar por módulo Filtra los eventos por módulo:

Common Muestra solo los eventos de Common.

Threat Prevention Muestra solo los eventos de Threat Prevention.

Firewall Muestra solo los eventos de Firewall.

Web Control Muestra solo los eventos de Web Control.

Las funciones que aparecen en el menú desplegable dependen de las funcionesinstaladas en el sistema en el momento en que abrió el Registro de eventos.

Buscar Busca una cadena en el Registro de eventos.

Eventos por página Seleccione el número de eventos que mostrar en una página. (De formapredeterminada, 20 eventos por página)

Página anterior Muestra la página anterior en el Registro de eventos.

Página siguiente Muestra la página siguiente en el Registro de eventos.

Página x de x Seleccione una página en el Registro de eventos a la que navegar.Introduzca un número en el campo Página y pulse Intro o haga clic en Ir paranavegar hasta la página.

Encabezados delas columnas

Ordena la lista de eventos por...

Fecha Fecha en la que ocurrió el evento.

Función Función que registró el evento.

6 Referencia a la interfaz de clientepágina Registro de eventos


Encabezados delas columnas

Ordena la lista de eventos por...

Acción Acción que Endpoint Security tomó, si tomó alguna, en respuesta al evento.

La acción puede ajustarse en la configuración.

Permitido Ha permitido el acceso al archivo.

Acceso denegado Ha denegado el acceso al archivo.

Eliminado Ha eliminado el archivo automáticamente.

Continuar

Limpiado Ha quitado la amenaza del archivo detectadoautomáticamente.

Movido Ha movido el archivo a la cuarentena.

Bloqueado Ha bloqueado el acceso al archivo.

Bloquearía Una regla de protección de acceso habría bloqueado elacceso al archivo si la regla hubiera estado implementada.

Gravedad Nivel de gravedad del evento.

Crítico 1

Grave 2

Leve 3

Advertencia 4

Informativo 5

Véase también Ver el Registro de eventos en la página 21

Página Poner en cuarentenaAdministra los elementos en la cuarentena.

Opción Definición

Eliminar Elimina los eventos seleccionados de la cuarentena.

Los archivos eliminados no se pueden restaurar.

Restaurar Restaura elementos de la cuarentena.Endpoint Security restaura los elementos a su ubicación original y los quita de lacuarentena.

Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a lacuarentena inmediatamente.

Volver a analizar Vuelve a analizar elementos en la cuarentena.Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicaciónoriginal y lo quita de la cuarentena.

Referencia a la interfaz de clientePágina Poner en cuarentena 6


Encabezados de las columnas Ordena la lista de cuarentena por...

Nombre de detección Nombre de la detección.

Tipo Tipo de amenaza; por ejemplo, Troyano o Adware.

Tiempo en cuarentena La cantidad de tiempo que el elemento ha estado en cuarentena.

Número de objetos El número de objetos en la detección.

Versión de AMCore Content El número de versión de AMCore content que identifica laamenaza.

Véase también Administrar elementos en cuarentena en la página 39Nombres de detecciones en la página 41

Common: PáginaConfigura parámetros de interfaz de Endpoint Security Client, autoprotección, registro de actividades ydepuración y servidor proxy.

Tabla 6-1

Sección Opción Definición

Modo de interfaz decliente

Acceso total Permite el acceso a todas las funciones.(Predeterminado para sistemas autogestionados)

Acceso estándar Muestra el estado de la protección y permite acceder a lamayoría de las funciones, como la ejecución de actualizaciones yanálisis.

El modo Acceso estándar requiere una contraseña para ver ymodificar la configuración de en la página Configuración deEndpoint Security Client.

La contraseña predeterminada es mcafee.

(Predeterminado para sistemas gestionados)

Bloquear interfaz decliente

Requiere una contraseña para acceder a Endpoint Security Client.

Establecer contraseñade administrador

Para Acceso estándar y Bloquear interfaz de cliente, especifica lacontraseña de administrador con que acceder a todas lasfunciones de la interfaz de Endpoint Security Client.

Contraseña Especifica la contraseña de administrador.

Confirmar contraseña Confirma la contraseña de administrador.

Desinstalación Requerir contraseñapara desinstalar elcliente

Solicita una contraseña para desinstalar Endpoint Security Clienty especifica la contraseña.(Desactivado de forma predeterminada para sistemasautogestionados)

La contraseña predeterminada es mcafee.

Contraseña Especifica la contraseña de desinstalación.

Confirmar contraseña Confirma la contraseña de desinstalación.

6 Referencia a la interfaz de clienteCommon: Página


Tabla 6-2 Opciones avanzadas


Idioma de lainterfaz de cliente

Automático Selecciona automáticamente el idioma que usar en el texto de lainterfaz de Endpoint Security Client basándose en el idioma de lainterfaz del sistema cliente.

Idioma Especifica el idioma que usar en el texto de la interfaz de EndpointSecurity Client.En lo que se refiere a los sistemas gestionados, los cambiosrealizados en el sistema cliente afectan a la interfaz de EndpointSecurity Client. El cambio de idioma se aplicará después del reiniciode Endpoint Security Client.

El idioma del cliente no afecta a los archivos de registro. Losarchivos de registro siempre aparecen en el idioma especificado enla configuración regional predeterminada del sistema.

Autoprotección Activarautoprotección

Protege los recurso del sistema de Endpoint Security contraactividades maliciosas.

Acción Especifica la acción a realizar cuando ocurran actividades maliciosas:• Bloquear e informar: bloquea e informa a McAfee ePO.

(predeterminado)

• Solo bloquear: bloquea pero no informa a McAfee ePO.

• Solo informar: informa a McAfee ePO pero no bloquea la actividad.

Archivos y carpetas Previene la modificación o borrado de archivos de sistema y carpetasde McAfee.

Registro Previene la modificación o borrado de archivos de clave de Registro yvalores de McAfee.

Procesos Previene la detención de procesos McAfee.

Excluir estosprocesos

Permite el acceso a los procesos especificados.

Agregar Agrega un proceso a la lista de exclusiones.Haga clic en Agregar e introduzca el nombre exacto delrecurso, como por ejemplo avtask.exe.

Eliminar Quita un proceso de la lista de exclusiones.Seleccione el recurso y haga clic en Eliminar.

Registro decliente

Ubicación dearchivos de registro

Especifica la ubicación para los archivos de registro.La ubicación predeterminada es:

<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs

Escriba la ubicación deseada o haga clic en Examinar para llegar a ella.

Registro deactividades

Activar registro deactividades

Activa el registro de todas las actividades de Endpoint Security.

Referencia a la interfaz de clienteCommon: Página 6


Tabla 6-2 Opciones avanzadas (continuación)


Limitar tamaño(MB) de cada unode los archivos deregistro deactividades

Limita cada archivo de registro de actividades al tamaño máximoespecificado (entre 1 MB y 999 MB). El valor predeterminado es 10MB.Desactive esta opción para permitir que los archivos de registrotengan cualquier tamaño.

Si el archivo de registro supera este tamaño, los datos nuevossustituyen el 25 por ciento más antiguo de las entradas en elarchivo.

Registro dedepuración La activación del registro de depuración para cualquier módulo

también lo activa para las funciones del módulo Common, comoautoprotección.

Activar para ThreatPrevention

Activa el registro detallado de Threat Prevention y tecnologíasindividuales:

Activar para protección deacceso

Se conecta aAccessProtection_Debug.log

Activar para prevención deexploits

Se conecta aExploitPrevention_Debug.log

Activar para analizador entiempo real

Se conecta a OnAccessScan_Debug.log

Activar para analizador bajodemanda

Se conecta a OnDemandScan_Debug.log

La activación del registro de depuración para cualquier tecnología deThreat Prevention también lo activa para Endpoint Security Client.

Activar paraFirewall

Activa el registro detallado de actividades de Firewall.

Activar para WebControl

Activa el registro detallado de actividades de Web Control.

Limitar tamaño(MB) de cada unode los archivos deregistro dedepuración

Limita cada archivo de registro de depuración al tamaño máximoespecificado (entre 1 MB y 999 MB). El valor predeterminado es 50MB.Desactive esta opción para permitir que los archivos de registrotengan cualquier tamaño.

Si el archivo de registro supera este tamaño, los datos nuevossustituyen el 25 por ciento más antiguo de las entradas en elarchivo.

Registro deeventos

Enviar eventos aMcAfee ePO

Envía todos los eventos registrados en el Registro de eventos deEndpoint Security Client a McAfee ePO.

Esta opción solo se encuentra disponible en sistemas gestionadospor McAfee ePO o McAfee ePO Cloud.

Registrar eventosen el registro deaplicaciones deWindows

Envía todos los eventos registrados en el Registro de eventos deEndpoint Security Client al registro de aplicaciones de Windows.El registro de aplicaciones de Windows está accesible desde el Visor deeventos de Windows | Registros de Windows | Aplicación.





Niveles degravedad

Especifica el nivel de gravedad de los eventos que registrar en elRegistro de eventos en Endpoint Security Client:

Ninguno No se envían alertas

Solo crítico Envía alertas solo de nivel 1

Importante y crítico Envía alertas de nivel 1 y 2

Mínimo, importante y crítico Envía alertas de nivel 1–3

Todo excepto informativo Envía alertas de nivel 1–4

Todo Envía alertas de nivel 1–5

1 Crítico

2 Grave

3 Leve

4 Advertencia

5 Informativo

Eventos de ThreatPrevention aregistrar

Especifica el nivel de gravedad de los eventos para cada función deThreat Prevention que registrar:• Protección de acceso

• Prevención de vulnerabilidades

• Analizador en tiempo real

• Analizador bajo demanda

Eventos de Firewallque registrar

Especifica el nivel de gravedad de los eventos de Firewall queregistrar.

Eventos de WebControl queregistrar

Especifica el nivel de gravedad de los eventos de Web Control queregistrar.

Servidor proxypara McAfee GTI

Sin servidor proxy Especifica que los sistemas gestionados recuperan información sobrereputación de McAfee GTI directamente a través de Internet, en vezde a través de un servidor proxy. (Predeterminado)

Utilizarconfiguración deproxy del sistema

Especifica el uso de la configuración de proxy para el sistema cliente,y activa opcionalmente la autenticación de proxy HTTP.

Configurar servidorproxy

Personaliza la configuración de proxy.• Dirección: especifica la dirección IP o el nombre de dominio completo

del servidor proxy HTTP.

• Puerto: limita el acceso a través del puerto especificado.

• Excluir estas direcciones: no usar el servidor proxy HTTP para sitios webo direcciones IP que empiecen con las entradas especificadas.Haga clic en Agregar e introduzca la dirección que excluir.





Activarautenticación deproxy HTTP

Especifica que el servidor proxy HTTP requiere autenticación. (Estaopción solo está disponible cuando se ha seleccionado un servidorproxy HTTP.) Introduzca unas credenciales de proxy HTTP:• Nombre de usuario: especifica el nombre de la cuenta de usuario con

permisos para acceder al servidor proxy HTTP especificado.

• Contraseña: especifica la contraseña para el Nombre de usuario.

• Confirmar contraseña: confirma la contraseña especificada.

Actualización declientepredeterminado

Activar el botónActualizar ahora enel cliente

Activa el botón en la página principal deEndpoint Security Client.Haga clic en este botón para buscar y descargar manualmenteactualizaciones de archivos de contenido y componentes de softwareen el sistema cliente.

Solo puede configurar estos parámetros en sistemasautogestionados o gestionados mediante McAfee ePO.

Qué actualizar Especifica qué actualizar al hacer clic en el botón

.

Contenido deseguridad, hotfixes yparches

Actualiza a las versiones más recientes todo elcontenido de seguridad (ya sea contenido demotor, AMCore o prevención de exploits), asícomo cualquier hotfix y parche.

Contenido deseguridad

Actualiza únicamente contenido de seguridad(predeterminado).

Hotfixes y parches Actualiza únicamente hotfixes y parches.

Sitios de origenpara lasactualizaciones

Configura sitios desde los que obtener actualizaciones para archivosde contenido y componentes de software.

Solo puede configurar estos parámetros en sistemasautogestionados.

Agregar Agrega un sitio a la lista de sitios de origen.Consulte Agregar o Editar los sitios de origen en la página97para obtener información.

Importar Importa una lista de sitios desde un archivo XML.

Eliminar Elimina el sitio seleccionado de la lista de sitios de origen.

Indica elementos que pueden moverse en la lista.Seleccione elementos y arrástrelos hasta la nuevaubicación. Una línea azul aparece entre elementos allídonde pueda colocar los elementos arrastrados.

Puede activar o desactivar las dos copias de seguridadpredeterminadas de los dos sitios de origen (NAIFtp y NAIHttp), perono se pueden modificar, eliminar o mover en la lista.

Servidor proxypara sitios deorigen

Sin servidor proxy Especifica que los sistemas gestionados recuperan información sobrereputación de McAfee GTI directamente a través de Internet, en vezde a través de un servidor proxy. (Predeterminado)





Utilizarconfiguración deproxy del sistema

Especifica el uso de la configuración de proxy para el sistema cliente,y activa opcionalmente la autenticación de proxy HTTP o FTP.

Configurar servidorproxy

Personaliza la configuración de proxy.• Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del

servidor proxy HTTP o FTP.

• Puerto: limita el acceso a través del puerto especificado.

• Excluir estas direcciones: especifica las direcciones para sistemasEndpoint Security Client que no deben usar el servidor proxy paraobtener calificaciones McAfee GTI.Haga clic en Agregar e introduzca la dirección que excluir.

