• No results found

3 Empirical research

3.3 Research results

3.3.4 Whatever the boss says is true

Capítulo 7. Administrar la Protección contra amenazas de red

2

Administración del cliente

de Symantec Endpoint

Protection

En este capítulo se incluyen los temas siguientes:

De qué forma protege Symantec Endpoint Protection el sistema

Acerca de los virus y los riesgos de seguridad

Respuesta del cliente ante virus y riesgos de seguridad

Usar el cliente con Windows Security Center

Cómo analizar su equipo de forma inmediata

Interrupción y retraso de análisis

De qué forma protege Symantec Endpoint Protection

el sistema

Symantec Endpoint Protection proporciona una política de seguridad que contiene varios tipos de protección para su equipo.

Los tipos siguientes de protección funcionan juntos para proteger su equipo contra riesgos:

Protección antivirus y contra software espía

Protección contra amenazas de red

Protección proactiva contra amenazas

4

Acerca de la Protección antivirus y contra software espía

La Protección antivirus y contra software espía garantiza que su equipo está protegido contra virus y riesgos de seguridad conocidos. Los virus que se detecten y eliminen de forma precoz de la máquina no podrán propagarse a otros archivos y causar daños. Los efectos de los virus y riesgos de seguridad pueden repararse. Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad, de forma predeterminada, el cliente notifica sobre la detección. Si no se desea mostrar una notificación, tanto el usuario como el administrador podrán configurar el cliente para que trate el riesgo automáticamente.

La Protección antivirus y contra software espía proporciona análisis basados en firmas e incluye lo siguiente:

Análisis de Auto-Protect

Auto-Protect se ejecuta constantemente y proporciona protección en tiempo real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos de seguridad cuando se ejecuta o se abre un archivo. También busca virus y riesgos de seguridad cuando se hace cualquier modificación a un archivo. Por ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo en distintas carpetas

Análisis programados, de inicio y manuales

Usted o su administrador pueden configurar otros análisis para ejecutarlos en el equipo. Estos análisis buscan firmas de virus residuales en archivos infectados. Estos análisis también buscan firmas de riesgos de seguridad en archivos infectados e información del sistema. Usted o su administrador pueden iniciar análisis que verifiquen sistemáticamente los archivos de su equipo en busca de virus y riesgos de seguridad. Los riesgos de seguridad pueden incluir publicidad no deseada o software espía.

Acerca de la protección contra amenazas de red

El cliente de Symantec Endpoint Protection proporciona un firewall personalizable que protege su equipo contra intrusiones y uso erróneo, ya sea malicioso o involuntario. Detecta e identifica análisis de puertos conocidos y otros ataques comunes. En respuesta, el firewall permite o bloquea selectivamente los distintos servicios de red, aplicaciones, puertos y componentes. Incluye varios tipos de normas y opciones de seguridad de firewall para proteger los equipos cliente contra el tráfico de red que pueda causar daño.

La protección contra amenazas de red proporciona un firewall y las firmas de prevención de intrusiones para evitar ataques de intrusión y contenido malicioso. El firewall permite o bloquea el tráfico según varios criterios.

Administración del cliente de Symantec Endpoint Protection De qué forma protege Symantec Endpoint Protection el sistema 52

Las normas de firewall determinan si el equipo permite o bloquea una aplicación o un servicio entrante o saliente que intente acceder a su equipo mediante su conexión de red. Las normas de firewall permiten o bloquean sistemáticamente las aplicaciones entrantes o salientes y el tráfico desde direcciones IP y puertos específicos o hacia ellos. La configuración de seguridad detecta e identifica ataques comunes, envía mensajes de correo electrónico después de un ataque, muestra mensajes personalizables y realiza otras tareas de seguridad relacionadas.

Acerca de la protección proactiva contra amenazas

Protección proactiva contra amenazas incluye los análisis de amenazas proactivos TruScan, que aseguran que su equipo tenga protección de día cero contra amenazas desconocidas. Estos análisis utilizan la heurística para analizar la estructura de un programa, su comportamiento y otros atributos en busca de características típicas de los virus. En muchos casos puede proteger contra amenazas tales como gusanos de correo masivos y virus de macro. Es posible que se encuentren gusanos y virus de macro antes de actualizar sus definiciones de virus y riesgos de seguridad. Los análisis de amenazas proactivos buscan amenazas basadas en scripts en archivos HTML, de VBScript y de JavaScript.

