3 Empirical research
3.3 Research results
3.3.4 Whatever the boss says is true
■ Capítulo 7. Administrar la Protección contra amenazas de red
2
Administración del cliente
de Symantec Endpoint
Protection
En este capítulo se incluyen los temas siguientes:
■ De qué forma protege Symantec Endpoint Protection el sistema
■ Acerca de los virus y los riesgos de seguridad
■ Respuesta del cliente ante virus y riesgos de seguridad
■ Usar el cliente con Windows Security Center
■ Cómo analizar su equipo de forma inmediata
■ Interrupción y retraso de análisis
De qué forma protege Symantec Endpoint Protection
el sistema
Symantec Endpoint Protection proporciona una política de seguridad que contiene varios tipos de protección para su equipo.
Los tipos siguientes de protección funcionan juntos para proteger su equipo contra riesgos:
■ Protección antivirus y contra software espía
■ Protección contra amenazas de red
■ Protección proactiva contra amenazas
4
Acerca de la Protección antivirus y contra software espía
La Protección antivirus y contra software espía garantiza que su equipo está protegido contra virus y riesgos de seguridad conocidos. Los virus que se detecten y eliminen de forma precoz de la máquina no podrán propagarse a otros archivos y causar daños. Los efectos de los virus y riesgos de seguridad pueden repararse. Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad, de forma predeterminada, el cliente notifica sobre la detección. Si no se desea mostrar una notificación, tanto el usuario como el administrador podrán configurar el cliente para que trate el riesgo automáticamente.
La Protección antivirus y contra software espía proporciona análisis basados en firmas e incluye lo siguiente:
■ Análisis de Auto-Protect
Auto-Protect se ejecuta constantemente y proporciona protección en tiempo real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos de seguridad cuando se ejecuta o se abre un archivo. También busca virus y riesgos de seguridad cuando se hace cualquier modificación a un archivo. Por ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo en distintas carpetas
■ Análisis programados, de inicio y manuales
Usted o su administrador pueden configurar otros análisis para ejecutarlos en el equipo. Estos análisis buscan firmas de virus residuales en archivos infectados. Estos análisis también buscan firmas de riesgos de seguridad en archivos infectados e información del sistema. Usted o su administrador pueden iniciar análisis que verifiquen sistemáticamente los archivos de su equipo en busca de virus y riesgos de seguridad. Los riesgos de seguridad pueden incluir publicidad no deseada o software espía.
Acerca de la protección contra amenazas de red
El cliente de Symantec Endpoint Protection proporciona un firewall personalizable que protege su equipo contra intrusiones y uso erróneo, ya sea malicioso o involuntario. Detecta e identifica análisis de puertos conocidos y otros ataques comunes. En respuesta, el firewall permite o bloquea selectivamente los distintos servicios de red, aplicaciones, puertos y componentes. Incluye varios tipos de normas y opciones de seguridad de firewall para proteger los equipos cliente contra el tráfico de red que pueda causar daño.
La protección contra amenazas de red proporciona un firewall y las firmas de prevención de intrusiones para evitar ataques de intrusión y contenido malicioso. El firewall permite o bloquea el tráfico según varios criterios.
Administración del cliente de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema 52
Las normas de firewall determinan si el equipo permite o bloquea una aplicación o un servicio entrante o saliente que intente acceder a su equipo mediante su conexión de red. Las normas de firewall permiten o bloquean sistemáticamente las aplicaciones entrantes o salientes y el tráfico desde direcciones IP y puertos específicos o hacia ellos. La configuración de seguridad detecta e identifica ataques comunes, envía mensajes de correo electrónico después de un ataque, muestra mensajes personalizables y realiza otras tareas de seguridad relacionadas.
Acerca de la protección proactiva contra amenazas
Protección proactiva contra amenazas incluye los análisis de amenazas proactivos TruScan, que aseguran que su equipo tenga protección de día cero contra amenazas desconocidas. Estos análisis utilizan la heurística para analizar la estructura de un programa, su comportamiento y otros atributos en busca de características típicas de los virus. En muchos casos puede proteger contra amenazas tales como gusanos de correo masivos y virus de macro. Es posible que se encuentren gusanos y virus de macro antes de actualizar sus definiciones de virus y riesgos de seguridad. Los análisis de amenazas proactivos buscan amenazas basadas en scripts en archivos HTML, de VBScript y de JavaScript.