Activarautenticación deproxy HTTP/FTP

Especifica que el servidor proxy HTTP o FTP requiere autenticación.(Esta opción solo está disponible cuando se ha seleccionado unservidor proxy HTTP o FTP.) Introduzca unas credenciales de proxy:• Nombre de usuario: especifica el nombre de la cuenta de usuario con

permisos para acceder al servidor proxy.

• Contraseña: especifica la contraseña para el Nombre de usuarioespecificado.


Véase también Proteger recursos de Endpoint Security en la página 28Configurar parámetros de registro en la página 28Configurar parámetros para seguridad de interfaz cliente en la página 29Configuración del servidor proxy para McAfee GTI en la página 30Configure el comportamiento de actualización de en la página 31Configurar sitios de origen para actualizaciones de cliente en la página 32Agregar o Editar los sitios de origen en la página 97

Agregar o Editar los sitios de origenAgrega o edita un sitio en la lista de sitios de origen.

Tabla 6-3 Definiciones de opciones

Option Definición

Nombre Indica el nombre del sitio de origen que contiene los archivos de actualización.

Activar Activa o desactiva el uso del sitio de origen para descargar archivos de actualización.

Recuperararchivos desde

Especifica de dónde se han de recuperar los archivos.



Tabla 6-3 Definiciones de opciones (continuación)

Option Definición

RepositorioHTTP

Recupera los archivos desde la ubicación del repositorio HTTP designada.

HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red,pero admite un mayor nivel de conexiones simultáneas que FTP.

URL • Nombre DNS: indica que la URL es un nombre de dominio.

• IPv4: indica que la dirección URL es una dirección IPv4.


http:// : especifica la dirección del servidor HTTP y de la carpeta en laque se encuentran los archivos de actualización.

Puerto: especifica el número de puerto para el servidor HTTP.

Utilizarautenticación

Se selecciona para usar autenticación y especificar las credenciales deacceso a la carpeta de archivos de actualización.• Nombre de usuario: especifica el nombre de la cuenta de usuario con

permisos para leer la carpeta de archivos de actualización.

• Contraseña: especifica la contraseña para el Nombre de usuarioespecificado.




Tabla 6-3 Definiciones de opciones (continuación)

Option Definición

Repositorio FTP Recupera los archivos desde la ubicación del repositorio HTTP designada.

Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos deseguridad de red. Dado que el FTP es menos propenso a ataques de código no deseadosque HTTP, puede ofrece una mejor tolerancia.

URL • Nombre DNS: indica que la URL es un nombre de dominio.


• IPv6: indica que la dirección URL es una dirección Ipv6.

ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que seencuentran los archivos de actualización.

Puerto: especifica el número de puerto para el servidor HTTP.

Utilizar iniciode sesiónanónimo

Se selecciona para usar un FTP anónimo para acceder a la carpeta dearchivos de actualización.Anule la selección de esta opción para especificar las credenciales deacceso.

• Nombre de usuario: especifica el nombre de la cuenta de usuario conpermisos para leer la carpeta de archivos de actualización.

• Contraseña: especifica la contraseña para el Nombre de usuario especificado.


Ruta UNC oRuta local

Recupera los archivos de la ubicación de ruta UNC o local designada.

Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entredominios requieren permisos de seguridad para cada dominio, lo que precisa mayorconfiguración para la actualización.

Ruta • Ruta UNC: especifica la ruta mediante la notación UNC (\\nombredeservidor\ruta\).

• Ruta local: especifica la ruta de una carpeta en una unidad local o de red.

Utilizarcuenta desesióniniciada

Los accesos a los archivos actualizados mediante la cuenta en la que seha iniciado sesión. Esta cuenta debe tener permisos de lectura para lascarpetas que contienen los archivos de actualización.Anule la selección de esta opción para especificar las credenciales deacceso.

• Dominio: especifica el dominio para la cuenta de usuario.

• Nombre de usuario: especifica el nombre de la cuenta de usuario conpermisos para leer la carpeta de archivos de actualización.

• Contraseña: especifica la contraseña para el Nombre de usuario especificado.




Common: TareasPrograma las tareas de Endpoint Security Client.

Sección Option Definición

Tareas Indica las tareas actualmente definidas y planificadas.Haga doble clic en la fila de la tarea para editar una tarea existente.

Nombre Nombre de la tarea planificada.

Función Módulo o función con la que está asociada la tarea.

Planificación Cuando esté planificada la ejecución de la tarea y si estádesactivada.

Estado Estado de la última vez que se ejecutó la tarea:• (sin estado): No se ha ejecutado

• Ejecutar: actual en ejecución o pausada

• Pausado: pausado por el usuario (como por ejemplo unanálisis)

• Aplazado: aplazado por el usuario (como por ejemplo unanálisis)

• Finalizado: ejecución completada sin errores

• Finalizado (con errores): ejecución completada con errores

• Error: no se pudo completar

Última ejecución Fecha y hora en la que la tarea se ejecutó por última vez.

Ejecutarahora

Abre el cuadro de diálogo asociado con la tarea seleccionada.

Análisis rápido Abre el cuadro de diálogo Análisis rápido e inicia elanálisis.

Análisis completo Abre el cuadro de diálogo Análisis completo e inicia elanálisis.

Actualización de clientepredeterminado

Abre el cuadro de diálogo Actualizar e inicia laactualización.

Eliminar Elimina la tarea seleccionada.

Agregar Agrega una nueva tarea planificada.

Véase también Ejecutar un Análisis completo o Análisis rápido en la página 36Actualizar protección y software manualmente en la página 20Tareas Editar análisis completo o Editar análisis rápido en la página 100Tarea de Editar actualización cliente predeterminado en la página 102

Tareas Editar análisis completo o Editar análisis rápidoPlanifica y edita la tarea Análisis completo o Análisis rápido.

Consulte Configure Análisis bajo demanda en la página 55 para más información sobre la configuracióndelAnálisis completo y el Análisis rápido.

6 Referencia a la interfaz de clienteCommon: Tareas


De forma predeterminada, tanto el Análisis completo como el Análisis rápido están planificados paraejecutarse cada día a las 23:59. Las planificaciones están desactivadas.


Tabla 6-4

Categoría Opción Definición

Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.(Desactivada de forma predeterminada)

Seleccione esta opción para planificar la tarea.

Repeticiones Especifica la frecuencia de la tarea.

Cada día Ejecuta la tarea cada día a la Hora de inicio especificada.

Semanal Ejecuta la tarea cada semana:• Las semanas especificadas en Frecuencia

• Los días especificados en Ejecutar en

Mensual Ejecuta la tarea cada mes en:• El día del mes especificado

• Los días de la semana especificados: el primero,segundo, tercero, cuarto o último

Hora de inicio Especifica la hora para empezar la tarea.

Ejecutar una vez aesa hora

Ejecuta la tarea una vez a la Hora de inicioespecificada.

Ejecutar a esa hora yrepetir hasta

Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta la horade finalización especificada.

Ejecutar a esa hora yrepetir durante

Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta que sehaya ejecutado durante la duraciónespecificada.

Tiempo de espera Detener la tarea si seejecuta durante másde

Detenga la tarea transcurrido el número de Horas y Minutos indicado.

Si la tarea se interrumpe antes de completarse, la siguiente vezque comience se reanudará desde donde lo dejó.

Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.

Si no se especifican credenciales, la tarea se ejecuta como cuentalocal del administrador del sistema.

Nombre de usuario Especifica la cuenta de usuario.

Password Especifica la contraseña para la cuenta de usuario especificada.

Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.

Domain Especifica el dominio para la cuenta de usuario especificada.

Referencia a la interfaz de clienteCommon: Tareas 6


Véase también Configure Análisis bajo demanda en la página 55Ejecutar un Análisis completo o Análisis rápido en la página 36Planifique las tareas Análisis completo y Análisis rápido en la página 60

Tarea de Editar actualización cliente predeterminadoPlanifica y edita la tarea Actualización cliente predeterminado.

Consulte Configure el comportamiento de actualización de en la página 31 para más información acercade la configuración de Actualización de cliente predeterminado.

De forma predeterminada, la tarea Actualización cliente predeterminado se ejecuta cada día a las 01:00 y serepite cada cuatro horas hasta las 23:59.


Tabla 6-5


Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.(Activada de forma predeterminada)

Seleccione esta opción para planificar la tarea.

Repeticiones Especifica la frecuencia de la tarea.

Cada día Ejecuta la tarea cada día a la Hora de inicio especificada.

Semanal Ejecuta la tarea cada semana el:• Las semanas especificadas en Frecuencia

• Los días especificados en Ejecutar en

Mensual Ejecuta la tarea cada mes en:• El día del mes especificado

• Los días de la semana especificados: el primero,segundo, tercero, cuarto o último

Hora de inicio Especifica la hora para empezar la tarea.

Ejecutar una vez aesa hora

Ejecuta la tarea una vez a la Hora de inicioespecificada.

Ejecutar a esa hora yrepetir hasta

Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta la horade finalización especificada.

Ejecutar a esa hora yrepetir durante

Ejecuta la tarea a la Hora de inicio especificada. Acontinuación, ejecutará la tarea cada númerode horas/minutos especificados hasta que sehaya ejecutado durante la duraciónespecificada.

Tiempo de espera Detener la tarea si seejecuta durante másde

Detenga la tarea transcurrido el número de Horas y Minutos indicado.

Si la tarea se interrumpe antes de completarse, la siguiente vezque comience se reanudará desde donde lo dejó.

6 Referencia a la interfaz de clienteCommon: Tareas


Tabla 6-5 (continuación)


Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.

Si no se especifican credenciales, la tarea se ejecuta como cuentalocal del administrador del sistema.

Nombre de usuario Especifica la cuenta de usuario.

Password Especifica la contraseña para la cuenta de usuario especificada.

Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.

Domain Especifica el dominio para la cuenta de usuario especificada.

Véase también Configure el comportamiento de actualización de en la página 31Planifique la tarea Actualización cliente predeterminado en la página 33Common: Tareas en la página 100

Página Threat Prevention — Protección de accesoProtege los puntos de acceso del sistema acorde con las reglas configuradas.

Consulte la configuración de Common: Página en la página 92 para la configuración del registro.

La protección de acceso compara una acción solicitada con una lista de reglas configuradas, y actúasegún la regla.

Tabla 6-6


PROTECCIÓN DE ACCESO Activar protección de acceso Activa la función Protección de acceso.

Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso 6



Sección Opción Descripción

Exclusiones Excluir estos procesospara todas las reglas

Permite el acceso a los procesos especificados para todas las reglas.

Agregar Agrega un proceso a la lista de exclusiones.Haga clic en Agregar e introduzca el nombre exacto delproceso, como por ejemplo avtask.exe.

Eliminar Elimina un proceso de la lista de exclusiones.Seleccione el proceso y haga clic en Eliminar.

Reglas Especifica acciones para las reglas de protección de acceso.

(Solo) Bloquear Bloquea los intentos de acceso sin registro.

(Solo) Informar Advierte sin bloquear intentos de acceso.Esta configuración resulta útil cuando sedesconocen las consecuencias completas de unaregla. Supervise los registros e informes paradecidir si bloqueará el acceso.

Bloquear eInformar

Bloquea y registra los intentos de acceso.

Para bloquear o informar de todo, seleccione Bloquear o Informar en laprimera fila.

Para desactivar la regla, deseleccione tanto Bloquear como Informar.

Excluir estos procesospara la regla seleccionada

Modifica las exclusiones para la regla seleccionada.Seleccione una regla, haga clic en Agregar e introduzca un procesoque excluir de la regla seleccionada. Para eliminar una exclusión,selecciónela y haga clic en Eliminar.

Instalación de nuevosCLSID, APPID y TYPELIB

Impide la instalación o el registro de nuevos servidores COM.Esta regla protege contra los programas de adware y spyware quese instalan como complementos COM en Internet Explorer o enaplicaciones de Microsoft Office.

Para impedir el bloqueo de aplicaciones legítimas que registrancomplementos COM, incluidas algunas comunes como MacromediaFlash, agréguelas a la lista de exclusiones.

Desactivación del Editordel registro y de TaskManager

Protege las entradas de Windows, con lo que evita la desactivacióndel Editor del registro y de Task Manager.

En caso de un brote, desactive esta regla para poder cambiar elregistro, o abra Task Manager para detener los procesos activos.

Alteración de lasdirectivas de derechos deusuario

Protege los valores de registro que contienen información deseguridad de Windows.Esta regla impide que los gusanos alteren cuentas que poseenderechos de administrador.

6 Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso




Alteración de todos losregistros de extensionesde archivos

Protege las claves de Registro en HKEY_CLASSES_ROOT donde seregistran las extensiones de archivo.Esta regla impide que el malware modifique los registros deextensiones de archivos y se ejecute en modo silencioso.

Desactive la regla al instalar aplicaciones válidas que modifican losregistros de extensiones de archivos en el registro.

Esta regla es una alternativa más restrictiva que Hijacking .EXE y otrasextensiones ejecutables.

Creación o modificaciónremota de archivos detipo portable ejecutable(PE), .INI, .PIF yubicaciones de núcleo delsistema

Impide que otros equipos realicen una conexión y alterenejecutables, como los archivos en la carpeta Windows. Esta reglaafecta solo a los tipos de archivo normalmente infectados por losvirus.Esta regla protege contra los gusanos o virus que se extiendenrápidamente y atraviesan un red mediante los recursos compartidosabiertos o administrativos.

Esta regla es una alternativa menos segura que hacer de solo lecturatodos los recursos compartidos.