Los análisis de amenazas proactivos también detectan las aplicaciones comerciales que se pueden utilizar con propósitos maliciosos. Estas aplicaciones comerciales incluyen programas de control remoto o registradores de pulsaciones.

Es posible configurar los análisis de amenazas proactivos para que pongan en cuarentena las detecciones. Es posible restaurar manualmente los elementos puestos en cuarentena por los análisis de amenazas proactivos. El cliente puede también restaurar automáticamente los elementos de la cuarentena.

Acerca de los virus y los riesgos de seguridad

El cliente puede analizar en busca de virus y riesgos de seguridad. De forma predeterminada, los análisis definidos por el usuario y los análisis de Auto-Protect buscan virus, caballos de Troya, gusanos y todas las categorías de riesgos de seguridad.

Los análisis antivirus y contra software espía también detectan rootkits del nivel de núcleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podrían utilizarse para propósitos maliciosos.

53 Administración del cliente de Symantec Endpoint Protection

Figura 4-1 Cómo los virus y los riesgos de seguridad atacan un equipo Internet Correo electrónico, mensajería instantánea Otros equipos, archivo de red compartido Equipo cliente Virus y software malicioso y riesgos de seguridad Unidad flash USB Virus y software malicioso y riesgos de seguridad Virus y software malicioso y riesgos de seguridad

Tabla 4-1describe los tipos de virus y de software malicioso contra los cuales el cliente protege.

Tabla 4-1 Virus, caballos de Troya y gusanos Descripción

Virus

Programa o código que adjunta una copia de sí mismo a otro programa informático o documento cuando se ejecuta. Siempre que el programa infectado se ejecute o un usuario abra un documento que contenga un virus de macro, el programa de virus asociado se activa. El virus puede entonces asociarse a otros programas y documentos.

Por regla general, los virus entregan una carga, como puede ser mostrar un mensaje en una fecha concreta. Sin embargo, otros están programados para destruir datos, dañar programas, borrar archivos o formatear unidades.

Un virus de macro es un virus escrito en un lenguaje que está incorporado en una aplicación de software, como Microsoft Word. Virus

Programas que contienen código dañino que se oculta o disimula tras una aplicación benigna, como un juego o una utilidad.

Caballos de Troya

Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copiándose a sí mismos de disco a disco, mientras que otros solo se reproducen en la memoria para ralentizar el equipo. Gusanos

Administración del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad

Tabla 4-2describe los tipos de riesgos de seguridad contra los cuales el cliente protege.

Tabla 4-2 Tipos de riesgos de seguridad Descripción

Riesgo de seguridad

Programas que ejecutan tareas automatizadas en Internet con propósitos maliciosos.

Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger información de sitios web.

Bots maliciosos de Internet

Amenazas que combinan las características de virus, gusanos, caballos de Troya y código con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos métodos y técnicas para propagarse con rapidez, y causan un daño generalizado en toda la red. Amenazas

combinadas

Programas que, de forma secreta, recopilan información personal mediante Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hábitos de navegación del usuario con intereses comerciales. Este tipo de aplicaciones también puede enviar contenido publicitario.

Publicidad no deseada

Programas que utiliza un equipo, sin el permiso o el conocimiento del usuario, para marcar un número telefónico o comunicarse con un sitio ftp. Estos programas suelen aumentar los costos.

Marcadores

Programas que usan los hackers para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y envía esta información al hacker. Entonces, el hacker puede realizar análisis de puerto y de puntos débiles. Las herramientas de hackeo se pueden emplear también para desarrollar virus.

Herramientas de hackeo

Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio web, correo electrónico o programa de mensajería instantánea. Este programa puede entonces alejar la papelera de reciclaje del mouse cuando el usuario intenta borrarlo. Puede también invertir los clics del mouse.

Programas broma

Cualesquiera otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categorías de riesgos de seguridad.

Otros

55 Administración del cliente de Symantec Endpoint Protection

Descripción Riesgo de

seguridad

Programas que permiten acceder a través de Internet desde otro equipo, de manera que pueden recopilar información del equipo de un usuario, atacarlo o alterar su contenido. Es posible que se instale un programa de acceso remoto legítimo. Un proceso puede instalar este tipo de aplicación sin su conocimiento. Este programa puede utilizarse con fines dañinos, modificando o no el programa original de acceso remoto.

Programas de acceso remoto

Programas que pueden supervisar, de forma secreta, la actividad del sistema, así como detectar contraseñas y otro tipo de información confidencial para transmitirla a otro equipo.