Los análisis de amenazas proactivos también detectan las aplicaciones comerciales que se pueden utilizar con propósitos maliciosos. Estas aplicaciones comerciales incluyen programas de control remoto o registradores de pulsaciones.
Es posible configurar los análisis de amenazas proactivos para que pongan en cuarentena las detecciones. Es posible restaurar manualmente los elementos puestos en cuarentena por los análisis de amenazas proactivos. El cliente puede también restaurar automáticamente los elementos de la cuarentena.
Acerca de los virus y los riesgos de seguridad
El cliente puede analizar en busca de virus y riesgos de seguridad. De forma predeterminada, los análisis definidos por el usuario y los análisis de Auto-Protect buscan virus, caballos de Troya, gusanos y todas las categorías de riesgos de seguridad.
Los análisis antivirus y contra software espía también detectan rootkits del nivel de núcleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podrían utilizarse para propósitos maliciosos.
53 Administración del cliente de Symantec Endpoint Protection
Figura 4-1 Cómo los virus y los riesgos de seguridad atacan un equipo Internet Correo electrónico, mensajería instantánea Otros equipos, archivo de red compartido Equipo cliente Virus y software malicioso y riesgos de seguridad Unidad flash USB Virus y software malicioso y riesgos de seguridad Virus y software malicioso y riesgos de seguridad
Tabla 4-1describe los tipos de virus y de software malicioso contra los cuales el cliente protege.
Tabla 4-1 Virus, caballos de Troya y gusanos Descripción
Virus
Programa o código que adjunta una copia de sí mismo a otro programa informático o documento cuando se ejecuta. Siempre que el programa infectado se ejecute o un usuario abra un documento que contenga un virus de macro, el programa de virus asociado se activa. El virus puede entonces asociarse a otros programas y documentos.
Por regla general, los virus entregan una carga, como puede ser mostrar un mensaje en una fecha concreta. Sin embargo, otros están programados para destruir datos, dañar programas, borrar archivos o formatear unidades.
Un virus de macro es un virus escrito en un lenguaje que está incorporado en una aplicación de software, como Microsoft Word. Virus
Programas que contienen código dañino que se oculta o disimula tras una aplicación benigna, como un juego o una utilidad.
Caballos de Troya
Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copiándose a sí mismos de disco a disco, mientras que otros solo se reproducen en la memoria para ralentizar el equipo. Gusanos
Administración del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad
Tabla 4-2describe los tipos de riesgos de seguridad contra los cuales el cliente protege.
Tabla 4-2 Tipos de riesgos de seguridad Descripción
Riesgo de seguridad
Programas que ejecutan tareas automatizadas en Internet con propósitos maliciosos.
Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger información de sitios web.
Bots maliciosos de Internet
Amenazas que combinan las características de virus, gusanos, caballos de Troya y código con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos métodos y técnicas para propagarse con rapidez, y causan un daño generalizado en toda la red. Amenazas
combinadas
Programas que, de forma secreta, recopilan información personal mediante Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hábitos de navegación del usuario con intereses comerciales. Este tipo de aplicaciones también puede enviar contenido publicitario.
Publicidad no deseada
Programas que utiliza un equipo, sin el permiso o el conocimiento del usuario, para marcar un número telefónico o comunicarse con un sitio ftp. Estos programas suelen aumentar los costos.
Marcadores
Programas que usan los hackers para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y envía esta información al hacker. Entonces, el hacker puede realizar análisis de puerto y de puntos débiles. Las herramientas de hackeo se pueden emplear también para desarrollar virus.
Herramientas de hackeo
Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio web, correo electrónico o programa de mensajería instantánea. Este programa puede entonces alejar la papelera de reciclaje del mouse cuando el usuario intenta borrarlo. Puede también invertir los clics del mouse.
Programas broma
Cualesquiera otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categorías de riesgos de seguridad.
Otros
55 Administración del cliente de Symantec Endpoint Protection
Descripción Riesgo de
seguridad
Programas que permiten acceder a través de Internet desde otro equipo, de manera que pueden recopilar información del equipo de un usuario, atacarlo o alterar su contenido. Es posible que se instale un programa de acceso remoto legítimo. Un proceso puede instalar este tipo de aplicación sin su conocimiento. Este programa puede utilizarse con fines dañinos, modificando o no el programa original de acceso remoto.