Creación remota dearchivos de ejecuciónautomática

Impide que otros equipos realicen una conexión y creen o alterenarchivos de ejecución automática (autorun.inf).Los archivos de ejecución automática se utilizan para iniciarautomáticamente archivos de programa, generalmente archivos deconfiguración de CD.

Esta regla impide que se ejecuten el spyware y adware distribuidosen CD.

Esta regla está seleccionada de manera predeterminada para Bloqueare Informar.

Ejecución de archivosdesde cualquier carpetatemporal

Bloquea el inicio de cualquier ejecutable desde cualquier carpetacuyo nombre contenga la palabra "temp".

Esta regla protege contra el malware que se guarda y ejecuta desdela carpeta temp del usuario o del sistema, como los datos adjuntosejecutables en el correo electrónico y los programas descargados.

Aunque esta regla proporciona la mayor protección, podría bloquearla instalación de aplicaciones legítimas.

Ejecución de scriptsdesde Windows ScriptHost (CScript.exe oWscript.exe) desdecualquier carpetatemporal

Impide que el host de scripts en Windows ejecute scripts VBScript yJavaScript en cualquier carpeta cuyo nombre contenga la palabra"temp".

Esta regla protege contra muchos troyanos y mecanismos deinstalación web cuestionables, utilizados por aplicaciones de adwarey spyware.

Esta regla podría bloquear la ejecución o instalación de scripts yaplicaciones de terceros legítimas.

Esta regla está seleccionada de manera predeterminada paraInformar.

Acceso o modificación dearchivos de la Libreta dedirecciones de accesoremoto

Impide que el malware lea las listas de contactos de los usuarios,que se almacenan en archivos rasphone.pbk en las carpetas de perfilde usuarios.

Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso 6




Ejecución y lectura detftp.exe

Impide el uso de TFTP (Trivial File Transfer Protocol), un protocolode transferencia de archivos sin autenticación de usuarios.Esta regla bloquea el malware para que no use TFTP para descargarmás malware al sistema, con lo que se evita una mayor infección.

Como Windows requieres acceso a tftp.exe para instalar los ServicePack de Windows, desactive esta regla cuando instale parches yService Pack.

Lectura de archivos de lacaché de Internet Explorer

Limita el acceso a elementos en la caché de Internet Explorer aInternet Explorer únicamente.Esta regla impide que el malware busque en la caché de InternetExplorer direcciones de correo electrónico y contraseñas de sitiosweb.

Un proceso que utilice la biblioteca WinInet o que aloje un controlde Internet Explorer en una ventana puede acceder a la caché. Sise activa, puede que necesite agregar procesos a esta regla.

Acceso remoto a archivoso carpetas locales

Impide el acceso de lectura y escritura al equipo desde equiposremotos.Esta regla impide que se extienda un gusano entre los recursoscompartidos.

En un entorno típico, esta regla es útil para estaciones de trabajo,pero no servidores, y solo cuando los equipos están activamentebajo ataque.

Si un equipo se gestiona insertando archivos en el mismo, estaregla impide la instalación de actualizaciones o parches. Esta reglano afecta a las funciones gestionadas de McAfee ePO.

Creación o modificaciónremota de archivos ocarpetas

Bloquea el acceso de escritura a todos los recursos compartidos.Esta regla resulta útil en un brote al prevenir el acceso de escrituray limitar que se extienda la infección. La regla bloquea malware quede otro modo limitaría seriamente el uso del equipo o la red.

En un entorno típico, esta regla es útil para estaciones de trabajo,pero no servidores, y solo cuando los equipos están activamentebajo ataque.

Si un equipo se gestiona insertando archivos en el mismo, estaregla impide la instalación de actualizaciones o parches. Esta reglano afecta a las funciones gestionadas de McAfee ePO.

Hijacking .EXE y otrasextensiones ejecutables

Protege, entre otras, las claves de registro ejecutables .EXE, .BAT enHKEY_CLASSES_ROOT.Esta regla impide que el malware modifique las claves de Registro yse ejecute el virus junto con otro ejecutable.

La regla es una alternativa menos restrictiva a Alteración de todos losregistros de extensiones de archivos.

Ejecución de ejecutablespotencialmentemaliciosos por Svchost

Impide que svchost.exe cargue .DLL que no sean las de servicio deWindows.Esta regla impide que el malware utilice svchost.exe pararegistrar .DLL que no forman parte de Windows.

6 Referencia a la interfaz de clientePágina Threat Prevention — Protección de acceso




Modificación de procesoscentrales de Windows

Impide que se creen o ejecuten archivos con los nombres que másse falsifican.Esta regla impide que los virus y troyanos se ejecuten con el nombrede un proceso de Windows. Esta regla excluye con archivosauténticos de Windows.

Modificación de archivosy configuraciones deMozilla

Bloquea los procesos para que no modifiquen los favoritos ni laconfiguración de Firefox.Esta página impide que los troyanos, el adware y el spyware depáginas de inicio modifiquen la configuración del explorador, como lapágina de inicio o los favoritos.

Modificación deconfiguraciones deInternet Explorer

Bloquea los procesos para que no modifiquen la configuración deInternet Explorer.Esta página impide que los troyanos, el adware y el spyware depáginas de inicio modifiquen la configuración del explorador, como lapágina de inicio o los favoritos.

Instalación de objetosauxiliares del exploradoro extensiones de shell

Impide que el adware, el spyware y los troyanos que se instalancomo objetos auxiliares del explorador se instalen en el equipo host.

Esta regla impide que el adware y spyware se instalen en lossistemas.

Para permitir que las aplicaciones personalizadas o de terceros quesean legítimas instalen estos objetos, agréguelos a la lista deexclusiones. Tras la instalación, puede volver a activar la reglaporque no impide el funcionamiento de los objetos auxiliares delexplorador.

Ejecución de lasdirecciones URL deAyuda de Windows yCentro de ayuda enInternet Explorer oWindows Media Player

Impide que Internet Explorer y Media Player ejecuten URL de HelpCenter and Support (HCP) (hcp://).Esta regla impide que un atacante utilice una URL hcp:// paraejecutar código arbitrario en el equipo, con los permisos del usuario.

Modificación de laconfiguración o losfavoritos de InternetExplorer

Bloquea los procesos para que no modifiquen la configuración y losarchivos de Internet Explorer.Esta página impide que los troyanos, el adware y el spyware depáginas de inicio modifiquen la configuración del explorador, como lapágina de inicio o los favoritos.

Véase también Configure la Protección de acceso en la página 46

Threat Prevention — Prevención de vulnerabilidadesActiva y configura Prevención de vulnerabilidades para impedir que las vulnerabilidades dedesbordamiento del búfer ejecuten código arbitrario en el equipo.


Referencia a la interfaz de clienteThreat Prevention — Prevención de vulnerabilidades 6


Tabla 6-8


PREVENCIÓN DEVULNERABILIDADES

Activar Prevención devulnerabilidades

Activa la función Prevención devulnerabilidades.

Si no se activa esta función, el sistemaquedará desprotegido ante los ataques demalware.



Prevención deejecución dedatos deWindows

Utilizar laPrevención deejecución dedatos deWindows

Activar la Prevención de ejecución de datos de Windows. (Desactivada deforma predeterminada)

La desactivación de esta opción no afecta a ningún proceso que tenga laPrevención de ejecución de datos activada como resultado de estadirectiva de Windows.

Nivel deprotección

Especifica el nivel de protección de Prevención de vulnerabilidades.

Estándar Detecta y bloquea solo exploits de desbordamiento del búfer de gravedadalta identificados en el archivo de contenido de prevención de exploits ydetiene la amenaza detectada.Use la función en el modo Estándar durante un tiempo breve. Revise elarchivo de registro durante este tiempo para determinar si quierecambiar a un nivel de protección Máximo.

Máximo Detecta y bloquea los exploits de desbordamiento del búfer de gravedadalta y mediana que se han identificado en el archivo de contenido deprevención de exploits y detiene la amenaza detectada.

Este parámetro puede producir falsos positivos.

Exclusiones Excluir estosprocesos

Especifica el nombre del proceso al que pertenece la memoria deescritura que está realizando la llamada.Introduzca el nombre del proceso que excluir. La prevención de exploitsexcluye el proceso, sea cual sea su ubicación.

Las exclusiones no distinguen entre mayúsculas y minúsculas, y no sepermiten caracteres comodín.

Agregar Agrega un proceso a la lista deexclusiones.Introduzca el nombre del proceso o estenombre con su ruta.

Eliminar Quita el proceso seleccionado de la listade exclusiones.

Véase también Configurar Prevención de exploit en la página 49

6 Referencia a la interfaz de clienteThreat Prevention — Prevención de vulnerabilidades


Página Threat Prevention — Análisis en tiempo realActiva ya configura el análisis en tiempo real.


Tabla 6-11


ANÁLISIS ENTIEMPOREAL

Activar análisis entiempo real

Activa la función Análisis en tiempo real. Activada de formapredeterminada.

Activar análisis entiempo real al iniciar elsistema

Activa la función Análisis en tiempo real cada vez que inicie elequipo. Activada de forma predeterminada.

Especificar el númeromáximo de segundospara el análisis de losarchivos

Limita el análisis de cada archivo al número especificado desegundos. Activada de forma predeterminada.Si un análisis excede el límite temporal, se detiene y registra unmensaje.

Analizar sectores dearranque

Analiza el sector de arranque del disco. Activada de formapredeterminada.

Cuando un disco contenga un sector de arranque único o pococomún que no pueda analizarse, desactive el análisis del sector dearranque.

Analizar procesos alactivar

Vuelve a analizar todos los procesos que se encuentran en memoriacada vez:• Usted desactiva y vuelve a activar los análisis en tiempo real.

• El sistema se inicia.

Como algunos programas o ejecutables se inicianautomáticamente al iniciarse el sistema, la activación de estaopción puede ralentizar el sistema y aumentar el tiempo de iniciodel sistema.

Desactivada de forma predeterminada.

Cuando se activa el analizador en tiempo real, siempre analiza todoslos procesos al ejecutarse estos.

Analizar instaladoresde confianza

Analiza archivos MSI (instalados por msiexec.exe y firmados porMcAfee o Microsoft) o los archivos del servicio Instalador deconfianza de Windows. Desactivada de forma predeterminada.

Desactive esta opción para mejorar el rendimiento de losinstaladores de aplicaciones de Microsoft de gran tamaño.

Analizar al copiar entrecarpetas locales

Analiza archivos cuando el usuario copia de una carpeta local a otra.Si esta opción está:• Desactivada: solo se analizan los elementos de la carpeta de

destino.

• Desactivada: se analizan los elementos tanto en la carpeta deorigen (lectura) como en la de destino (escritura).

Desactivada de forma predeterminada.

McAfee GTI Consulte McAfee GTI en la página 117para obtener información.

Referencia a la interfaz de clientePágina Threat Prevention — Análisis en tiempo real 6




Mensajería deusuario deThreatDetection

Mostrar la ventana deanálisis en tiempo real alos usuarios cuando sedetecta una amenaza

Muestra la página de Análisis en tiempo real con el mensajeespecificado a los usuarios cliente cuando se produce unadetección. Activada de forma predeterminada.Cuando se selecciona esta opción, los usuarios pueden abrir estapágina desde la página Analizar ahora en cualquier momento en quela lista de detecciones incluya al menos una amenaza.

La lista de detecciones del análisis en tiempo real se borracuando se reinicia el servicio de Endpoint Security o el sistema.

Mensaje Especifica el mensaje que se mostrará a los usuarios clientecuando se produzca una detección.El mensaje predeterminado es: McAfee Endpoint Security ha detectadouna amenaza.

Configuraciónde procesos

Usar la configuraciónEstándar para todos losprocesos

Aplica la misma configuración a todos los procesos cuando serealiza un análisis en tiempo real.

Configurar opcionesdistintas para procesos deriesgo alto y de riesgobajo

Configura diferentes parámetros de análisis para cada tipo deproceso que se identifique.• Estándar: procesos que no se identifican como de riesgo alto o

bajo. Activada de forma predeterminada.

• Riesgo alto: procesos que son de riesgo alto.

• Bajo riesgo — Procesos que son de bajo riesgo.

Agregar Agrega un proceso a la lista Riesgo alto o Riesgo bajo.

Eliminar Quita un proceso de la lista Riesgo alto o Riesgo bajo.

Análisis Especificar cuándo se realizará el análisis

Al escribir en el disco Analiza todos los archivos a medida que se escriban o semodifiquen en el equipo o en otro dispositivo de almacenamientode datos.

Al leer del disco Analiza todos los archivos a medida que se lean en el equipo oen otro dispositivo de almacenamiento de datos. McAfeerecomienda encarecidamente la activación de esta opción.

Dejar que McAfee decida Permite que McAfee decida si se debe analizar un archivomediante la lógica de confianza para optimizar el análisis. Lalógica de confianza mejora la seguridad y aumenta elrendimiento al evitar análisis innecesarios.

No analizar al leer oescribir en el disco

Especifica que no se analicen procesos de Riesgo bajo.

En unidades de red Analiza recursos en unidades de red asignadas.

El análisis de los recursos de red podría afectar al rendimiento.

Abierto para copia deseguridad

Analiza archivos que están abiertos para operaciones de copia deseguridad.

Tipos de archivos a analizar

6 Referencia a la interfaz de clientePágina Threat Prevention — Análisis en tiempo real




Todos los archivos Analiza todos los archivos, independientemente de su extensión.McAfee recomienda encarecidamente la activación de estaopción.

Si no se activa esta opción, el sistema quedará desprotegidoante los ataques de malware.