El software espía se puede descargar de sitios web, mensajes de correo electrónico, mensajes instantáneos y conexiones directas a archivos. Además, un usuario puede inadvertidamente recibir software espía aceptando un acuerdo de licencia para el usuario final de un programa de software.

Software espía

Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envían la información al sistema de destino. Por ejemplo, la aplicación puede descargarse mediante un sitio web, un mensaje de correo electrónico o un programa de mensajería instantánea. Posteriormente, esta puede obtener información confidencial relativa al comportamiento del usuario. Software de

seguimiento

De forma predeterminada, los análisis hacen lo siguiente:

Detectan, eliminan y reparan los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas.

Detectan, eliminan y reparan los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de hackeo, programas broma, programas de acceso remoto, software espía, programas de seguimiento, etc.

El sitio web de Symantec Security Response ofrece la información más reciente sobre amenazas y riesgos de seguridad. También incluye amplia información de referencia, tal como un glosario general e información detallada acerca de virus y riesgos de seguridad.

Administración del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad

Respuesta del cliente ante virus y riesgos de

seguridad

El cliente protege los equipos contra virus y riesgos de seguridad, sea cual fuere su origen. Los equipos quedan protegidos contra virus y riesgos de seguridad que se extienden desde los discos duros y disquetes, o que viajan a través de las redes, y también contra aquéllos que se propagan a través de archivos adjuntos de correo electrónico o cualquier otro medio. Por ejemplo, un riesgo de seguridad podría instalarse en el equipo sin su conocimiento cuando acceda a Internet.

Se analizan los archivos incluidos dentro de archivos comprimidos para eliminar virus y riesgos de seguridad. No es necesario ningún programa adicional ni modificar las opciones para los virus transmitidos por Internet. Auto-Protect analiza los programas descomprimidos y los archivos de documentos automáticamente cuando se descargan.

Cuando el cliente detecta un virus, de forma predeterminada, intenta limpiar el virus del archivo infectado. El cliente también intenta reparar los efectos del virus. Si el cliente limpia el archivo, quita totalmente el riesgo del equipo. Si el cliente no puede limpiar el archivo, mueve el archivo infectado a la cuarentena. El virus no puede propagarse desde la cuarentena.

Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verifica automáticamente la cuarentena. Es posible volver a explorar los elementos de la cuarentena. Las definiciones más recientes pueden limpiar o reparar los archivos puestos previamente en cuarentena.

Nota:El administrador puede configurar el programa para que analice automáticamente los archivos existentes en el área de cuarentena.

De forma predeterminada, para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados. El cliente también recupera la información del sistema que el riesgo de seguridad ha modificado. Algunos riesgos de seguridad no pueden eliminarse totalmente sin generar errores en otros programas del sistema, como un explorador Web. Es posible que la configuración de la protección antivirus y contra software espía no pueda manejar el riesgo automáticamente. En ese caso, el cliente pregunta antes de detener un proceso o reiniciar el equipo. Otra alternativa es configurar las opciones para emplear la acción de sólo registro para los riesgos de seguridad.

Cuando el software de cliente detecta riesgos de seguridad, incluye un vínculo en la ventana del análisis a Symantec Security Response. En el sitio Web de Symantec Security Response es posible aprender más sobre el riesgo de seguridad. El administrador también puede enviar un mensaje personalizado.

57 Administración del cliente de Symantec Endpoint Protection

Usar el cliente con Windows Security Center

Si utiliza Windows Security Center en Windows XP con Service Pack 2 para supervisar el estado de la seguridad, es posible ver el estado de Symantec Endpoint Protection en WSC.

Tabla 4-3muestra el informe del estado de protección en WSC. Tabla 4-3 Informe del estado de protección en WSC

Estado de protección Estado de los productos de Symantec

NO ENCONTRADO (rojo)

Symantec Endpoint Protection no está instalado

ACTIVADO (verde) Symantec Endpoint Protection está instalado con la protección

completa

CADUCADO (rojo) Symantec Endpoint Protection está instalado y las definiciones

de virus y riesgos de seguridad no están actualizadas

DESACTIVADO (rojo) Symantec Endpoint Protection está instalado y Auto-Protect para

el sistema de archivos no está habilitado

DESACTIVADO (rojo) Symantec Endpoint Protection está instalado, Auto-Protect para

el sistema de archivos no está habilitado y las definiciones de virus y riesgos de seguridad no están actualizadas

DESACTIVADO (rojo) Symantec Endpoint Protection está instalado y Rtvscan se

desactivó manualmente

Tabla 4-4muestra el informe del estado del firewall de Symantec Endpoint Protection en WSC.