Programas de acceso remoto
Programas que pueden supervisar, de forma secreta, la actividad del sistema, así como detectar contraseñas y otro tipo de información confidencial para transmitirla a otro equipo.
El software espía se puede descargar de sitios web, mensajes de correo electrónico, mensajes instantáneos y conexiones directas a archivos. Además, un usuario puede inadvertidamente recibir software espía aceptando un acuerdo de licencia para el usuario final de un programa de software.
Software espía
Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envían la información al sistema de destino. Por ejemplo, la aplicación puede descargarse mediante un sitio web, un mensaje de correo electrónico o un programa de mensajería instantánea. Posteriormente, esta puede obtener información confidencial relativa al comportamiento del usuario. Software de
seguimiento
De forma predeterminada, los análisis hacen lo siguiente:
■ Detectan, eliminan y reparan los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas.
■ Detectan, eliminan y reparan los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de hackeo, programas broma, programas de acceso remoto, software espía, programas de seguimiento, etc.
El sitio web de Symantec Security Response ofrece la información más reciente sobre amenazas y riesgos de seguridad. También incluye amplia información de referencia, tal como un glosario general e información detallada acerca de virus y riesgos de seguridad.
Administración del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad
Respuesta del cliente ante virus y riesgos de
seguridad
El cliente protege los equipos contra virus y riesgos de seguridad, sea cual fuere su origen. Los equipos quedan protegidos contra virus y riesgos de seguridad que se extienden desde los discos duros y disquetes, o que viajan a través de las redes, y también contra aquéllos que se propagan a través de archivos adjuntos de correo electrónico o cualquier otro medio. Por ejemplo, un riesgo de seguridad podría instalarse en el equipo sin su conocimiento cuando acceda a Internet.
Se analizan los archivos incluidos dentro de archivos comprimidos para eliminar virus y riesgos de seguridad. No es necesario ningún programa adicional ni modificar las opciones para los virus transmitidos por Internet. Auto-Protect analiza los programas descomprimidos y los archivos de documentos automáticamente cuando se descargan.
Cuando el cliente detecta un virus, de forma predeterminada, intenta limpiar el virus del archivo infectado. El cliente también intenta reparar los efectos del virus. Si el cliente limpia el archivo, quita totalmente el riesgo del equipo. Si el cliente no puede limpiar el archivo, mueve el archivo infectado a la cuarentena. El virus no puede propagarse desde la cuarentena.
Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verifica automáticamente la cuarentena. Es posible volver a explorar los elementos de la cuarentena. Las definiciones más recientes pueden limpiar o reparar los archivos puestos previamente en cuarentena.
Nota:El administrador puede configurar el programa para que analice automáticamente los archivos existentes en el área de cuarentena.
De forma predeterminada, para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados. El cliente también recupera la información del sistema que el riesgo de seguridad ha modificado. Algunos riesgos de seguridad no pueden eliminarse totalmente sin generar errores en otros programas del sistema, como un explorador Web. Es posible que la configuración de la protección antivirus y contra software espía no pueda manejar el riesgo automáticamente. En ese caso, el cliente pregunta antes de detener un proceso o reiniciar el equipo. Otra alternativa es configurar las opciones para emplear la acción de sólo registro para los riesgos de seguridad.
Cuando el software de cliente detecta riesgos de seguridad, incluye un vínculo en la ventana del análisis a Symantec Security Response. En el sitio Web de Symantec Security Response es posible aprender más sobre el riesgo de seguridad. El administrador también puede enviar un mensaje personalizado.
57 Administración del cliente de Symantec Endpoint Protection
Usar el cliente con Windows Security Center
Si utiliza Windows Security Center en Windows XP con Service Pack 2 para supervisar el estado de la seguridad, es posible ver el estado de Symantec Endpoint Protection en WSC.
Tabla 4-3muestra el informe del estado de protección en WSC. Tabla 4-3 Informe del estado de protección en WSC
Estado de protección Estado de los productos de Symantec
NO ENCONTRADO (rojo)
Symantec Endpoint Protection no está instalado
ACTIVADO (verde) Symantec Endpoint Protection está instalado con la protección
completa
CADUCADO (rojo) Symantec Endpoint Protection está instalado y las definiciones
de virus y riesgos de seguridad no están actualizadas
DESACTIVADO (rojo) Symantec Endpoint Protection está instalado y Auto-Protect para
el sistema de archivos no está habilitado
DESACTIVADO (rojo) Symantec Endpoint Protection está instalado, Auto-Protect para
el sistema de archivos no está habilitado y las definiciones de virus y riesgos de seguridad no están actualizadas
DESACTIVADO (rojo) Symantec Endpoint Protection está instalado y Rtvscan se
desactivó manualmente
Tabla 4-4muestra el informe del estado del firewall de Symantec Endpoint Protection en WSC.