Tipos de archivopredeterminados yespecificados

Análisis:• Lista predeterminada de extensiones en el archivo de AMCore

content actual.

• (Opcional) Amenazas de macros conocidas.

• Las extensiones adicionales que especifique.

• (Opcional) Archivos sin extensión.

Solo tipos de archivosespecificados

Analiza solo los archivos con las extensiones que especifique y,opcionalmente, archivos sin extensión.

Configurar qué analizar

Archivos dealmacenamientocomprimidos

Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.Como analizar archivos comprimidos afecta negativamente alrendimiento del sistema, McAfee recomienda el análisis dentro dearchivos cuando el sistema no está en uso.

Archivos comprimidoscodificados medianteMIME

Detecta, descodifica y analiza archivos cifrados con extensionesMultipurpose Internet Mail Extensions (MIME).

Detectar programas nodeseados

Especifica que el analizador en tiempo real detecta programaspotencialmente no deseados.

El analizador utiliza la información configurada en Opcionespara detectar programas potencialmente no deseados.

Acciones Consulte Acciones en la página 118para obtener información.

Exclusiones Especifica archivos, carpetas y unidades que excluir del análisis.Consulte Agregar o Editar exclusiones en la página 120paraobtener información.

Agregar Agrega un elemento a la lista de exclusionesPredeterminado, Riesgo alto o Riesgo bajo.

Eliminar Quita un elemento de la lista de exclusionesPredeterminado, Riesgo alto o Riesgo bajo.

Referencia a la interfaz de clientePágina Threat Prevention — Análisis en tiempo real 6




ScriptScan Activar ScriptScan Activa el análisis de scripts JavaScript y VBScript para impedirque se ejecuten scripts no deseados. Activada de formapredeterminada.

Si se desactiva ScriptScan al iniciar Internet Explorer y acontinuación se activa, no detectará scripts maliciosos en esainstancia de Internet Explorer.

Deberá reiniciar Internet Explorer tras activar ScriptScanpara que pueda detectar scripts maliciosos.

Anule la selección de esta opción para que el equipocliente utilice tanto las exclusiones especificadas aquícomo las especificadas localmente en el cliente.

Excluir estas URL Especifica exclusiones ScriptScan por URL.

Agregar Agrega una URL a la lista de exclusiones.

Eliminar Quita una URL de la lista de exclusiones

Las URL no pueden incluir caracteres comodines. Sin embargo,cualquier URL que contenga una cadena de una URL excluidatambién se excluirá. Por ejemplo, si se excluye la URLmsn.com, también se excluirán las siguientes URL:

• http://weather.msn.com

• http://music.msn.com

En Windows Server 2008, las exclusiones de URL de ScriptScanno funcionan con Windows Internet Explorer a menos que seseleccione Habilitar extensiones de explorador de terceros y reinicie elsistema. Para obtener más información, consulte el artículo de labase de conocimientos Exclusiones de URL de ScriptScan.

Véase también Configure Análisis en tiempo real en la página 50McAfee GTI en la página 117Acciones en la página 118Agregar o Editar exclusiones en la página 120

Página Threat Prevention — Análisis bajo demandaConfigura los parámetros de Análisis bajo demanda para los análisis preconfigurados que se ejecutanen su sistema.

Consulte la configuración de Common: Página en la página 92 para ver la configuración del registro.

Estos parámetros especifican el comportamiento del analizador al:

• Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Endpoint Security Client.

• Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca deamenazas en el menú emergente.

6 Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda


https://kc.mcafee.com/corporate/index?page=content&id=KB69526

Tabla 6-14


Tipo deanálisis

Analizar sectores dearranque

Analiza el sector de arranque del disco.

Cuando un disco contenga un sector de arranque único o pococomún que no pueda analizarse, puede ser convenientedesactivar el análisis del sector de arranque.

Detectar programas nodeseados

Permite que el analizador detecte programas potencialmente nodeseados.El analizador utiliza la información configurada en Common paradetectar programas potencialmente no deseados.

Descodificar archivosMIME codificados

Detecta, descodifica y analiza archivos cifrados con extensionesMultipurpose Internet Mail Extensions (MIME).

Analizar dentro dearchivos

Examina el contenido de archivos de almacenamiento(comprimidos), incluidos los archivos .jar.

Puesto que el análisis de archivos comprimidos puede afectarnegativamente al rendimiento del sistema, McAfee recomienda eluso de esta opción en análisis durante horas extraordinariascuando el sistema no está en uso.

Analizar archivos que sehan migrado alalmacenamiento

Analiza archivos que gestiona el Almacenamiento remoto.Cuando el analizador se encuentra un archivo con contenidomigrado, restaura el archivo al sistema local antes del análisis.

Buscar amenazas deprograma desconocidos

Utiliza McAfee GTI para detectar archivos ejecutables que tengancódigo similar al malware.

Encontrar amenazas demacros desconocidas

Utiliza McAfee GTI para detectar virus de macros desconocidos.

Analizar subcarpetas Examina todas las subcarpetas de la carpeta especificada.

Esta opción se aplica solo a la configuración de Análisis con el botónderecho del ratón.

Ubicaciones deanálisis

Consulte Ubicaciones de análisis en la página 116para obtenerinformación.

Estas opciones se aplican solo a Análisis completo y Análisis rápido.

Tipos dearchivos aanalizar

Todos los archivos Analiza todos los archivos, independientemente de su extensión.McAfee recomienda encarecidamente la activación de Todos losarchivos.

Si no se activa esta opción, el sistema quedará desprotegido antelos ataques de malware.

Tipos de archivopredeterminados yespecificados

Análisis:• Lista predeterminada de extensiones en el archivo de AMCore

content actual.

• (Opcional) Amenazas de macros conocidas.

• Las extensiones adicionales que especifique.

• (Opcional) Archivos sin extensión.

Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda 6




Solo tipos de archivosespecificados

Analiza solo los archivos con las extensiones que especifique y,opcionalmente, archivos sin extensión.

McAfee GTI Consulte McAfee GTI en la página 117para obtener información.

Exclusiones Especifica archivos, carpetas y unidades que excluir del análisis.Consulte Agregar o Editar exclusiones en la página 120paraobtener información.

Agregar Agrega un elemento a la lista de exclusión.

Eliminar Quita un elemento de la lista de exclusión.Seleccione el elemento de la lista y, a continuación, hagaclic en Eliminar.

Acciones Consulte Acciones en la página 118para obtener información.

Rendimiento Usar caché de análisis Permite que el analizador utilice los resultados de análisisexistentes.Seleccione esta opción para reducir la duplicación de los análisis ymejorar el rendimiento.

Utilización del sistema Permite al sistema operativo especificar la cantidad de tiempo deCPU que el analizador recibe durante el análisis.

Cada tarea se ejecuta independientemente, sin tener en cuentalos límites de otras tareas.

Normal Permite que el análisis finalice más rápido.Seleccione esta opción para sistemas que tienengrandes volúmenes y poca actividad del usuariofinal.

Por debajo delo normal

Establece la utilización del sistema para el análisisen el predeterminado de McAfee ePO.

Bajo Proporciona un rendimiento mejorado del resto delas aplicaciones en ejecución.Seleccione esta opción para sistemas con actividaddel usuario final.

Opciones del análisis planificadoEstas opciones se aplican solo a Análisis completo y Análisis rápido.

6 Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda




Analizar solo cuando elsistema está inactivo

Ejecuta el análisis solo cuando el sistema está inactivo.Threat Prevention pausa el análisis cuando detecta actividad deldisco o del usuario, como acceso mediante el teclado o el ratón.Threat Prevention reanuda el análisis si el usuario no accede alsistema durante tres minutos.

McAfee recomienda desactivar esta opción solo en los sistemasservidor y en los sistemas en que los usuarios acceden medianteuna conexión de escritorio remoto (RDP). Threat Preventiondepende de McTray para determinar si el sistema está inactivo. Ensistemas a los que solo se accede mediante escritorio remoto,McTray no se inicia y el analizador bajo demanda no se ejecuta.

Para evitar este problema, los usuarios pueden iniciarMcTray (de manera predeterminada en C:\Program Files\McAfee\Agent\mctray.exe) manualmente cuando iniciesesión en el escritorio remoto.

Analizar en cualquiermomento

Ejecuta el análisis incluso si el usuario está activo y especificaopciones para el análisis.

Es posible que el usuario aplace los análisis planificados: permite al usuarioaplazar análisis planificados y especificar opciones de aplazamientode análisis.

Número máximo deveces que el usuariopuede aplazar elanálisis en una hora

Especifica el número de veces (de 1 a 23)que el usuario puede aplazar el análisis enuna hora.

Mensaje de usuario Especifica el mensaje que aparecerá cuandoun análisis está a punto de comenzar.El mensaje predeterminado es: McAfeeEndpoint Security va a analizar el sistema.

Duración del mensaje(segundos)

Especifica cuánto tiempo (en segundos)aparece el mensaje de usuario cuando unanálisis está a punto de comenzar. Elintervalo válido de duración es entre 30 y300; la duración predeterminada es 45segundos.

No analizar si el sistema está en modo de presentación: pospone el análisismientras el sistema está en modo de presentación.

No analizar si el sistemafunciona mediante labatería

Pospone el análisis cuando el sistema está alimentándose conbatería.

Véase también Configure Análisis bajo demanda en la página 55Ejecutar un Análisis completo o Análisis rápido en la página 36Analizar un archivo o carpeta en la página 38Ubicaciones de análisis en la página 116McAfee GTI en la página 117Acciones en la página 118Agregar o Editar exclusiones en la página 120

Referencia a la interfaz de clientePágina Threat Prevention — Análisis bajo demanda 6


Ubicaciones de análisisEspecifica las ubicaciones que analizar.

Estas opciones se aplican solo a Análisis completo y Análisis rápido.

Tabla 6-15


Ubicaciones deanálisis

Analizar subcarpetas Examina todas las subcarpetas en los volúmenes especificadoscuando se selecciona alguna de estas opciones:• Carpeta de inicio • Carpeta Temp

• Carpeta de perfil del usuario • Unidad o carpeta

• Carpeta Archivos de programa

Cancele la selección de esta opción para analizar solo el nivel raízde los volúmenes.

Especificar ubicaciones Especifica las ubicaciones que analizar.

Agregar Agrega una ubicación al análisis.Haga clic en Agregar y seleccione la ubicación en el menúdesplegable.

Eliminar Quita una ubicación del análisis.Seleccione la ubicación y haga clic en Eliminar.

Memoria para rootkits Analiza la memoria del sistema para buscar rootkits instalados,procesos ocultos y otros comportamientos que puedan sugerir queun malware está intentando ocultarse. Este análisis se produceantes que los demás análisis.


Procesos en ejecución Analiza la memoria de todos los procesos en ejecución.Las Acciones que no sean Limpiar archivos se tratan como Continuaranalizando.


Archivos registrados Analiza archivos a los que hace referencia el Registro de Windows.El analizador busca nombres de archivo en el registro, determina siel archivo existe, crea una lista de archivos para analizar y analizalos archivos.

Mi equipo Analiza todas las unidades conectadas físicamente al equipo oasignadas de forma lógica a una letra de unidad en el equipo.

Todas las unidadeslocales

Analiza todas las unidades y las subcarpetas del equipo.

Todas las unidades dedisco duro

Analiza todas las unidades conectadas físicamente al equipo.

Todas las unidadesextraíbles

Analiza todas las unidades extraíbles o demás dispositivos dealmacenamiento conectados al equipo.

6 Referencia a la interfaz de clienteUbicaciones de análisis




Todas las unidadesasignadas

Analiza las unidades de red asignadas lógicamente a una unidad dered del equipo.

Carpeta de inicio Analiza la carpeta de inicio del usuario que inicie el análisis.

Carpeta de perfil delusuario

Analiza el perfil del usuario que empieza el análisis, incluida lacarpeta Mis documentos del usuario.

Carpeta Windows Analiza el contenido de la carpeta Windows.

Carpeta Archivos deprograma

Analiza el contenido de la carpeta Archivos de programa.

Carpeta Temp Analiza el contenido de la carpeta Temp.

Papelera de reciclaje Analiza el contenido de la papelera de reciclaje.

Archivo o carpeta Analiza el archivo o carpeta especificados.

Véase también Página Threat Prevention — Análisis bajo demanda en la página 112

McAfee GTIActiva y configura parámetros de McAfee GTI.

Tabla 6-16


ActivarMcAfee GTI

Activa y desactiva las comprobaciones heurísticas.• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a

McAfee Labs para determinar si se trata de malware. Al enviar hashes, ladetección podría estar disponible antes que la próxima publicación dearchivos de AMCore content, cuando McAfee Labs publique la actualización.

• Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs.

Nivel desensibilidad

Configure el nivel de sensibilidad que se debe utilizar para determinar si unamuestra detectada es malware.

Cuanto mayor sea el nivel de sensibilidad, mayor será el número dedetecciones de malware. Sin embargo, al permitir más detecciones, tambiénpodrían obtenerse más resultados falsos positivos.

Nivel de riesgo

Muy bajo Las detecciones y el riesgo de falsos positivos son iguales que con archivos deAMCore content normales. Puede disponer de una detección para ThreatPrevention cuando McAfee Labs la publique en lugar de esperar a la siguienteactualización de archivos de AMCore content.Utilice esta configuración para equipos de sobremesa y servidores conderechos de usuario restringidos y un espacio de utilización con un nivel altode seguridad.

Esta configuración da lugar a una media de entre 10 y 15 consultas al día porequipo.