Tabla 4-4 Informe del estado del firewall en WSC

Estado del firewall Estado de los productos de Symantec

NO ENCONTRADO (rojo)

El firewall de Symantec no está instalado

ACTIVADO (verde) El firewall de Symantec está instalado y habilitado

DESACTIVADO (rojo) El firewall de Symantec está instalado pero no habilitado

ACTIVADO (verde) El firewall de Symantec no está instalado o habilitado, pero está

instalado y habilitado un firewall de otro fabricante Administración del cliente de Symantec Endpoint Protection

Usar el cliente con Windows Security Center 58

Nota:En Symantec Endpoint Protection, el Firewall de Windows está deshabilitado de forma predeterminada.

Si hay más de un firewall habilitado, WSC informa que hay múltiples firewalls instalados y habilitados.

Cómo analizar su equipo de forma inmediata

Es posible analizar manualmente en busca de virus y riesgos de seguridad en cualquier momento. Es necesario analizar su equipo de forma inmediata si usted instaló recientemente el cliente o si piensa que ha recibido recientemente un virus. Elija qué desea analizar, desde un único archivo hasta un disquete o todo el sistema. Los análisis manuales incluyen Active Scan y Análisis completo. Es posible también crear un análisis personalizado para ejecutarlo cuando lo necesite.

Ver"Cómo programar un análisis para que se ejecute manualmente o cuando se inicia el equipo"en la página 82.

Para obtener más información sobre las opciones en cada cuadro de diálogo, haga clic en Ayuda.

Para analizar su equipo de forma inmediata

◆ Realice una de las acciones siguientes:

En el cliente, en la página Estado, al lado de Protección antivirus y contra

software espía, haga clic en Opciones > Ejecutar Active Scan.

En el cliente, en la barra lateral, haga clic en Analizar en busca de

amenazas.

Realice una de las acciones siguientes:

Haga clic en Ejecutar Active Scan.

Haga clic en Ejecutar análisis completo.

En la lista de análisis, haga clic con el botón secundario en cualquier análisis y después haga clic en Analizar ahora.

El análisis comienza. Aparece una ventana de progreso en su equipo para mostrar el progreso del análisis y los resultados.

Es posible también pausar o cancelar el análisis. Ver"Interrupción y retraso de análisis"en la página 60.

59 Administración del cliente de Symantec Endpoint Protection

Para analizar su equipo desde Windows

◆ Desde la ventana Mi PC o desde el Explorador de Windows, haga clic con el botón secundario en un archivo, carpeta o unidad y, a continuación, haga clic en Analizar en busca de virus.

Esta función no es compatible con los sistemas operativos de 64 bits.

Interrupción y retraso de análisis

La función de interrupción de análisis permite detener la ejecución de un análisis en cualquier punto y continuarla después. Un usuario puede interrumpir cualquier análisis que haya iniciado.

Su administrador determina si se puede interrumpir un análisis iniciado por el administrador. Si la opción Interrumpir análisis no está disponible, su

administrador deshabilitó la función de interrupción. Si el administrador habilita la función Posponer, los usuarios podrán retrasar los análisis programados del administrador por un intervalo de tiempo determinado.

Cuando un análisis se reanuda, se inicia desde donde el análisis se detuvo.

Nota:Si interrumpe momentáneamente un análisis al mismo tiempo que el cliente analiza un archivo comprimido, el cliente puede tardar varios minutos para responder a la solicitud de interrupción.

Para interrumpir un análisis que usted inició

1

Cuando el análisis se ejecuta, en el cuadro de diálogo del análisis, haga clic en Interrumpir análisis.

El análisis se detendrá en el preciso lugar en que se encuentre, y el cuadro de diálogo permanecerá abierto hasta que se reanude.

2

En el cuadro de diálogo del análisis, haga clic en Reanudar análisis para continuar el análisis.

Para interrumpir o retrasar un análisis iniciado por el administrador

1

Mientras el análisis iniciado por el administrador se esté ejecutando, haga clic en Interrumpir análisis en el cuadro de diálogo.

2

En el cuadro de diálogo Interrupción del análisis programado, realice una