Tabla 4-4 Informe del estado del firewall en WSC
Estado del firewall Estado de los productos de Symantec
NO ENCONTRADO (rojo)
El firewall de Symantec no está instalado
ACTIVADO (verde) El firewall de Symantec está instalado y habilitado
DESACTIVADO (rojo) El firewall de Symantec está instalado pero no habilitado
ACTIVADO (verde) El firewall de Symantec no está instalado o habilitado, pero está
instalado y habilitado un firewall de otro fabricante Administración del cliente de Symantec Endpoint Protection
Usar el cliente con Windows Security Center 58
Nota:En Symantec Endpoint Protection, el Firewall de Windows está deshabilitado de forma predeterminada.
Si hay más de un firewall habilitado, WSC informa que hay múltiples firewalls instalados y habilitados.
Cómo analizar su equipo de forma inmediata
Es posible analizar manualmente en busca de virus y riesgos de seguridad en cualquier momento. Es necesario analizar su equipo de forma inmediata si usted instaló recientemente el cliente o si piensa que ha recibido recientemente un virus. Elija qué desea analizar, desde un único archivo hasta un disquete o todo el sistema. Los análisis manuales incluyen Active Scan y Análisis completo. Es posible también crear un análisis personalizado para ejecutarlo cuando lo necesite.
Ver"Cómo programar un análisis para que se ejecute manualmente o cuando se inicia el equipo"en la página 82.
Para obtener más información sobre las opciones en cada cuadro de diálogo, haga clic en Ayuda.
Para analizar su equipo de forma inmediata
◆ Realice una de las acciones siguientes:
■ En el cliente, en la página Estado, al lado de Protección antivirus y contra
software espía, haga clic en Opciones > Ejecutar Active Scan.
■ En el cliente, en la barra lateral, haga clic en Analizar en busca de
amenazas.
Realice una de las acciones siguientes:
■ Haga clic en Ejecutar Active Scan.
■ Haga clic en Ejecutar análisis completo.
■ En la lista de análisis, haga clic con el botón secundario en cualquier análisis y después haga clic en Analizar ahora.
El análisis comienza. Aparece una ventana de progreso en su equipo para mostrar el progreso del análisis y los resultados.
Es posible también pausar o cancelar el análisis. Ver"Interrupción y retraso de análisis"en la página 60.
59 Administración del cliente de Symantec Endpoint Protection
Para analizar su equipo desde Windows
◆ Desde la ventana Mi PC o desde el Explorador de Windows, haga clic con el botón secundario en un archivo, carpeta o unidad y, a continuación, haga clic en Analizar en busca de virus.
Esta función no es compatible con los sistemas operativos de 64 bits.
Interrupción y retraso de análisis
La función de interrupción de análisis permite detener la ejecución de un análisis en cualquier punto y continuarla después. Un usuario puede interrumpir cualquier análisis que haya iniciado.
Su administrador determina si se puede interrumpir un análisis iniciado por el administrador. Si la opción Interrumpir análisis no está disponible, su
administrador deshabilitó la función de interrupción. Si el administrador habilita la función Posponer, los usuarios podrán retrasar los análisis programados del administrador por un intervalo de tiempo determinado.
Cuando un análisis se reanuda, se inicia desde donde el análisis se detuvo.
Nota:Si interrumpe momentáneamente un análisis al mismo tiempo que el cliente analiza un archivo comprimido, el cliente puede tardar varios minutos para responder a la solicitud de interrupción.
Para interrumpir un análisis que usted inició
1
Cuando el análisis se ejecuta, en el cuadro de diálogo del análisis, haga clic en Interrumpir análisis.El análisis se detendrá en el preciso lugar en que se encuentre, y el cuadro de diálogo permanecerá abierto hasta que se reanude.
2
En el cuadro de diálogo del análisis, haga clic en Reanudar análisis para continuar el análisis.Para interrumpir o retrasar un análisis iniciado por el administrador