Referencia a la interfaz de clienteMcAfee GTI 6




Bajo Esta configuración es la recomendación mínima para portátiles o equipos desobremesa y para servidores con un espacio de utilización con un nivel alto deseguridad.Esta configuración da lugar a una media de entre 10 y 15 consultas al día porequipo.

Medio Utilice este nivel cuando el riesgo normal de exposición a malware sea mayorque el riesgo de un falso positivo. McAfee Labs realiza comprobacionesheurísticas propias que producen detecciones de probable malware. Sinembargo, algunas detecciones podrían producir un falso positivo. Con esteparámetro, McAfee Labs comprueba que las aplicaciones habituales y losarchivos del sistema operativo no produzcan falsos positivos.Esta configuración es la recomendación mínima para portátiles o equipos desobremesa y para servidores.


Alto Utilice esta configuración para el despliegue en sistemas o áreas que seinfectan con frecuencia.Esta configuración da lugar a una media de entre 20 y 25 consultas al día porequipo.

Muy alto McAfee recomienda utilizar este nivel solamente para analizar volúmenes ydirectorios que no admitan la ejecución de programas ni sistemas operativos.

Las detecciones encontradas con este nivel son supuestamentemalintencionadas, pero no se han comprobado totalmente para confirmar queno se trata de falsos positivos.

Utilice esta configuración para análisis bajo demanda en volúmenes desistemas que no se encuentren en funcionamiento.


Véase también Página Threat Prevention — Análisis en tiempo real en la página 109Página Threat Prevention — Análisis bajo demanda en la página 112Web Control — Opciones en la página 130

AccionesEspecifica cómo responde el analizador al detectar una amenaza.

Tabla 6-17

Sección Opción Definición Tipo de análisis

Análisis entiempo real

Análisis bajodemanda

Primera respuesta al detectar unaamenaza

Especifica la primera acción que desea que realice el analizador aldetectarse una amenaza.

Negar el acceso alos archivos

Impide que los usuarios accedan aarchivos con amenazas potenciales.

X

6 Referencia a la interfaz de clienteAcciones






Continuar con elanálisis

Continúa con el análisis de archivoscuando se detecta una amenaza. Elanalizador no pone elementos encuarentena.

X

Limpiar archivos Quita la amenaza del archivodetectado, si es posible.

X X

Eliminar archivos Elimina los archivos con amenazaspotenciales.

X X

Si la primera respuesta falla Especifica la acción que desea que realice el analizador al detectarse unaamenaza si la primera acción no resuelve el problema.



X



X

Eliminar archivos Elimina los archivos con amenazaspotenciales.

X X

Primera respuesta al detectarprograma no deseado

Especifica la primera acción que el analizador debe realizar al detectarseun programa potencialmente no deseado.

Esta opción solo está disponible si se ha seleccionado Detectar programas nodeseados.



X

Permitir el accesoa los archivos

Permite que los usuarios accedan aarchivos con amenazas potenciales.

X



X

Limpiar archivos Quita la amenaza del archivo deprograma potencialmente nodeseado, si es posible.

X X

Eliminar archivos Quita archivos de programaspotencialmente no deseados.

X X

Si la primera respuesta falla Especifica la acción que el analizador debe realizar al detectarse unprograma potencialmente no deseado si la primera acción no resuelve elproblema.

Esta opción solo está disponible si se ha seleccionado Detectar programas nodeseados.



X

Permitir el accesoa los archivos

Permite que los usuarios accedan aarchivos con amenazas potenciales.

X

Referencia a la interfaz de clienteAcciones 6








X

Eliminar archivos Elimina automáticamente archivosde programas potencialmente nodeseados.

X X

Véase también Página Threat Prevention — Análisis en tiempo real en la página 109Página Threat Prevention — Análisis bajo demanda en la página 112

Agregar o Editar exclusionesAgrega o edita una definición de exclusión.

Tabla 6-18


En tiemporeal

Bajo demanda

Qué excluir Especifica el tipo de exclusión y los detalles de la misma.

Patrón Especifica el patrón que excluir.Seleccione Excluir también subcarpetas si esnecesario.

X X

Tipo de archivo Especifica tipos de archivo(extensiones de archivo) que excluir.

X X

Antigüedad delarchivo

Especifica el tipo de acceso (Modificado,Acceso realizado o Creado) de los archivosque excluir y la Antigüedad mínima en días.

X X

Cuándoexcluir

Especifica cuándo excluir el elemento seleccionado.

Al escribir o leerdel disco

Excluye del análisis cuando los archivosse escriban o lean en el disco u otrodispositivo de almacenamiento dedatos.

X

Al leer del disco Excluye del análisis cuando los archivosse lean en el equipo u otro dispositivode almacenamiento de datos.

X

Al escribir en eldisco

Excluye del análisis cuando los archivosse escriban o modifiquen en el disco uotro dispositivo de almacenamiento dedatos.

X

Véase también Página Threat Prevention — Análisis en tiempo real en la página 109Página Threat Prevention — Análisis bajo demanda en la página 112

6 Referencia a la interfaz de clienteAgregar o Editar exclusiones


La página Threat Prevention — OpcionesConfigura los parámetros que se aplican a la función Threat Prevention, como cuarentena, programaspotencialmente no deseados y exclusiones.


Esta secciónsolo incluye opciones avanzadas.

Tabla 6-19


Administrador decuarentena

Directorio decuarentena

Especifica la ubicación de la carpeta de cuarentena o acepta laubicación predeterminada:c:\En cuarentena

Especifique el númeromáximo de días que seguardarán los datos encuarentena

Especifica el número de días (entre 1 y 999) que se guardan loselementos en cuarentena antes de eliminarlosautomáticamente. El valor predeterminado es 30 días.

Exclusiones pornombre dedetección

Excluir estos nombresde detección

Especifica exclusiones de detección por nombre de detección.Por ejemplo, para especificar que los analizadores en tiemporeal y bajo demanda no detecten amenazas de Comprobaciónde instalación, introduzca Comprobación de instalación.

Agregar Agrega un nombre de detección a la lista deexclusión.Haga clic en Agregar, a continuación introduzca elnombre de detección.

Eliminar Quita un nombre de detección de la lista deexclusiones.Seleccione el nombre y haga clic en Eliminar.

Detecciones deprogramaspotencialmente nodeseados

Excluir los programasno deseadospersonalizados

Especifica los archivos o programas individuales que seconsideran programas potencialmente no deseados.

Los analizadores detectan tanto los programas que especifiquecomo los especificados en los archivos de AMCore content.

El analizador no detecta un programa no deseado de cerobytes definido por el usuario.

Agregar Define un programa no deseado personalizado.Haga clic en Agregar, introduzca el nombre y pulse latecla Tab para introducir la descripción.

• Nombre Especifica el nombre de archivo delprograma potencialmente no deseado.

• Descripción: especifica la información que semostrará como nombre de detección cuando seproduzca una detección.

Eliminar Quita de la lista un programa potencialmente nodeseado.Seleccione el programa de la lista y haga clic enEliminar.

Referencia a la interfaz de clienteLa página Threat Prevention — Opciones 6


Véase también Configurar parámetros de análisis comunes en la página 60

Revertir AMCore contentCambia AMCore content a una versión anterior.

Opción Definición

Seleccione la versiónque cargar

Especifica el número de versión de un archivo de AMCore content anterior quehay que cargar.Endpoint Security conserva las dos versiones previas en el sistema cliente.

Cuando cambia a una versión anterior, Endpoint Security elimina la versión actualde AMCore content del sistema.

Véase también Cambiar versión de AMCore content en la página 25

Firewall: OpcionesActiva y desactiva el módulo Firewall y configura las opciones de protección.


El modo de interfaz para Endpoint Security Client se debe establecer en Acceso total o se debe haberiniciado sesión como administrador.

Tabla 6-21


Activar Firewall Activa y desactiva el módulo Firewall.

Opciones deprotección

Permitir tráfico deprotocolosincompatibles

Permite el tráfico que usa protocolos no admitidos. Si esta opciónestá desactivada, todo el tráfico que use protocolos no admitidos sebloqueará.

Permitir tráfico salientehasta que los serviciosde firewall se hayaniniciado

Permite el tráfico saliente, pero no el tráfico entrante, hasta que elservicio Firewall se haya iniciado.Si se desactiva esta opción, Firewall permite todo el tráfico antes deiniciar los servicios.

Permitir tráficomediante puentes

Permite el tráfico con una dirección MAC local.La dirección MAC es una dirección en la lista VM que es compatiblecon Firewall, no la dirección MAC del sistema local. Use esta opciónpara permitir el tráfico a través de un entorno de puente conmáquinas virtuales.

Activar la proteccióncontra falsificación dedirecciones IP

Bloquea el tráfico de red de direcciones IP no locales del host, o delos procesos locales que intenten falsificar sus direcciones IP.

6 Referencia a la interfaz de clienteRevertir AMCore content




Activar alertas deintrusión de firewall

Muestra las alertas automáticamente cuando Firewall detecta unataque potencial.

Bloqueo deDNS

Nombre de dominio Define nombres de dominio a bloquear.Cuando se la aplica, esta configuración de agrega una regla cerca dela parte superior de las reglas de firewall que bloquea las conexionesa las direcciones IP que se resuelven en los nombres de dominio.

Agregar Agrega un nombre de dominio a la lista de bloqueados.Puede usar los caracteres comodín * y ?. Por ejemplo,*dominio.com.

Separe las direcciones URL entre sí con una coma (,) oretorno de carro.

Las entradas duplicadas se eliminan automáticamente.

Eliminar Elimina el nombre de dominio seleccionado de la lista debloqueados.



Opciones deajuste

Activar el modo deadaptación

Crea reglas automáticamente para permitir el tráfico.

Active esta opción temporalmente cuando esté configurando undespliegue.

Registrar todo el tráficobloqueado

Incluye todo el tráfico bloqueado en el registro de eventos deFirewall (FirewallEventMonitor.log) en el Endpoint Security Client.(Activada de forma predeterminada)

Registrar todo el tráficopermitido

Incluye todo el tráfico permitido en el registro de eventos deFirewall (FirewallEventMonitor.log) en el Endpoint Security Client.(Desactivada de forma predeterminada)

Activar esta opción puede tener un efecto negativo en elrendimiento.

Reputación dered McAfee GTI

Enviar eventos deMcAfee GTI al servidor

Envía eventos al servidor McAfee ePO si la configuración delumbral de bloqueo McAfee GTI para el tráfico entrante o salienteregistra coincidencias.(Desactivada de forma predeterminada)

Cualquier dirección IP de una red de confianza queda excluida dela búsqueda de McAfee GTI.

Referencia a la interfaz de clienteFirewall: Opciones 6




Umbral de reputación dered saliente/entrante

Especifica el umbral de riesgo de McAfee GTI a partir del cual debebloquearse el tráfico entrante o saliente desde una conexión dered.

No bloquear Este sitio web es una fuente o destino legítimo decontenido/tráfico.

Alto riesgo Este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que McAfeeconsidera de riesgo.

Riesgo medio Este origen/destino muestra un comportamientoque McAfee considera sospechoso. Cualquiercontenido/tráfico procedente del sitio web requiereun escrutinio especial.

Sin verificar Este sitio web parece ser una fuente o destinolegítimo de contenido/tráfico, pero también muestraalgunas propiedades que sugieren la necesidad deuna inspección adicional.

Firewall conseguimiento deestado

Número de segundos (1a 240) antes de que laconexión TCP agote eltiempo de espera

Especifica el tiempo en segundos en el que sigue activa unaconexión TCP no establecida si no se envían ni reciben máspaquetes que coincidan con la conexión. El valor predeterminadoes 30; el intervalo válido es de 1 a 240.

Número de segundos (1a 300) antes de que lasconexiones virtuales deeco UDP e ICMP agotenel tiempo de espera

Especifica el tiempo en segundos en el que sigue activa unaconexión virtual de eco UDP o IMCP si no se envían ni reciben máspaquetes que coincidan con la conexión. Esta opción restablece elvalor configurado cada vez que se envía o recibe un paquete quecoincida con la conexión virtual. El valor predeterminado es 30; elintervalo válido es de 1 a 300.

Véase también Configurar Firewall opciones en la página 64

Página Firewall, ReglasAdministra reglas y grupos de firewall.

Solo puede agregar y eliminar reglas y grupos en el grupo Usuario agregado.

Tabla 6-23

Sección Opción Definición Regla Grupo

REGLAS Agregar regla Agrega una regla de firewall.Consulte PáginaAgregar o Editar reglas y grupos en la página125 para obtener más información.

X

Agregar grupo Agrega un grupo de firewall. X

Duplicar Crea una copia del elemento seleccionado. X X

Eliminar Elimina un elemento de firewall seleccionado. X X

Indica elementos que pueden moverse en la lista.Seleccione elementos y arrástrelos hasta la nueva ubicación.Una línea azul aparece entre elementos allí donde puedacolocar los elementos arrastrados.

X X

6 Referencia a la interfaz de clientePágina Firewall, Reglas


Véase también Creación y administración de directivas y grupos de Firewall en la página 72PáginaAgregar o Editar reglas y grupos en la página 125

PáginaAgregar o Editar reglas y gruposAgrega o edita reglas y grupos de firewall.

Tabla 6-24


Descripción Nombre Especifica el nombre descriptivo del elemento (obligatorio). X X

Estado Activa o desactiva el elemento. X X

Especificaracciones

Permitir: permite el tráfico a través del firewall si el elementocoincide.

X

Bloquear: impide el tráfico a través del firewall si el elementocoincide.

X

Tratar la coincidencia como una intrusión: el tráfico que coincide conla regla se trata como un ataque y se genera un evento quese envía al servidor McAfee ePO. Para que se genere unevento, se debe seleccionar la acción Bloquear.

X

Registrar el tráfico coincidente: guarda un registro del tráficocoincidente en el registro de actividades de Firewall enEndpoint Security Client.

X

Dirección Especifica la dirección:• En: supervisa el tráfico entrante.

• Salida: supervisa el tráfico saliente.

• Cualquiera: supervisa tanto el tráfico entrante como elsaliente.

X X

Notas Proporciona más información sobre el elemento. X X

Ubicación Activardetección deubicación

Activa o desactiva la información de ubicación para el grupo. X

Nombre Especifica el nombre de la ubicación (obligatorio). X

Referencia a la interfaz de clientePágina Firewall, Reglas 6




Activaraislamiento deconexión

Bloquea el tráfico en los adaptadores de red que no coincidancon el grupo cuando haya un adaptador que sí coincida conél.

La configuración de Transporte y Ejecutables no está disponiblepara grupos de aislamiento de conexión.

Uno de los usos de esta opción consiste en bloquear el tráficogenerado por fuentes potencialmente no deseadas fuera de lared corporativa y evitar que acceda a ella. Solo se puedebloquear el tráfico de esta manera si no hay una reglaanterior al grupo en el firewall que sí le permita el acceso.

Cuando el aislamiento de conexión se activa y una tarjeta deinterfaz de red coincide con el grupo, el tráfico se permiteúnicamente en estos casos:

• El tráfico coincide con una regla Permitir anterior al grupo.

• El tráfico que se mueve por una tarjeta de interfaz de redcoincide con el grupo y hay una regla en dicho grupo (oposterior a este) que permite el tráfico.

Si no hay ninguna tarjeta de interfaz de red que coincida conel grupo, este se omitirá y se proseguirá con la coincidenciade reglas.

X

Requerir queePolicyOrchestratorsea accesible

Permite al grupo que coincida solamente si hay comunicacióncon el servidor McAfee ePO y se ha resuelto el nombre dedominio completo del servidor.

X

Criterios deubicación Sufijo DNS específico

de conexiónEspecifica un sufijo DNS específico de laconexión en el formato: ejemplo.com.

Gatewaypredeterminada

Especifica una dirección IP única parauna gateway predeterminada enformato IPv4 o IPv6.

Servidor DHCP Especifica una dirección IP única paraun servidor DHCP en formato IPv4 oIPv6.

Servidor DNS Especifica una dirección IP única paraun servidor de nombre de dominio enformato IPv4 o IPv6.

WINS principal Especifica una dirección IP única paraun servidor WINS principal en formatoIPv4 o IPv6.

WINS secundario Especifica una dirección IP única paraun servidor WINS en formato IPv4 oIPv6.

Accesibilidad deldominio

Comprueba si el dominio especificadoes accesible.

Por ejemplo:

• IPv4: 123.123.123.123• IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7





Clave deRegistro

Especifica la clave de Registro y el valor de Registro.1 En el primer campo, introduzca una clave de Registro con el

formato:<ROOT>\<KEY>\[VALUE_NAME]• En <ROOT>, debe utilizar el nombre completo de la raíz,

como por ejemplo HKEY_LOCAL_MACHINE y no laabreviación HKLM.

• <KEY> es el nombre de clave bajo la raíz.

• [VALUE_NAME] es el nombre del valor de clave. Si nose incluye el nombre del valor, se presupone que tiene elvalor predeterminado.

2 En el segundo campo después del signo igual introduzca losdatos del valor de clave.

Para copiar una clave de Registro para pegar, haga clic conel botón derecho sobre una clave del Editor del registro(ejecute regedit) y seleccione Copiar nombre de clave.

X

Redes Especifica las opciones de host de red host que se aplican alelemento.

X X

Protocolo dered

Especifica el protocolo de red que se aplica al elemento. X X

Cualquierprotocolo

Permite tanto protocolo IP como protocolo distinto de IP.

Si se especifica un protocolo de transporte o una aplicación,solo se admiten protocolos IP.

X X

Protocolo IP Excluye cualquier protocolo distinto de IP.• Protocolo IPv4

• Protocolo IPv6

Si no se activa ninguna casilla, se aplica cualquier protocoloIP. Se puede seleccionar tanto IPv4 como IPv6.

X X

Protocolodistinto de IP

Solo incluye protocolos distintos de IP.• Seleccionar etherType de la lista: especifica un etherType.

• Especificar etherType personalizado: especifica los cuatrocaracteres de valor hexadecimal Ethertype del protocolodistinto de IP. Consulte los números de Ethernet para verlos valores EtherType. Por ejemplo, escriba 809B paraAppleTalk, 8191 para NetBEUI u 8037 para IPX.

X X

Tipos deconexión

Indica si se aplica uno o todos los tipos de conexión:• Con cable

• Inalámbrico

• Virtual

Una conexión de tipo Virtual es un adaptador presentadopor un VPN o una aplicación de máquina virtual, comoVMware, en lugar de un adaptador físico.

X X



http://www.iana.org/assignments/ethernet-numbers



Especificarredes

Especifica las redes que se aplican al elemento.• Agregar: crea y agrega una red.

Consulte Agregar redes Página en la página 129 paraobtener más información.

• Importar: importa una lista de nombres de red de un archivoxml.

• Eliminar: elimina la red de la lista.

X X

Transporte Especifica las opciones de transporte que se aplican alelemento.

Protocolo detransporte

Especifica el protocolo de transporte asociado al elemento.Seleccione el protocolo, haga clic en Agregar para agregarpuertos.

Todos losprotocolos

Permite protocolos IP, distintos de IP y noadmitidos.

TCP y UDP Seleccione en el elemento desplegable:• Puerto local: especifica el puerto o servicio de

tráfico local al que se aplica el elemento.

• Puerto remoto: especifica el puerto o serviciode tráfico en otro equipo al que se aplica elelemento.

Puerto local y Puerto remoto pueden ser:

• Un único servicio. Por ejemplo, 23.

• Un intervalo. Por ejemplo, 1–1024.

• Una lista separada por comas con lospuertos individuales y los intervalos depuertos. Por ejemplo, 80, 8080, 1–10, 8443(hasta cuatro elementos).

De manera predeterminada, las reglas seaplican a todos los servicios y puertos.

ICMP eICMPv6

En el elemento desplegable Tipo de mensaje,especifique un tipo de mensaje ICMP:• ICMP

• ICMPv6

Otros Selecciona de una lista de protocolos menoscomunes.

X X

Ejecutables Especifica las ejecutables que se aplican a la regla.• Agregar: crea y agrega una ejecutable.

Consulte Agregar o Editar ejecutables Página en la página129 para obtener información.

• Importar: importa una lista de nombres de ejecutables de unarchivo xml.

• Eliminar: elimina una ejecutable de la lista.



http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml

Véase también Creación y administración de directivas y grupos de Firewall en la página 72Agregar redes Página en la página 129Agregar o Editar ejecutables Página en la página 129

Agregar o Editar ejecutables PáginaAgrega y edita un ejecutable asociado a una regla o grupo, o agrega un ejecutable al Catálogo deFirewall.

Tabla 6-25

Opción Definición Regla Grupo

Nombre Especifica el nombre que le da al ejecutable. X X

Ruta de archivo Especifica la ruta de archivo del ejecutable que agregar o editar.Haga clic en Examinar para seleccionar el ejecutable.

La ruta del archivo puede incluir caracteres comodín.

X X

Descripción del archivo Indica la descripción del archivo.

Este campo se completa automáticamente al seleccionar unejecutable.

X X

Huella digital Indica el hash MD5 del proceso.

Este campo se completa automáticamente al seleccionar unejecutable.

X X

Activar comprobaciónde firma digital

Activa o desactiva la comprobación de firma digital que garantizaque el código no se ha alterado o dañado desde que se firmó conun hash criptográfico.Si está activado, especifique:

• Permitir cualquier firma: permite los archivos firmados por cualquierfirmante de proceso.

• Firmado por: permite solo los archivos firmados por el firmante deproceso especificado.

X X

Agregar redes PáginaAgrega o edita una red asociada a una regla o grupo, o agrega una red al Catálogo de Firewall.

Tabla 6-26


Nombre Especifica el nombre de la dirección de la red (obligatorio). X X

Tipo Selecciona una de esta opciones:• Red local: crea y agrega una red local.

• Red remota: crea y agrega una red remota.

X X

Agregar Agrega un tipo de red a la lista de redes. X X

Eliminar Elimina el elemento seleccionado. X X





Tipo de red Especifica el origen o destino del tráfico. Seleccione en la lista desplegableTipo de dirección.Consulte Tipo de dirección en la página 130 para la lista de tipos dedirección.

X X

Dirección Especifica la dirección IP que agregar a la red.

Se aceptan caracteres comodín.

X X

Véase también Tipo de dirección en la página 130

Tipo de direcciónEspecifica el tipo de dirección.

Tabla 6-27 Definiciones de opciones

Opción Definición

Dirección IP única Especifica una dirección IP concreta. Por ejemplo:• IPv4: 123.123.123.123• IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Subred Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo:• IPv4: 123.123.123.0/24• IPv6: 2001:db8::0/32

Subred local Especifica la dirección de subred del adaptador local.

Intervalo Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final delintervalo. Por ejemplo:• IPv4: 123.123.1.0 – 123.123.255.255• IPv6: 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff

Nombre de dominiocompleto

Especifica el nombre de dominio completo. Ejemplo: www.ejemplo.com.

Web Control — OpcionesEstablece la configuración general de Web Control, que incluye activar, especificar implementación deacciones, Búsqueda segura, y anotaciones de correo electrónico.


6 Referencia a la interfaz de clienteWeb Control — Opciones


Tabla 6-28


OPCIONES Activar para Web Control Activa o desactiva Web Control. (Activada de formapredeterminada)

Ocultar la barra deherramientas en elnavegador del cliente

Oculta la barra de herramientas de Web Control en elnavegador sin desactivar su funcionalidad. (Desactivada deforma predeterminada)Use esta opción para resolver problemas de compatibilidad deterceros.

Registro deeventos

Registrar categorías webpara sitios web concalificación verde

Registra categorías de contenido para todos los sitios web concalificación verde.

Activar esta función podría afectar negativamente alrendimiento del servidor McAfee ePO.

Registrar eventos deiFrame de Web Control

Registra cuando se bloquea el acceso a sitios web maliciosos(rojos) y advierte de sitios web (amarillos) que aparecen en uniframe de HTML.

Implementaciónde acciones

Aplicar esta acción a sitiosaún no verificados porMcAfee GTI

Especifica la acción predeterminada que aplicar a sitios web queMcAfee GTI todavía no ha calificado.

Use la configuración de Mensajes de implementación parapersonalizar el mensaje.

Permitir(Predeterminado)

Permite que los usuarios tengan accesoal sitio web.

Advertir Muestra una advertencia que informa alos usuarios sobre los peligrospotenciales asociados con el sitio web.Los usuarios deben descartar laadvertencia antes de continuar.

Bloquear Evita que los usuarios tengan acceso alsitio web y muestra un mensaje queindica que las descargas estánbloqueadas.

Permitir compatibilidadcon iframe de HTML

Bloquea el acceso a sitios web maliciosos (rojos) y advierte desitios web (amarillos) que aparecen en un iframe HTML.(Activada de forma predeterminada)

Bloquea sitios de formapredeterminada si elservidor de calificacionesMcAfee GTI no estáaccesible

Bloquea el acceso a sitios web de forma predeterminada si WebControl no puede acceder al servidor McAfee GTI.

Bloquear páginas dephishing para todos lossitios

Bloquea todas las página de phishing, independientemente delas acciones de calificaciones de contenido. (Activada de formapredeterminada)

Referencia a la interfaz de clienteWeb Control — Opciones 6




Permitir análisis dearchivos para lasdescargas de archivos

Analiza todos los archivos (incluidos archivos .zip) antes dedescargar. (Activada de forma predeterminada)Esta opción impide que los usuarios accedan a un archivodescargado hasta que Threat Prevention lo marque comolimpio.

Los archivos descargados se envían a Threat Prevention para elanálisis. Threat Prevention realiza una búsqueda McAfee GTIdel archivo. Si un archivo descargado se identifica como unaamenaza, Endpoint Security realiza una acción en el archivo yalerta al usuario.

Especificar nivel McAfeeGTI de riesgo quebloquear

Especifica el nivel de riesgo de McAfee GTI que bloquearcuando la función de análisis bajo demanda de ThreatPrevention no está instalada y activada.Consulte McAfee GTI en la página 117para obtener información.

Web Control usa el nivel de riesgo para calcular la calificacióncuando recupera la reputación de suma de comprobación deMcAfee GTI.

Intervalo de direcciones IPprivadas

Configura Web Control para que no califique o actúe en elintervalo de direcciones IP privadas especificado.

Agregar Agrega una dirección IP privada a la lista dedirecciones que excluir de la calificación o el bloqueo.

Eliminar Elimina una dirección IP de la lista de direcciones aexcluir de la calificación o el bloqueo.

Búsqueda segura Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente lossitios web maliciosos de los resultados de búsqueda según sucalificación de seguridad.

Establezca el motor debúsqueda predeterminadoen los navegadorescompatibles

Especifica el motor de búsqueda predeterminado en losnavegadores compatibles:• Yahoo

• Google

• Bing

• Ask

Bloquear vínculos a sitiospeligrosos en losresultados de la búsqueda

Evita que los usuarios hagan clic en vínculos a sitios webpeligrosos en los resultados de la búsqueda.



Anotaciones de correoelectrónico

Activar anotaciones en correoelectrónico basado en navegador

Anota direcciones URL en clientes de correoelectrónico basados en el navegador (p. ej. YahooMail y Gmail).

Activar anotaciones en clientes decorreo electrónico no basados en Web

Anota direcciones URL en herramientas deadministración de correo electrónico de 32 bits,como Microsoft Outlook o Outlook Express.

Véase también Configurar opciones de Web Control en la página 84McAfee GTI en la página 117

6 Referencia a la interfaz de clienteWeb Control — Opciones


Web Control: Acciones según contenidoDefine las acciones a tomar para los sitios web calificados y las categorías de contenido web.

Para los sitios web y descargas de archivos en las categorías no bloqueadas, Web Control aplica lasacción de calificación.

Tabla 6-31


Acciones decalificación

Acciones decalificación parasitios

Especifica acciones para sitios web que estén calificados como rojo,amarillo o sin calificar.

Los sitios web y las descargas con calificación verde se permitenautomáticamente.

Permitir Permite que los usuarios tengan acceso al sitio web.(Predeterminado para sitios web Sin calificar)

Advertir Muestra una advertencia que informa a los usuarios sobrelos peligros potenciales asociados con el sitio web. Losusuarios deben descartar la advertencia antes de poderacceder al sitio web o cancelar el acceso. (Predeterminadopara sitios web Amarillos)

Bloquear Evita que los usuarios tengan acceso al sitio web y muestraun mensaje que indica que el sitio web está bloqueado.(Predeterminado para sitios web Rojos)

Acciones decalificación paradescargas dearchivos

Especifica acciones para sitios web que estén calificados como rojo,amarillo o sin calificar.

Permitir Permite que los usuarios continúen con la descarga.(Predeterminado para sitios web Sin calificar)

Advertir Muestra una advertencia que informa a los usuarios sobrelos peligros potenciales asociados con la descarga delarchivo. Los usuarios deben descartar la advertencia parafinalizar o continuar la descarga. (Predeterminado parasitios web Amarillos)

Bloquear Evita que los usuarios descarguen el archivo y muestra unmensaje que indica que la descarga se ha bloqueado.(Predeterminado para sitios web Rojos)

Use la configuración de Mensajes de implementación para personalizarel mensaje.



Bloqueo decategorías web

Activar bloqueo decategorías web

Activa el bloqueo de sitios web basado en la categoría decontenido.Las primeras 7 categorías se consideran de alto riesgo y seactivan de forma predeterminada. Las categorías subsiguientesaparecen en orden alfabético y se desactivan de formapredeterminada.

Bloquear Evita que los usuarios tengan acceso a cualquier sitio web en estacategoría y muestra un mensaje que indica que el sitio web estábloqueado.

Categorías web Lista las categorías web, de la de mayor riesgo a la de menor.

Referencia a la interfaz de clienteWeb Control: Acciones según contenido 6


Véase también Especifique acciones de calificación y bloquee el acceso a sitios web según la categoría web enla página 87Uso de calificaciones de seguridad para controlar el acceso en la página 88Uso de categorías web para el control de acceso en la página 87

6 Referencia a la interfaz de clienteWeb Control: Acciones según contenido


Índice

Aacciones, Threat Prevention

especificar qué sucede cuando se descubre una amenaza50, 55

permitir que los usuarios limpien y eliminen archivosinfectados 50, 55

programas no deseados 45

realizar en elementos en cuarentena 39

actualizacionesBotón Actualizar ahora, Endpoint Security Client 20

cancelar 20

configurar sitios para las actualizaciones 32

actualizaciones bajo demanda, véase actualizaciones manuales,ejecutar

actualizaciones de productosbuscar manualmente 20

programación 33

actualizaciones de softwarebuscar manualmente 20

programación 33

actualizaciones manuales, ejecutar 20

actualizaciones, Endpoint Securityconfigurar el comportamiento 31

planificar desde el cliente 33

actualizaciones, Threat Preventionarchivos de contenido 8archivos Extra.DAT 26

buscar manualmente 20

descripción general 9planificación automática 33

tarea Actualización de cliente predeterminado, acerca de 33

Actualizar página 20

adaptadores de red, permitir conexión 68

administradorescontraseña 24

contraseña predeterminada 11

definición 8iniciar sesión en Endpoint Security Client 24

adware, acerca de 41

alertas, Firewall 10

alertas, Threat Preventiondescripción general de análisis bajo demanda 55

descripción general de análisis en tiempo real 51

amenazasadministrar detecciones 39

aplicaciones de la Tienda Windows 51, 55

archivos de AMCore content 9Carpeta de cuarentena 39

detecciones durante el análisis 38

infracciones de puntos de acceso 48

obtener información adicional de McAfee Labs 39

proceso de Protección de acceso 48

responder a detecciones 18

tipos 41

y calificaciones de seguridad 80

ampliaciones, componentes de software cliente 8análisis

análisis con el botón derecho del ratón 38

aplazar, pausar, reanudar y cancelar 19

ejecución desde Endpoint Security Client 36

parámetros comunes para análisis en tiempo real y bajodemanda 60

planificación con Endpoint Security Client 60

responder a avisos 19

tipos 35

usar caracteres comodín en exclusiones 44

Web Control 86

análisis bajo demandaacerca de 35

análisis con el botón derecho del ratón 38

Análisis de Almacenamiento remoto 59

analizar archivos o carpetas 38

aplazar 57

archivos de registro 22

configurar 60

descripción general 55

ejecutar Análisis completo o Análisis rápido 36

excluir elementos 42

impacto cero 57

programas potencialmente no deseados, activar detección45

responder a avisos 19

utilización del sistema 59

Análisis completoacerca de 35

configurar 55


planificación en el cliente 60


Análisis con el botón derecho del ratónacerca de 35

analizar desde el Explorador de Windows 38

configurar 55

análisis de Almacenamiento remoto, descripción general 59

análisis de impacto cero 57

análisis del sistema, tipos 35

análisis en tiempo realacerca de 35

análisis de scripts 51


configurar 50, 60


detecciones de tareas 18

escribir en disco frente a leer en el disco 51


número de directivas de análisis 54

optimización con lógica de confianza 51

programas potencialmente no deseados, activar detección45

ScriptScan 51

análisis incrementales 57

análisis manualesacerca de tipos de análisis 35

ejecución desde Endpoint Security Client 36, 38

Análisis rápidoconfigurar 55



tipos de análisis 35

análisis reanudables, véase análisis incrementales análisis, bajo demanda

Análisis de Almacenamiento remoto 59

aplazar 57

configurar 55


detección de amenazas en las aplicaciones de la TiendaWindows 55

ejecutar solo cuando el sistema esté inactivo 57


impacto cero 57


utilización del sistema 59

análisis, en tiempo realconfigurar 50


detección de amenazas en las aplicaciones de la TiendaWindows 51

detecciones de tareas, responder a 18


número de directivas 54

optimización con lógica de confianza 51

ScriptScan 51

analizar página, mostrar 18, 36

aplazamiento de análisis, descripción general 57

aplicaciones de la Tienda Windows, detección de amenazas 51,55

aplicaciones, Tienda Windows 51, 55

archivosadministración en la cuarentena 39


caracteres comodín en exclusiones de análisis 44

configuración para cuarentena 60

configurar archivos de registro 28

ejecución de análisis 38

excluir de análisis tipos específicos 42

impedir que se modifiquen 28

registros de Endpoint Security Client 21

archivos de AMCore contentacerca de firmas y actualizaciones 9archivos Extra.DAT 26

descripción general de análisis bajo demanda 55


Archivos de AMCore contentacerca de 8cambio de versión 25

archivos de contenidoacerca de 8archivos Extra.DAT 26

cambio de versión de AMCore 25

comprobar si hay actualizaciones de forma manual 20



planificar actualizaciones 33

y detecciones 18

archivos de definiciones de detección, véase archivos decontenido

archivos de registroconfigurar 28

errores de actualización 20

ubicaciones 22

ver 21

archivos Extra.DATacerca de 26

archivos de AMCore content 9cargar 27

descargar 26



usar 26

archivos, contenidoarchivos Extra.DAT 26

cambio de versión de AMCore content 25

cargar archivos Extra.DAT 27



Extra.DAT y AMCore 9firmas y actualizaciones 9Prevención de exploits 9uso de archivos Extra.DAT 26

archivos, especificar opciones de análisis 50, 55

Índice


ataques basados en montón, vulnerabilidades dedesbordamiento del búfer 49

ataques basados en pila, vulnerabilidades de desbordamientodel búfer 49

ataques, vulnerabilidades de desbordamiento del búfer 49

autogestionado, acerca de 20

Autoprotección, configurar 28

avisos, Endpoint Securityacerca de 10

responder a análisis 19

Windows 8 18

Ayuda, mostrar 11, 18

BBloquear interfaz de cliente

al abrir Endpoint Security Client 17

desbloquear la interfaz 24

y configuración de directiva 13

botónAnalizar ahora 36

Ver análisis 36

Ver detecciones 39

Botón Analizar ahora 36

Botón Ver análisis 36

Botón Ver detecciones 39

botones, Web Control 78

bromas, acerca de 41

Búsqueda segura, configurar Web Control 84

búsquedasbloquear vínculos a sitios peligrosos en los resultados 84

iconos de seguridad 79

Ccaché de análisis

análisis bajo demanda 55

análisis en tiempo real 51

caché de análisis globalanálisis bajo demanda 55


caché, análisis globalanálisis bajo demanda 55


calificación, Web Control, véase calificaciones de seguridad calificaciones de seguridad

configurar acciones para sitios web y descargas 87

controlar el acceso a sitios web 88


Web Control y 77

calificaciones, seguridad, véase calificaciones de seguridad caracteres comodín

usar en reglas de firewall 73

utilización en exclusiones de análisis 44

carpetasadministración en la cuarentena 39


carpetasconfiguración para cuarentena 60


categorías de contenido, véase categorías web categorías web, bloqueo o advertencia de acceso según 87

Chromebotones de Web Control 78

mostrar menú de opciones de Web Control 81

navegadores compatibles 77, 81

clasificaciones de seguridadcómo se obtienen las clasificaciones de sitios web 80

cliente, véase Endpoint Security Client cliente de protección de McAfee, véase Endpoint Security Client cliente McAfee, véase Endpoint Security Client colores, botones de Web Control 78

configuraciónactualizaciones, configuración para 31

sitios de origen, configurar 32

configuración de acción según contenidoWeb Control 87, 88

configuración de procesos, análisis bajo demanda 59

configuración, Threat Preventionanálisis bajo demanda 45


configurar programas potencialmente no deseados 45

función Protección de acceso 46

configuración, Web Controlcontrol de acceso con calificaciones de seguridad 88

control de acceso con categorías web 87

controlar acceso a sitios web 87

contraseña predeterminada, Endpoint Security Client 11

contraseñasadministrador 24

administrador predeterminado 11

configurar seguridad cliente 29

controlar acceso al cliente 29

copias de seguridad, especificar opciones de análisis 50, 55

crackers de contraseñas, acerca de 41

credenciales, administrador predeterminado 11

Cuarentena, Threat Preventionconfigurar parámetros de ubicación y retención 60

cuentas de usuario, controlar acceso al cliente 29

Ddescargas de archivos

análisis con Threat Prevention 86

bloquear desde sitios web desconocidos 84

bloqueo o advertencia de acceso según calificaciones 87

deteccionesadministrar 36, 39

excluir por nombre 60

informar a un servidor de administración 8mostrar mensajes a usuarios 50, 55

nombres 41

responder a 18

Índice


detecciones (continuación)tipos 36, 38

direcciones IPgrupos de reglas 68

grupos que detectan la ubicación 68

direcciones URLexcluir del análisis de secuencia de comandos 50

Direcciones URLbloquear desconocidos 84

directivasacceso a Endpoint Security Client 13

definición 8funciones cliente 9

directivas, Commonconfigurar 27

directivas, Threat Preventionanálisis bajo demanda, aplazar 57


parámetros de análisis comunes 60

dominios, bloqueo 64

EEndpoint Security

administrar 24

Endpoint Security Clientabrir 10, 17

acerca de 11

actualizar protección 20

administrar detecciones de amenazas 39

Análisis completo y Análisis rápido, planificación 60

análisis del sistema 35

analizar en busca de malware 35

configuración de directiva 13

configuración de seguridad 29

configurar sitios para las actualizaciones 32

desbloquear la interfaz 24


iniciar sesión como administrador 24

interacción con 9módulos 14

mostrar Ayuda 18

mostrar información de protección 19

proteger con una contraseña 29

registros, acerca de 22

Resumen de amenazas 12

tarea Actualización de cliente predeterminado, acerca de 33

tarea Actualización de cliente predeterminado, configurar31

tarea Actualización de cliente predeterminado, planificación33

tipo de administración 8, 19

ver el Registro de eventos 21

Endpoint Security, cómo protege su equipo 8errores, actualización 20

Escritorio remoto, y función de análisis durante inactividad 57

estado, Endpoint Security, mostrar con icono de McAfee de labandeja del sistema 10

eventos, rastrear eventos de navegador de Web Control 84

evitar análisis 51

exclusionesanálisis bajo demanda, especificar 55

análisis en tiempo real, especificar archivos, carpetas yunidades 50

especificar URL para ScriptScan 50

nombre de detección 60

usar caracteres comodín 44

exploitsbloquear desbordamientos del búfer 49

cómo se producen los exploits de desbordamiento del búfer49

FFirefox

mostrar menú de opciones de Web Control 81


probar problemas de comunicación 83

Firewallacerca de 7administración de directivas y grupos 72

administrar 63

alertas de intrusos 10


bloqueo del tráfico DNS 64

cómo funciona 63

cómo funcionan las reglas de firewall 66

desactivar y activar protección 64

Endpoint Security Client 14

grupos con detección de ubicación, acerca de 68

grupos con reconocimiento de ubicación, crear 74

modificar opciones 64

registro de actividades 22

registro de depuración 22

reglas, véase reglas de firewallfirmas, información sobre amenazas conocidas 9función de análisis durante inactividad 19, 57

funcionesAcceso a Endpoint Security Client basado en directivas 13

desactivar y activar 25

Gglobos, Web Control 79, 82

GoogleChrome 77


motores de búsqueda compatibles 79

grupo de firewall, véase grupos de reglas de firewall Grupo de reglas agregado por el usuario 72

Grupo de reglas de adaptación 72

grupo de reglas, Firewall, véase grupos de reglas de firewall

Índice


grupos con reconocimiento de ubicaciónacerca de 68

crear 74

grupos de firewallconfigurar 66

grupos de reglas de firewallcómo funciona el Firewall 63

prioridad 68

reconocimiento de ubicación, acerca de 68

reconocimiento de ubicación, crear 74

y aislamiento de conexión 69

grupos que detectan la ubicaciónaislamiento de conexión 69

grupos, firewall, véase grupos de reglas de firewall

Hhashes, acerca de 30

herramientas de administración remota, acerca de 41

Iicono de la bandeja del sistema, McAfee 9, 10, 29

abrir Endpoint Security Client 17

configurar acceso a Endpoint Security 29

definición 10

Icono McAfee, véase icono de la bandeja del sistema, McAfee iconos, McAfee, véase icono de la bandeja del sistema, McAfee iconos, Web Control 79

independiente, véase autogestionado, acerca de información, mostrar protección 19

informes de seguridad, véase informes, Web Control informes del sitio, véase informes, Web Control informes, Web Control 79, 80

seguridad 77

seguridad de sitios web 79

visualización 82

visualizar 82

instaladores de confianza, analizar 50

instaladores, analizar de confianza 50

Internet Explorermostrar menú de opciones de Web Control 81


probar problemas de comunicación 83

y comportamiento de ScriptScan 51

intrusiones, activar alertas de Firewall 64

Llógica de confianza, optimización de análisis en tiempo real 51

Mmalware

analizar en busca de 35

detecciones durante el análisis 36, 38

responder a detecciones 18

marcadores, acerca de 41

McAfee Endpoint Security Client, véase Endpoint Security Client

McAfee ePOactualizar protección 8recuperación de archivos de AMCore content 9y tipos de administración 20

McAfee GTIanálisis bajo demanda, cómo funcionan 55

análisis bajo demanda, configurar 55

análisis en tiempo real, cómo funcionan 51

análisis en tiempo real, configurar 50

analizar archivos antes de su descarga 86

calificaciones de seguridad de Web Control 80

configurar nivel de sensibilidad 60


enviar eventos de bloqueo al servidor 64

especificar configuración del servidor proxy 30

informes de sitio web de Web Control 79

opciones del firewall, configuración 64

preguntas frecuentes 65

problema de comunicación de Web Control 78

reputación de red para firewall, configurar 64

scanning files before downloading 84

solucionar problemas de comunicación 83

y categorías web 87

McAfee LabsActualizaciones de archivos de AMCore content 9descarga de Extra.DAT 26

Extra.DAT 26

obtener información adicional sobre amenazas 39

y McAfee GTI 30

McAfee SECURE, botón de Web Control 78

McTray, iniciar 57

mensajes de error, estados del icono de la bandeja del sistema10

mensajes de notificaciónacerca de 10

interacción con Endpoint Security Client 9Windows 8 10

mensajes emergentes, y calificaciones de seguridad 80

mensajes, Endpoint Securityacerca de 10

mostrar al detectar amenaza 50, 55

Menú Acción, acerca de 11

Menú Inicio, abrir Endpoint Security Client 17

menúsAcción 11, 25

Acerca de 19

Ayuda 11, 18

Configuración 11, 13, 14, 64, 72

Microsoft Internet Explorer, véase Internet Explorer modo Acceso estándar

configuración de seguridad cliente 29

Modo Acceso estándaradministrar reglas y grupos de firewall 72

efectos de definir una contraseña 29

Índice


Modo Acceso estándar (continuación)iniciar sesión como administrador 24

y configuración de directiva 13

modo de Acceso totalconfiguración de directiva 13

modificar opciones de firewall 64

Modo de adaptaciónconfigurar en Firewall 64

prioridad de reglas 66

Modo de interfaz de cliente, opciones 13

Modo escritorio, Windows 8respuesta a los avisos de detección de amenazas 18

Windows 8 10

Modo Metro, Windows 8mensajes de notificación 10

respuesta a los avisos de detección de amenazas 18

modos de acceso, Endpoint Security Client 13

modos de interfazAcceso estándar 24, 29

configuración de seguridad cliente 29

módulo Common, configurarAutoprotección 28

configuración 27

configuración de actualización 31

Configuración del servidor proxy para McAfee GTI 30

registro 28

seguridad de interfaz cliente 29

Módulo Common, configurarsitios de origen para actualizaciones de cliente 32

Módulo Common, Endpoint Security Client 7, 14

módulosAcceso a Endpoint Security Client basado en directivas 13

acerca de Endpoint Security 7instalado en Endpoint Security Client 14

muestra información acerca de 19

módulos, CommonAutoprotección, configurar 28

cómo funciona McAfee GTI 30

configuración de actualización de cliente, configuración 31

configuración de actualización, configurar 31

configurar sitios de origen para actualizaciones de cliente32

registro, configurar 28

seguridad de interfaz cliente, configurar 29

servidor proxy para McAfee GTI, configurar 30

motor de análisis, información general sobre archivos deAMCore content 9

Motores de búsqueda Ask, e iconos de seguridad 79

Motores de búsquedas Bing, e iconos de seguridad 79

Mozilla Firefox, véase Firefox

Nnavegadores

compatible 77, 81

desactivar el complemento Web Control 84

navegadoresmostrar menú de opciones de Web Control 81


nivel de sensibilidad, McAfee GTI 30

no gestionadas, véase autogestionado, acerca de notificaciones de alerta, Windows 8 modo Metro 10, 18

Oopciones

analizar en busca de malware 35

configurar análisis bajo demanda 55

configurar análisis en tiempo real 50

opciones de Firewallmodificación 64

opciones de utilización del sistema, descripción general 59

Opciones, CommonAutoprotección, configurar 28


configuración del servidor proxy, configurar 30

configurar 27

parámetros de registro, configurar 28

programación de análisis bajo demanda 35


sitios de origen para actualizaciones de cliente, configurar32

Opciones, Threat Preventionparámetros de análisis comunes 60

programas no deseados 45

PPágina Acerca de 8, 19

Página Análisis en tiempo real 39

Página Analizar en busca de amenazas 38

Página Analizar sistema 36, 39

página ConfiguraciónAutoprotección, configurar 28


configuración del servidor proxy, configurar 30

registro, configurar 28

Página Configuraciónadministrar reglas y grupos de firewall 72

modificar opciones de firewall 64

parámetros de análisis bajo demanda, configurar 55

parámetros de análisis en tiempo real, configurar 50


sitios de origen para actualizaciones de cliente, configurar32

y modo de interfaz de cliente 13

Página de estado de seguridad de McAfee, mostrar 10

Página de estado, ver Resumen de amenazas 12

Página de iniciar sesión como administradoral abrir Endpoint Security Client 17

desbloqueo de la interfaz del cliente 24

Página Poner en cuarentena 39

página Reversión de AMCore content 25

Índice


páginasAcerca de 8, 19

Actualizar 20

Análisis en tiempo real 18, 39

análisis, mostrar 36

Analizar en busca de amenazas 38

Analizar sistema 36, 39

Configuración 13, 28–32, 55, 64

Cuarentena 39

Estado de seguridad de McAfee 10

Registro de eventos 21

Revertir AMCore content 25

parámetro Windows Set Priority 59

phishing, informes enviados por usuarios del sitio web 80

planificaciones, análisis bajo demanda, aplazar 57

preguntas frecuentes, McAfee GTI 65

Prevención de exploitsactualizaciones de archivos de contenido 9

Prevención de vulnerabilidadesacerca de 49


configurar 49

prioridadgrupo de firewall 68

reglas de firewall 66

prioridades, análisis en tiempo real 59

problemas de comunicación, Web Control 83

procesos de alto riesgo, especificar 50

procesos de bajo riesgo, especificar 50

procesos, Threat Preventionanálisis 50, 51

especificar alto y bajo riesgo 50

incluir y excluir en protección de acceso 46

programas potencialmente no deseadosacerca de 41

activar detección 45, 50, 55


configurar detección 44


especificar 45

especificar programas que detectar 60

programas, activar detección de potencialmente no deseados50, 55

protecciónconfigurar autoprotección 28

interacción con 9mantener actualizado 8muestra información acerca de 19

Protección de accesoacerca de 47


configurar 46

ejemplos 48

procesos, incluir y excluir 46

protocolo FTP 74

protocolo FTP en modo activo 74

protocolo FTP en modo pasivo 74

puertos, conexiones FTP 74

Rregistradores de pulsaciones de teclado, acerca de 41

registro de cliente 28

registros de actividades, Endpoint Security Client 22

registros de depuración, Endpoint Security Client 22

registros de errores, Endpoint Security Client 22

registros de eventoserrores de actualización 20

ver página Registro de eventos 21

registros de eventos, Endpoint Security Client 22

reglas de firewallcómo funciona el Firewall 63

cómo funcionan 66

configurar 66

orden y prioridad 66

para permitir conexiones FTP 74

permitir y bloquear 66

usar caracteres comodín 73

reglas, firewall, véase Firewall reglas, Threat Prevention

cómo funciona la protección de acceso 48

configurar 46

regulación, configurar 59

respuestas, configurar para detección de programas nodeseados 45

Resumen de amenazas, acerca de 12

SScriptScan

acerca de 51

activar 50

sectores de arranque, analizar 50, 55

seguridadconfigurar seguridad de interfaz cliente 29

servidor proxycómo funciona McAfee GTI 30

configurar para McAfee GTI 30

sigiloso, acerca de 41

sistemas servidor, y función de análisis durante inactividad 57

sitios de origen, configurar para actualizaciones de cliente 32

sitios webclasificaciones de seguridad 80

protección de navegación 78

protección durante la búsqueda 79

ver informe de sitio web de Web Control 82

sitios web, advertenciasegún calificaciones 87

según las calificaciones de seguridad 88

sitios web, bloquearsegún calificaciones 87

según categoría web 87

Índice


sitios web, bloquear (continuación)según las calificaciones de seguridad 88

sin calificar o desconocidos 84

sitios peligrosos en resultados de búsqueda 84

sitios web, control de accesocon calificaciones de seguridad 88

con categorías web 87

sitios web, controlar el accesocon calificaciones de seguridad 88

con categorías web 87

sitios, advertenciasegún calificaciones 87


sitios, bloqueosegún calificaciones 87

según categoría web 87


software cliente, definición 8solicitudes de descarga, véase descargas de archivos spyware, acerca de 41

subprocesos, prioridad 59

Ttarea Actualización cliente predeterminado

acerca de 33

tarea Actualización de cliente predeterminadoconfigurar 31

planificación con Endpoint Security Client 33

Tarea de actualización cliente predeterminadoconfigurar sitios para las actualizaciones 32

tareas, Threat PreventionActualización de cliente predeterminado, acerca de 33

Actualización de cliente predeterminado, planificación 33

Análisis completo y Análisis rápido, planificación 60

Análisis completos y rápidos, acerca de 35

Threat Preventionacerca de 7administrar 42

análisis bajo demanda, acerca de 55

análisis bajo demanda, configurar 55

análisis en tiempo real, acerca de 51

análisis en tiempo real, configurar 50

analizar archivos antes de su descarga 84, 86


función Protección de acceso 46

Opciones, programas no deseados 45

Prevención de vulnerabilidades, función 49

programas potencialmente no deseados, detecciones 44

tiempo de CPU, análisis bajo demanda 59

tipo de administraciónacerca de 20

visualización 19

Tipo de administración de McAfee ePO Cloud 20

Tipo de administración de SecurityCenter 20

tráficoanalizados por Firewall 63

permitir saliente hasta inicio de servicios de firewall 64

Tráfico de DNS, bloqueo 64

troyanosacerca de 41


Uunidades de red, especificar opciones de análisis 50

Vvirus

acerca de 41


firmas 9responder a detecciones 18

vulnerabilidadesVéase también amenazas

bloquear desbordamientos del búfer 49

vulnerabilidades de desbordamiento del búfer, acerca de 49

WWeb Control

acerca de 7activar 84

administrar 83


botones, descripción 78

cómo se analizan las descargas de archivos 86

configurar 84


funciones 77

globos e iconos 82

iconos, descripción 79

informes del sitio 79

menú 78

mostrar opciones del menú en el navegador 81

motores de búsqueda e iconos de seguridad 79

registro de actividades 22

registro de depuración 22


visualizar informes de sitio web 82

Windows 8abrir Endpoint Security Client 17

acerca de los mensajes de notificación 10

respuesta a los avisos de detección de amenazas 18

YYahoo


motor de búsqueda compatible 79

motor de búsqueda predeterminado 84

Índice
